Un prédateur sexuel démasqué grâce à un cheval de Troie, Réactions à la publication du 09/08/2017

[Lionel]

Les prédateurs sexuels sont un des fléaux d'internet. Certains comme Buster Hernandez ne reculent devant rien pour arriver à leurs fins. Ce dernier entrait en contact avec de jeunes victimes via leur ordinateur ou smartphone et exigeait d'eux des photos dénudées sous la menace de violences physiques envers elles ou leurs proches. Certains enfants ont obtempéré, prenant ces menaces au sérieux.
Le FBI a été saisi de l'affaire et a tenté de remonter à cet homme. Cela s'est avéré impossible ce dernier utilisant TOR pour masquer ses traces. Le FBI a toutefois réussi à le démasquer. Ses spécialistes lui ont envoyé une vidéo depuis l'ordinateur d'une des victimes dans laquelle avait été caché un cheval de Troie. A peine la vidéo lancée (elle était bien entendu anodine), le code s'est exécuté et a commencé par envoyer l'IP réelle depuis laquelle l'ordinateur était connecté. Ensuite, il a même été possible de prendre le contrôle total de la machine et d'activer la caméra pour identifier le criminel.

Nous vous laissons le soin de tirer les conclusions et enseignements de cette histoire car il y a plusieurs manières de l'interpréter, fort différentes.

Lien vers le billet original

[castor74]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

[divoli]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

Je ne vois même pas où il pourrait y avoir violation des libertés, il s'agit ici d'une action ciblée visant à démasquer et neutraliser un sale type. Cela ne me choque pas tant que des actions comme celle-ci sont justifiées et qu'il n'y a pas de dérive. C'est en cas de dérive qu'il pourrait y avoir matière à critiquer, genre utiliser un tel subterfuge pour espionner des journalistes, des organisations écologiques, etc.

[otto87]

C'est bien le problème c'est que c'est du billard a bande multiple : si le FBI peut le faire, ça veut donc dire qu'un pédophile peut aussi envoyer un cheval de Troie à un gosse crédule pour récupérer son IP (potentiellement son adresse dans la vraie vie, savoir si papa et maman sont là avec la maison "connectée") et sa webcam pour assouvir de vils fantasmes .
Ca peu se décliner à l'infinie... un opposant politique pourrait très bien se faire uploader des images pédo sur sa machine à on issue... pour une belle condamnation publique par la suite...

Ca soulève un problème de fond sur le numérique :
- avec quelques extraits audio de qualité pas trop mauvaise on peut faire dire n'importe quoi à n'importe qui...
- pour bosser plus spécifiquement dans l'image et avoir vu quelques démos de haut vol, maintenant il est difficile voir impossible d'avoir confiance dans une image...
- comme on peut avoir une confiance relative dans les éléments signés numériquement vu les accointances de certains services avec les boites de certification...

Comme tu le dit c'est a double tranchants, c'est plus puissant que ce qui se faisait avant, mais ça en est d'autant plus bénéfique/dangereux

C'est un peu l'image que donnait un criminologue à propos du vol de banque :
- un braqueur qui rentre à l'ancienne pour piquer du pognon se fait en moyenne arrêter au troisièmes essaie avec un gain (avant d'aller au trou) de l'odre de 3000 euros
- un hacker repart avec des centaines de millions ni vu ni connu en restant dans on fauteuil...

Ce message a été modifié par otto87 - 9 Aug 2017, 17:09.

[g4hd]

Puni par là où il a péché !


Justice immanente, presque !


Ce message a été modifié par g4hd - 9 Aug 2017, 17:40.

[otto87]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

Je ne vois même pas où il pourrait y avoir violation des libertés, il s'agit ici d'une action ciblée visant à démasquer et neutraliser un sale type. Cela ne me choque pas tant que des actions comme celle-ci sont justifiées et qu'il n'y a pas de dérive. C'est en cas de dérive qu'il pourrait y avoir matière à critiquer, genre utiliser un tel subterfuge pour espionner des journalistes, des organisations écologiques, etc.

Est-ce une référence à peine voilée à propos de genre de dérives là?

Ou une belle manière de rappeler qu'on attrape les gens par l'émotionnel pour leur faire accepter tout et n'importe quoi?

[iAPX]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

Est-ce incompatible?

Il n'y a pas violation de la vie privée dans ce cas, à mon humble avis, ceci dit!

