Comment faut-il juger les cybercriminels ? Un hacker condamné à 20 ans de prison pour vol de données

Mise à jour du 29.03.2010 par Katleen

Comment faut-il juger les cybercriminels ? Un hacker condamné à 20 ans de prison pour vol de données

Après une délibération longue, c'est un verdict lourd qui a été rendu avec plusieurs mois de retards sur la date annoncée en début de procès.

Rappelez-vous, fin 2009, nous vous avions parlé d'Albert Gonzalez, ce pirate qui avait dérobé plus de 130 millions de numéros de cartes de crédit.

Lors de son procès, il avait finalement décidé de plaider coupable.

Le pirate de 28 ans était inquiet de la sentence qui l'attendait, mais s'attendait-il à une peine aussi lourde ?

Jeudi, il a été condamné par un tribunal de Boston (Massachussets) à vingt ans de prison.

C'est la peine la plus lourde jamais prononcée pour du piratage de données

L'homme de 28 ans ne s'est pas arrêté en si bon chemin, et il devra comparaitre en fin de semaine pour les chefs d'accusation de complot, fraude informatique et vol d'identité pour d'autres actes de piratage.

Sa peine pourrait ainsi se rallonger de 5 ans.

La justice américaine a voulu faire de ce cas un exemple, comme l'a expliqué la juge Patti Saris : «Même si vous éprouvez des remords (...), je dois lancer un message, vu l'énorme coût de votre délit».

Albert Gonzales avait de plus dissimulé un million de dollars dans le jardin de ses parents. Somme qu'il a restituée aux autorités pour rembourser une partie de ses victimes.

Gonzales souhaitait mettre 15 millions de dollars de côté, s'acheter un yacht, et prendre sa retraite. Il va la prendre, c'est sûr, mais à l'ombre.

Mise à jour du 14/09/09

Vol de 130 millions de cartes bleues : Albert Gonzalez reconnait les faits

Après avoir annoncé qu'il allait plaider coupable, Albert Gonzalez vient de reconnaitre les faits qui lui sont reprochés, ce Vendredi, devant une Cour du District de Boston.

Il a également apporté des précisions sur son mode opératoire (confirmant ainsi les news précédentes cf. ci-dessous).

Accusé du plus grand vol de numéros de CB de l'histoire de l'informatique, le forfait remonte à 2003. Depuis cette date, Albert Gonzalez a admis avoir revendu ces listings puis placé cet argent sur des comptes bancaires en Lettonie.

Le Hacker encours aujourd'hui une peine de 25 ans de prison et une amende de 1,65 millions de dollars. Tout ses biens peuvent être saisis pour payer cette dette.

Son avocat a déclaré à la presse que l'accusé se sentait "vraiment mal".

Le verdict est prévu pour le 8 Décembre 2009.

MAJ par Gordon Fowler.



Mise à jour du 31/08/09

Vol de 130 millions de cartes bleues : Albert Gonzalez plaide coupable

Le responsable du plus important vol de numéros de cartes bleues de l'Histoire de l'informatique a annoncé qu'il plaiderait coupable.

Albert Gonzales, hacker reconnu, avait été engagé par les services secrets américains avant d'être démasqué comme "agent double.

Suite à ce "au plaidoyer de marchandage" (plea bargain) avec le procureur, le présumé cerveau de l'escroquerie réalisée par injection SQL (cf. plus bas, news précédente) encourt désormais une peine de prison diminuée allant de 15 à 25 ans.

Il devra par ailleurs payer 2,8 millions de dollars en liquide, vendre un appartement à Miami, sa voiture et un montant non précisé de bijoux pour s'acquitter de l'amende liée à son forfait.

MAJ par Gordon Fowler



Hacking : des attaques par injection SQL permettent à trois américains de voler plus de 130 millions de numéros de cartes bleues. Comment contrer ces attaques ?

Un habitant de Miami âgé de 28 ans, Albert Gonzalez, ainsi que ses deux comparses d'origine russe ont été accusés aujourd'hui par les Services Secrets du New Jersey de ce que les journaux U.S. désignent déjà comme le plus grand vol de données de l'histoire américaine.

Les trois hommes ont en effet réalisé une attaque à grand échelle. Ils ont en tout mis la main sur plus de 130 millions de numéros de cartes bancaires, ainsi que sur les informations personnelles d'identification des propriétaires qui y étaient associées.

L'américain et les deux russes opéraient depuis octobre 2006 avec une technique bien rôdée : une attaque par injection SQL qui leur permettait de voler les informations désirées en contournant le pare-feu du réseau visé. Ils envoyaient ensuite les données volées sur des serveurs aux Pays-Bas et en Ukraine et effaçaient leurs traces.

Une injection SQL est un type d'attaque ciblant les applications fonctionnant avec une base de données relationnelle. Le pirate injecte une requête SQL imprévue dans le système et exploite les failles générées par cette action.

En effet, pour les sites fonctionnant de cette manière, les paramètres sont annoncés à la base de donnée sous la forme de requêtes SQL. Vous comprendrez alors aisément que si l'administration du site ne contrôle ni ne verouille les paramètres ainsi envoyés, un pirate pourra aisément compromettre la base de données, y accédant par l'envoi de ses propres requêtes falacieuses.

