Après avoir piraté un serveur et découvert des documents secret-défense de l’industriel de défense Thales, il infiltre des forums de djihadistes pour la direction générale de la sécurité intérieure (DGSI) avant d’apprendre que son officier traitant l’arnaque sur sa rétribution.
Voici résumé en une phrase le rocambolesque récit d’un expert en sécurité informatique français, un témoignage instructif sur la façon dont ce service de renseignement intérieur travaille avec des pirates informatiques pour amasser davantage d’informations sur ses cibles.
La semaine dernière, Sh0ck, son pseudo sur les réseaux sociaux, avait en effet raconté sur X (ex-Twitter) comment il avait été engagé par un certain Xavier J., un ancien fonctionnaire de la DGSI. Si ces messages ont été supprimés depuis, deux titres de presse, Mediapart et BFM TV, viennent de dévoiler ce mardi cette histoire.
« Du pentest sauvage »
Dans le thread publié sur X, dont ZDNET.fr a pu consulter une copie, Sh0ck expliquait avoir été approché en 2011 après un piratage au préjudice de Thales. Après s’être introduit frauduleusement sur le serveur d’une société américaine de traduction, il tombe sur des documents “tamponnés secret-défense” relatifs à des frégates françaises. “On était deux jeunes à crawler le net pour le fun à la recherche de la première sql, du pentest sauvage en réalité”, se souvenait-il.
Cette affaire se solde par une peine de six mois de prison avec sursis et une amende de 500 euros en 2013. Mais à l’époque, après que la police ait entendu Sh0ck, la DGSI – alors la DCRI, la direction centrale du renseignement intérieur – propose au jeune homme de 18 ans de travailler pour eux.
Par patriotisme, dit-il, Sh0ck accepte. “Je voyais un réel intérêt à aider les forces de l’ordre”, expliquait-il dans son thread. “A l’époque, on était aux prémices du djihadisme français, avant les attentats que nous avons connu”, ajoutait-il. Le hacker est chargé de faire des recherches en sources ouvertes sur “des forces de l’ordre potentiellement corrompues” ou des “diplomates menacés”, poursuivait-il.
Vulnérabilité sur vBulletin
Comme le détaille Mediapart, la DGSI demande ensuite à Sh0ck de chercher des vulnérabilités sur des sites djihadistes. Il réussit ainsi à pirater celui d’Ansar Al-Haqq, “une référence de la djihadosphère française”, remarque le site d’investigation en ligne, et installe une porte dérobée lui permettant de siphonner les adresses mails et les mots de passe de 4000 sympathisants. Des données qui aident à l’arrestation de Romain Letellier, condamné ensuite pour apologie d’actes de terrorisme sur Internet.
Dans son thread supprimé, Sh0ck avait détaillé la méthode de piratage de ce site djihadiste, suivis d’autres. “Avec des amis, nous avons réussi à poser des webshell [une interface web permettant à un tiers d’exécuter à distance du code malveillant sur une machine] sur la plupart des forums, nous avons donc pu monitorer pendant des mois les activités des djihadistes français, notamment les frères Kouachi [les assassins de Charlie Hebdo] qui étaient inscrits sur ce type de forum”, détaillait-il.
Plus précisément, les pirates avaient exploité notamment une vulnérabilité présente sur le composant faq.php de ces forums basés sur vBulletin, un logiciel de gestion de forum de discussions.
Comme l’explique à ZDNET.fr un ancien de la DGSI, qui a confirmé la véracité de ce récit dans les grandes lignes, ce genre de recours à des hackers extérieurs permet d’éviter de laisser des traces compromettantes pour le service. “Des punks à chien avec le QI d’Einstein”, résume de façon imagée un autre ancien du service à Mediapart. Ce travail dans l’ombre va durer environ 5 ans, jusqu’en 2016-2017.
Détournement de la rémunération
L’histoire pourrait s’arrêter là. Comme il l’explique à Mediapart, Sh0ck échoue pour une raison inconnue aux tests de recrutement de la DGSI avant de devenir consultant pour une entreprise de sécurité informatique. Il travaille désormais pour la sécurité informatique d’un grand groupe bancaire. Mais le jeune homme est rappelé quelques années plus tard par des policiers de l’inspection générale de la sécurité intérieure…
Ces derniers annoncent alors à Sh0ck qu’ils soupçonnent son officier traitant d’avoir détourné une partie de la rémunération qui aurait dû lui revenir. Payé comme une source extérieure au service, le spécialiste en sécurité informatique était payé en liquide.
Soit en tout, un peu moins de 10 000 euros, quand il aurait dû toucher le double. Une histoire qui se terminera avec le plaider coupable de Xavier J. en novembre 2022 et une peine de trois ans de prison, dont six mois ferme, selon Mediapart et BFM TV.
« Même si des institutions comme la DGSI, la DGSE [les espions du renseignement extérieur français] ou whatever sont pour la plupart très honnêtes avec des protocoles normalement très encadrés, vous n’êtes pas à l’abri de tomber sur des personnes malveillantes », en concluait Sh0ck sur X. « Dans tous les cas, faites très attention si vous êtes dans la même situation que moi à l’époque », ajoutait-il à l’intention de jeunes hackers pouvant être devenus, comme lui par le passé, l’un des prestataires de service officieux de la DGSI.