[otto87]

Il n'y a pas violation de la vie privée dans ce cas, à mon humble avis, ceci dit!

C'est un violeur violé a son sale jeu! On sera tous d'accord que c'est bien fait pour sa pomme

[divoli]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

Je ne vois même pas où il pourrait y avoir violation des libertés, il s'agit ici d'une action ciblée visant à démasquer et neutraliser un sale type. Cela ne me choque pas tant que des actions comme celle-ci sont justifiées et qu'il n'y a pas de dérive. C'est en cas de dérive qu'il pourrait y avoir matière à critiquer, genre utiliser un tel subterfuge pour espionner des journalistes, des organisations écologiques, etc.

Est-ce une référence à peine voilée à propos de genre de dérives là?

Ou une belle manière de rappeler qu'on attrape les gens par l'émotionnel pour leur faire accepter tout et n'importe quoi?

Il y a vraiment des tas de situations très différentes, dans ton lien, il faudrait des heures pour analyser et discuter de chaque cas.

Dans le cas qui nous occupe, en restant parfaitement rationnel et sans tomber dans la démagogie comme tu sembles le faire, quelle autre alternative proposes-tu qui aurait permis de rapidement démasquer et neutraliser ce type ?

[otto87]

Dans le cas qui nous occupe, en restant parfaitement rationnel et sans tomber dans la démagogie comme tu sembles le faire, quelle autre alternative proposes-tu qui aurait permis de rapidement démasquer et neutraliser ce type ?

MP.

[Krazubu]

Moi ce qui m'inquiète là dedans, c'est d'apprendre qu'il y a des formats de vidéos capables d'exécuter du code.
EDIT : après lecture de l'article original, il n'est pas explicitement mentionné de cheval de Troie mais ça parle d'un "morceau de code".
Je me demande s'ils n'ont pas en fait détourné un système de DRM qui a contacté un serveur à l'ouverture de la vidéo pour obtenir l'autorisation, donnant dans la foulée l'IP au serveur.
Malin et tant mieux, l'article original montre combien le mec était vicelard, et rassuré qu'une vidéo ne puisse pas exécuter du code, on a déjà assez à faire avec les virus dans les applications.

Ce message a été modifié par Krazubu - 9 Aug 2017, 19:52.

[yannos]

En relisant l'article il est mentionné que le pedophile se cachait via TOR mais pour envoyer le cheval de Troie avec la vidéo ils avaient déjà des infos sur son (adresse, ip...)

Ce message a été modifié par yannos - 9 Aug 2017, 20:35.

[castor74]

En relisant l'article il est mentionné que le pedophile se cachait via TOR mais pour envoyer le cheval de Troie avec la vidéo ils avaient déjà des infos sur son (adresse, ip...)

Les enquêteurs ont envoyé la vidéo depuis l'ordinateur d'une des victimes, donc rien besoin d'autre... comme une réponse à un mail, non?

[Krazubu]

En relisant l'article il est mentionné que le pedophile se cachait via TOR mais pour envoyer le cheval de Troie avec la vidéo ils avaient déjà des infos sur son (adresse, ip...)

Les enquêteurs ont envoyé la vidéo depuis l'ordinateur d'une des victimes, donc rien besoin d'autre... comme une réponse à un mail, non?

La vidéo a été mise sur une dropbox.

[linus]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

On peut aussi se demander si cette info est tout simplement honnête. Cela peut parfaitement n'être qu'un montage de toute pièce visant à justifier les agissent du FBI et de la NSA, très attaqués ces derniers temps. Si on a un peu de mémoire, il est difficile d'exclure ce type de manipulation et ce n'est certes pas parce que les médias rapportent l'info qu'elle est exacte ou honnête.
Si on veut bien y croire tout va bien, si on a plus de doutes ... hum !

[FardocheX]

Ce qui m'intrigue, c'est le cheval de Troie dans un vidéo.
Est-ce que c'était simplement un fichier du style "blablabla.mkv.exe"
(La vraie extension de fichier pouvant être masquée dans Windows (je me demande dans quel but on peut vouloir ça, mais il y en a qui le font!)

The FBI identified and nabbed a suspected cybercriminal who maintained anonymity for more than a year and a half by sending him a "booby-trapped" video file, federal prosecutors explained in newly unsealed court filings.