Par exemple, certains caractères permettent d'éxécuter plusieurs requêtes à la suite, tandis que d'autres (par exemple, l'apostrophe) forcent à ignorer la suite de la requête. De cette manière, un hacker peut lancer presque n'importe quelle requête de son cru.

Les autorités locales se félicitent d'avoir appréhendé les trois pirates -malgré les protections sophistiquées qu'ils avaient utilisées pour dissimuler leurs identités- ce qui couronne leurs efforts pour poursuivre de manière individuelle les personnes sévissant de cette manière dans le "grand banditisme électronique". La justice américaine à ici fait preuve d'une grande diplomatie pour travailler conjointement avec ses homologues étrangers dans ce cas d'envergure internationale.

L'entreprise ayant subit le plus gros préjudice dans cette affaire est Heartland Payment Systems à qui les pirates ont volé plus de 100 millions de numéros de cartes de crédit. Ont aussi été mises à mal 7-Eleven Inc. (chaîne de magasins nationale basée au Texas, 4.2 millions de numéros volés) et Hannaford Brothers (chaîne de supermarchés ayant son siège dans le Maine). Les noms des deux autres compagnies victimes de cette fraude n'ont pas encore été rendus publiques.

S'ils sont reconnus coupables, les trois compères risquent jusqu'à 25 ans de réclusion criminelle ainsi qu'une amende de plus de 500.000 dollars chacun.

Mais ce n'est pas tout pour Gonzalez, récidiviste arrêté une première fois en 2003 pour fraude à la carte bancaire, qui sera également jugé en septembre 2009 ainsi qu'à l'automne 2010 pour d'autres braquages électroniques (vol de données des compagnies TJX Companies, Dave & Busters, BJ's Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 et DSW).

Source : Communiqué du Ministère de la Justice des Etats-Unis

Comment éviter une attaque par injection SQL ? Utiliser des comptes utilisateurs SQL à accès limité (en lecture-seule) et des requêtes SQL préparées (requêtes à trous envoyées au serveur SQL, serveur à qui l'on envoie par la suite les paramètres qui boucheront les trous) est-il suffisant ?

Avec tous les moyens de protection actuels, est-il normal que de telles attaques soient encore réalisables ?

Sur une forum d'informatique on devrait plus se soucier de "comment est-il possible de laisser de telles failles de sécurité quand on a à charge des données aussi sensible que des Numéros de carte de crédit"
Sérieusement. Je travail dans une banque et la plus petite application est protégé, au minimum contre les SQL Injection.

Peut être que si les grands organisme ne prestarisaient pas tant leurs applications, ils y aurait moins de soucis .... ou du moins plus de compétance dans ce domaine

acceptent des développeurs qui ne soient pas capable de maitriser cette sécurité.

Ce n'est pas toujours la faut des dev mais bien souvent de leurs chefs ..... tu chiffre une fonctionnalité à 5J on te dis de la faire en 2J, les trois critéres qui y perdent sont maintenabilité, sécurité et performance ...

L'intérêt principal de ce type de vol de numéros de cartes bancaires, ce n'est pas de les utiliser soit même, mais bien de les revendre.

+1

Mais pourquoi les boutiques stockent les numéros de cartes ! là j'ai du mal à comprendre, on effectue la transaction de paiement, c'est validé, terminé on supprime le numéro de carte bancaire. Pourquoi la stocker !

Il est courant aux states de payer à crédit, pour cela les grands magasins ont besoin de garder les références bancaires de leurs clients(je suppose).

http://tv.lepost.fr/2009/08/18/16606...s-aux-usa.html

Je travail dans le secteur bancaire, et je ne suis pas employé par la banque, je suis un "sous traitant" et une chose est sure, je ...

Bien entendu, la compétence ...

Je ne comprends pas vraiment ta réaction, je n'ai jamais mis en doute ta compétence

Mais simplement qu'il arrive que :

Si mon client me dit "on a 2 jours pour faire ça" je lui répondrais toujours, "oui, 2 jours pour les fonctionnalités + 1 pour le système de cryptage et de sécurisation de l'appli".
C'est non négociable et quand tu expliques pourquoi tu rajoutes 1 jour de délai, il te dit merci.

- ou il te répond mais c'est vrais j'y avais pas pensé !!!
- alors j'ai bien les 3 jours ?
- bah non j'en ai que 2 de budget

Mon point de vue est simplement qu'il est réducteur de mettre en cause uniquement les développeurs, toute personne participant au cycle de vie du logiciel peut être source de faille.

Mais bon pourquoi 130 millions alors que quelques cartes suffisent... mais bravo à eux ! pour l'exploit mais faut pas les utiliser hein les gars ?!! mais pas de bol pour les propriétaires des cartes !

Envoyé par 76317

Mais bon pourquoi 130 millions alors que quelques cartes suffisent... mais bravo à eux ! pour l'exploit mais faut pas les utiliser hein les gars ?!! mais pas de bol pour les propriétaires des cartes !

T'as qu'a prendre 50 cents sur chacun et calcule le montant que ca fait