Mise à jour du 29.03.2010 par Katleen
Comment faut-il juger les cybercriminels ? Un hacker condamné à 20 ans de prison pour vol de données
Après une délibération longue, c'est un verdict lourd qui a été rendu avec plusieurs mois de retards sur la date annoncée en début de procès.
Rappelez-vous, fin 2009, nous vous avions parlé d'Albert Gonzalez, ce pirate qui avait dérobé plus de 130 millions de numéros de cartes de crédit.
Lors de son procès, il avait finalement décidé de plaider coupable.
Le pirate de 28 ans était inquiet de la sentence qui l'attendait, mais s'attendait-il à une peine aussi lourde ?
Jeudi, il a été condamné par un tribunal de Boston (Massachussets) à vingt ans de prison.
C'est la peine la plus lourde jamais prononcée pour du piratage de données
L'homme de 28 ans ne s'est pas arrêté en si bon chemin, et il devra comparaitre en fin de semaine pour les chefs d'accusation de complot, fraude informatique et vol d'identité pour d'autres actes de piratage.
Sa peine pourrait ainsi se rallonger de 5 ans.
La justice américaine a voulu faire de ce cas un exemple, comme l'a expliqué la juge Patti Saris : «Même si vous éprouvez des remords (...), je dois lancer un message, vu l'énorme coût de votre délit».
Albert Gonzales avait de plus dissimulé un million de dollars dans le jardin de ses parents. Somme qu'il a restituée aux autorités pour rembourser une partie de ses victimes.
Gonzales souhaitait mettre 15 millions de dollars de côté, s'acheter un yacht, et prendre sa retraite. Il va la prendre, c'est sûr, mais à l'ombre.
Mise à jour du 14/09/09
Vol de 130 millions de cartes bleues : Albert Gonzalez reconnait les faits
Après avoir annoncé qu'il allait plaider coupable, Albert Gonzalez vient de reconnaitre les faits qui lui sont reprochés, ce Vendredi, devant une Cour du District de Boston.
Il a également apporté des précisions sur son mode opératoire (confirmant ainsi les news précédentes cf. ci-dessous).
Accusé du plus grand vol de numéros de CB de l'histoire de l'informatique, le forfait remonte à 2003. Depuis cette date, Albert Gonzalez a admis avoir revendu ces listings puis placé cet argent sur des comptes bancaires en Lettonie.
Le Hacker encours aujourd'hui une peine de 25 ans de prison et une amende de 1,65 millions de dollars. Tout ses biens peuvent être saisis pour payer cette dette.
Son avocat a déclaré à la presse que l'accusé se sentait "vraiment mal".
Le verdict est prévu pour le 8 Décembre 2009.
MAJ par Gordon Fowler.
Mise à jour du 31/08/09
Vol de 130 millions de cartes bleues : Albert Gonzalez plaide coupable
Le responsable du plus important vol de numéros de cartes bleues de l'Histoire de l'informatique a annoncé qu'il plaiderait coupable.
Albert Gonzales, hacker reconnu, avait été engagé par les services secrets américains avant d'être démasqué comme "agent double.
Suite à ce "au plaidoyer de marchandage" (plea bargain) avec le procureur, le présumé cerveau de l'escroquerie réalisée par injection SQL (cf. plus bas, news précédente) encourt désormais une peine de prison diminuée allant de 15 à 25 ans.
Il devra par ailleurs payer 2,8 millions de dollars en liquide, vendre un appartement à Miami, sa voiture et un montant non précisé de bijoux pour s'acquitter de l'amende liée à son forfait.
MAJ par Gordon Fowler
Hacking : des attaques par injection SQL permettent à trois américains de voler plus de 130 millions de numéros de cartes bleues. Comment contrer ces attaques ?
Un habitant de Miami âgé de 28 ans, Albert Gonzalez, ainsi que ses deux comparses d'origine russe ont été accusés aujourd'hui par les Services Secrets du New Jersey de ce que les journaux U.S. désignent déjà comme le plus grand vol de données de l'histoire américaine.
Les trois hommes ont en effet réalisé une attaque à grand échelle. Ils ont en tout mis la main sur plus de 130 millions de numéros de cartes bancaires, ainsi que sur les informations personnelles d'identification des propriétaires qui y étaient associées.
L'américain et les deux russes opéraient depuis octobre 2006 avec une technique bien rôdée : une attaque par injection SQL qui leur permettait de voler les informations désirées en contournant le pare-feu du réseau visé. Ils envoyaient ensuite les données volées sur des serveurs aux Pays-Bas et en Ukraine et effaçaient leurs traces.
Une injection SQL est un type d'attaque ciblant les applications fonctionnant avec une base de données relationnelle. Le pirate injecte une requête SQL imprévue dans le système et exploite les failles générées par cette action.
En effet, pour les sites fonctionnant de cette manière, les paramètres sont annoncés à la base de donnée sous la forme de requêtes SQL. Vous comprendrez alors aisément que si l'administration du site ne contrôle ni ne verouille les paramètres ainsi envoyés, un pirate pourra aisément compromettre la base de données, y accédant par l'envoi de ses propres requêtes falacieuses.
Par exemple, certains caractères permettent d'éxécuter plusieurs requêtes à la suite, tandis que d'autres (par exemple, l'apostrophe) forcent à ignorer la suite de la requête. De cette manière, un hacker peut lancer presque n'importe quelle requête de son cru.
Les autorités locales se félicitent d'avoir appréhendé les trois pirates -malgré les protections sophistiquées qu'ils avaient utilisées pour dissimuler leurs identités- ce qui couronne leurs efforts pour poursuivre de manière individuelle les personnes sévissant de cette manière dans le "grand banditisme électronique". La justice américaine à ici fait preuve d'une grande diplomatie pour travailler conjointement avec ses homologues étrangers dans ce cas d'envergure internationale.
L'entreprise ayant subit le plus gros préjudice dans cette affaire est Heartland Payment Systems à qui les pirates ont volé plus de 100 millions de numéros de cartes de crédit. Ont aussi été mises à mal 7-Eleven Inc. (chaîne de magasins nationale basée au Texas, 4.2 millions de numéros volés) et Hannaford Brothers (chaîne de supermarchés ayant son siège dans le Maine). Les noms des deux autres compagnies victimes de cette fraude n'ont pas encore été rendus publiques.
S'ils sont reconnus coupables, les trois compères risquent jusqu'à 25 ans de réclusion criminelle ainsi qu'une amende de plus de 500.000 dollars chacun.
Mais ce n'est pas tout pour Gonzalez, récidiviste arrêté une première fois en 2003 pour fraude à la carte bancaire, qui sera également jugé en septembre 2009 ainsi qu'à l'automne 2010 pour d'autres braquages électroniques (vol de données des compagnies TJX Companies, Dave & Busters, BJ's Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 et DSW).
Source : Communiqué du Ministère de la Justice des Etats-Unis
Comment éviter une attaque par injection SQL ? Utiliser des comptes utilisateurs SQL à accès limité (en lecture-seule) et des requêtes SQL préparées (requêtes à trous envoyées au serveur SQL, serveur à qui l'on envoie par la suite les paramètres qui boucheront les trous) est-il suffisant ?
Avec tous les moyens de protection actuels, est-il normal que de telles attaques soient encore réalisables ?
Comment faut-il juger les cybercriminels ?
Un hacker condamné à 20 ans de prison pour vol de données
Comment faut-il juger les cybercriminels ?
Un hacker condamné à 20 ans de prison pour vol de données
Le , par Katleen Erna
Une erreur dans cette actualité ? Signalez-nous-la !