J'aime leur jeu de mot!

[Nerone]

The FBI identified and nabbed a suspected cybercriminal......allegedly solicited....Mr. Hernandez was charged with threats to use an explosive device, threats to injure and sexual exploitation of a child. He faces a mandatory minimum sentence of 15 years and a maximum sentence of 30 years if convicted on all counts" FR source

pardon pour le quote en Anglais, je veut juste dire que l'utilisation d'un cheval de Troie est le topic du post, pour le reste il faut prouver la culpabilité tu type. y en as pleins d'examples (surtout aux US) ou des innocent vont en prison ou des criminels s'en sortent penard.
on va devoir attendre la documentation judiciaire aussi pour comprendre biens les détailles techniques du cheval de troie

pour le Cheval de troie oui je crois plutôt a une histoire style "i love you" des années 90, pourtant le mec utilisait TOR?

[Lionel]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

On peut aussi se demander si cette info est tout simplement honnête. Cela peut parfaitement n'être qu'un montage de toute pièce visant à justifier les agissent du FBI et de la NSA, très attaqués ces derniers temps. Si on a un peu de mémoire, il est difficile d'exclure ce type de manipulation et ce n'est certes pas parce que les médias rapportent l'info qu'elle est exacte ou honnête.
Si on veut bien y croire tout va bien, si on a plus de doutes ... hum !

Les informations ont été trouvé dans le dossier d'accusation de la procédure judiciaire. Si c'est faux, il serait relaxé.

[kikeo]

Moi ce qui m'inquiète là dedans, c'est d'apprendre qu'il y a des formats de vidéos capables d'exécuter du code.
EDIT : après lecture de l'article original, il n'est pas explicitement mentionné de cheval de Troie mais ça parle d'un "morceau de code".
Je me demande s'ils n'ont pas en fait détourné un système de DRM qui a contacté un serveur à l'ouverture de la vidéo pour obtenir l'autorisation, donnant dans la foulée l'IP au serveur.
Malin et tant mieux, l'article original montre combien le mec était vicelard, et rassuré qu'une vidéo ne puisse pas exécuter du code, on a déjà assez à faire avec les virus dans les applications.

Ce qui m'intrigue, c'est le cheval de Troie dans un vidéo.
Est-ce que c'était simplement un fichier du style "blablabla.mkv.exe"
(La vraie extension de fichier pouvant être masquée dans Windows (je me demande dans quel but on peut vouloir ça, mais il y en a qui le font!)

The FBI identified and nabbed a suspected cybercriminal who maintained anonymity for more than a year and a half by sending him a "booby-trapped" video file, federal prosecutors explained in newly unsealed court filings.

J'aime leur jeu de mot!

La vidéo en elle-même n'est bien entendu pas capable d'exécuter du code, en revanche il est assez aisé de "piéger" un fichier anodin type image, video, mp3, etc. avec une portion de code qui, lors de la lecture du fichier, va être éxécuté "par inadvertance" par le lecteur, avec divers résultats possibles (plantage pur et simple, exécution de commandes, etc.). Cela est arrivé à grande échelle avec des images vérolées envoyées massivement sur des iPhone par exemple... Et c'est une méthode relativement commune dans le monde de l'espionnage industriel

[sehkmet]

ca me fait bien rire ce genre d'histoire, on a l'impression que c'est une technologie de fou furieu, pour rappel avec un simple mail qui vous est envoyé on peu savoir votre IP.
Exemple, dans l'email que j'envoi je cache une micro image d'1 pixel qui renvoi vers un serveur exécutant apache. Le mec ouvre l'email, l'image est chargé depuis le serveur exécutant apache et hop dans les logs il y a l'IP.
Rien de plus simple. pas besoin de trojan ou quoi que ce soit pour une IP.
Une IP n'a jamais donné une adresse précise, on peu savoir le quartier au mieux.

[zero]

Oui, certains vont crier (comme d'habitude) à la violation des libertés, d'autres vont dire que c'est une très bonne chose d'avoir pu arrêter un prédateur sexuel. Je me classe clairement dans la deuxième catégorie.

Je ne vois même pas où il pourrait y avoir violation des libertés, il s'agit ici d'une action ciblée visant à démasquer et neutraliser un sale type.

Tout à fait.

[divoli]

ca me fait bien rire ce genre d'histoire, on a l'impression que c'est une technologie de fou furieu, pour rappel avec un simple mail qui vous est envoyé on peu savoir votre IP.
Exemple, dans l'email que j'envoi je cache une micro image d'1 pixel qui renvoi vers un serveur exécutant apache. Le mec ouvre l'email, l'image est chargé depuis le serveur exécutant apache et hop dans les logs il y a l'IP.
Rien de plus simple. pas besoin de trojan ou quoi que ce soit pour une IP.
Une IP n'a jamais donné une adresse précise, on peu savoir le quartier au mieux.

Même en utilisant TOR ou un VPN, et l'envoi d'un mail depuis un webmail (avec un compte ayant également été créé depuis une connexion via TOR ou un VPN) ?

Ce message a été modifié par divoli - 10 Aug 2017, 13:33.

[ungars]

ca me fait bien rire ce genre d'histoire, on a l'impression que c'est une technologie de fou furieu, pour rappel avec un simple mail qui vous est envoyé on peu savoir votre IP.
Exemple, dans l'email que j'envoi je cache une micro image d'1 pixel qui renvoi vers un serveur exécutant apache. Le mec ouvre l'email, l'image est chargé depuis le serveur exécutant apache et hop dans les logs il y a l'IP.
Rien de plus simple. pas besoin de trojan ou quoi que ce soit pour une IP.
Une IP n'a jamais donné une adresse précise, on peu savoir le quartier au mieux.

Une IP peut identifier une personne, en fonction des date/heure de connexion, associée à une adresse MAC.
Mais le type passait par TOR. Sans doute la version non corrigée depuis 2016 : https://www.programmez.com/actualites/mozil...r-browser-25206 :
Cette attaque exploite une vulnérabilité de Tor browser et en fait de Firefox sur lequel il est construit. L'attaque permet d'obtenir (au moins) l'adresse IP réelle de l'internaute visé, alors que la navigation via le réseau Tor est censée masquer cette IP.
...
Il met en oeuvre du code JavaScript et du contenu SVG malveillants. Il permet l'exécution de code arbitraire. Ce code étant à priori injecté dans une zone de mémoire corrompue, l'exploit se basant sur l'appel de l'API VirtualAlloc de kernel32.dll. En l'occurrence le code injecté communique, hors réseau Tor, les adresses IP et MAC réelles de l'internaute à un serveur.
Avec un firewall qui bloque l'envoi de ces données, c'est une autre paire de manches...

Ce message a été modifié par ungars - 10 Aug 2017, 13:34.

[yponomeute]

Une IP peut identifier une personne, en fonction des date/heure de connexion, associée à une adresse MAC.

Absolument pas. Une adresse IP peut identifier tout au plus un appareil électronique qui s'est connecté à internet. Cela n'identifie en rien la personne qui a utilisé cet appareil. Pour identifier une personne il faut d'autres preuves.

[Nerone]

"Innovative techniques were utilized, solutions to roadblocks created and partnerships with key private sector partners were developed"

source originelle:https://www.justice.gov/usao-sdin/pr/california-man-charged-plainfield-cyber-threat-case

les FAI?

[Lionel]

Une IP peut identifier une personne, en fonction des date/heure de connexion, associée à une adresse MAC.

Absolument pas. Une adresse IP peut identifier tout au plus un appareil électronique qui s'est connecté à internet. Cela n'identifie en rien la personne qui a utilisé cet appareil. Pour identifier une personne il faut d'autres preuves.

Une IP, pour le FBI peut identifier un abonné. Ensuite on passe à une enquête judiciaire plus classique de terrain.

[No6]

.../. Une adresse IP peut identifier tout au plus un appareil électronique qui s'est connecté à internet. Cela n'identifie en rien la personne qui a utilisé cet appareil. Pour identifier une personne il faut d'autres preuves.

J'imagine que la saisie de son PC permet de lever toutes les ambiguïtés juridiques

[iAPX]

.../. Une adresse IP peut identifier tout au plus un appareil électronique qui s'est connecté à internet. Cela n'identifie en rien la personne qui a utilisé cet appareil. Pour identifier une personne il faut d'autres preuves.

J'imagine que la saisie de son PC permet de lever toutes les ambiguïtés juridiques

Pas aux États-Unis, ça serait même le contraire, les ambiguïtés juridiques qui annuleraient la saisie de son PC et la procédure au complet!