Vol de 130 millions de cartes bleues : Albert Gonzalez reconnait les faits
D'après son avocat il réalise l'ampleur du délit

Le , par Katleen Erna, Expert éminent sénior
Mise à jour du 29.03.2010 par Katleen

Comment faut-il juger les cybercriminels ? Un hacker condamné à 20 ans de prison pour vol de données

Après une délibération longue, c'est un verdict lourd qui a été rendu avec plusieurs mois de retards sur la date annoncée en début de procès.

Rappelez-vous, fin 2009, nous vous avions parlé d'Albert Gonzalez, ce pirate qui avait dérobé plus de 130 millions de numéros de cartes de crédit.

Lors de son procès, il avait finalement décidé de plaider coupable.

Le pirate de 28 ans était inquiet de la sentence qui l'attendait, mais s'attendait-il à une peine aussi lourde ?

Jeudi, il a été condamné par un tribunal de Boston (Massachussets) à vingt ans de prison.

C'est la peine la plus lourde jamais prononcée pour du piratage de données

L'homme de 28 ans ne s'est pas arrêté en si bon chemin, et il devra comparaitre en fin de semaine pour les chefs d'accusation de complot, fraude informatique et vol d'identité pour d'autres actes de piratage.

Sa peine pourrait ainsi se rallonger de 5 ans.

La justice américaine a voulu faire de ce cas un exemple, comme l'a expliqué la juge Patti Saris : «Même si vous éprouvez des remords (...), je dois lancer un message, vu l'énorme coût de votre délit».

Albert Gonzales avait de plus dissimulé un million de dollars dans le jardin de ses parents. Somme qu'il a restituée aux autorités pour rembourser une partie de ses victimes.

Gonzales souhaitait mettre 15 millions de dollars de côté, s'acheter un yacht, et prendre sa retraite. Il va la prendre, c'est sûr, mais à l'ombre.

Mise à jour du 14/09/09

Vol de 130 millions de cartes bleues : Albert Gonzalez reconnait les faits

Après avoir annoncé qu'il allait plaider coupable, Albert Gonzalez vient de reconnaitre les faits qui lui sont reprochés, ce Vendredi, devant une Cour du District de Boston.

Il a également apporté des précisions sur son mode opératoire (confirmant ainsi les news précédentes cf. ci-dessous).

Accusé du plus grand vol de numéros de CB de l'histoire de l'informatique, le forfait remonte à 2003. Depuis cette date, Albert Gonzalez a admis avoir revendu ces listings puis placé cet argent sur des comptes bancaires en Lettonie.

Le Hacker encours aujourd'hui une peine de 25 ans de prison et une amende de 1,65 millions de dollars. Tout ses biens peuvent être saisis pour payer cette dette.

Son avocat a déclaré à la presse que l'accusé se sentait "vraiment mal".

Le verdict est prévu pour le 8 Décembre 2009.

MAJ par Gordon Fowler.

Mise à jour du 31/08/09

Vol de 130 millions de cartes bleues : Albert Gonzalez plaide coupable

Le responsable du plus important vol de numéros de cartes bleues de l'Histoire de l'informatique a annoncé qu'il plaiderait coupable.

Albert Gonzales, hacker reconnu, avait été engagé par les services secrets américains avant d'être démasqué comme "agent double.

Suite à ce "au plaidoyer de marchandage" (plea bargain) avec le procureur, le présumé cerveau de l'escroquerie réalisée par injection SQL (cf. plus bas, news précédente) encourt désormais une peine de prison diminuée allant de 15 à 25 ans.

Il devra par ailleurs payer 2,8 millions de dollars en liquide, vendre un appartement à Miami, sa voiture et un montant non précisé de bijoux pour s'acquitter de l'amende liée à son forfait.

MAJ par Gordon Fowler

Hacking : des attaques par injection SQL permettent à trois américains de voler plus de 130 millions de numéros de cartes bleues. Comment contrer ces attaques ?

Un habitant de Miami âgé de 28 ans, Albert Gonzalez, ainsi que ses deux comparses d'origine russe ont été accusés aujourd'hui par les Services Secrets du New Jersey de ce que les journaux U.S. désignent déjà comme le plus grand vol de données de l'histoire américaine.

Les trois hommes ont en effet réalisé une attaque à grand échelle. Ils ont en tout mis la main sur plus de 130 millions de numéros de cartes bancaires, ainsi que sur les informations personnelles d'identification des propriétaires qui y étaient associées.

L'américain et les deux russes opéraient depuis octobre 2006 avec une technique bien rôdée : une attaque par injection SQL qui leur permettait de voler les informations désirées en contournant le pare-feu du réseau visé. Ils envoyaient ensuite les données volées sur des serveurs aux Pays-Bas et en Ukraine et effaçaient leurs traces.

Une injection SQL est un type d'attaque ciblant les applications fonctionnant avec une base de données relationnelle. Le pirate injecte une requête SQL imprévue dans le système et exploite les failles générées par cette action.

En effet, pour les sites fonctionnant de cette manière, les paramètres sont annoncés à la base de donnée sous la forme de requêtes SQL. Vous comprendrez alors aisément que si l'administration du site ne contrôle ni ne verouille les paramètres ainsi envoyés, un pirate pourra aisément compromettre la base de données, y accédant par l'envoi de ses propres requêtes falacieuses.

Par exemple, certains caractères permettent d'éxécuter plusieurs requêtes à la suite, tandis que d'autres (par exemple, l'apostrophe) forcent à ignorer la suite de la requête. De cette manière, un hacker peut lancer presque n'importe quelle requête de son cru.

Les autorités locales se félicitent d'avoir appréhendé les trois pirates -malgré les protections sophistiquées qu'ils avaient utilisées pour dissimuler leurs identités- ce qui couronne leurs efforts pour poursuivre de manière individuelle les personnes sévissant de cette manière dans le "grand banditisme électronique". La justice américaine à ici fait preuve d'une grande diplomatie pour travailler conjointement avec ses homologues étrangers dans ce cas d'envergure internationale.

L'entreprise ayant subit le plus gros préjudice dans cette affaire est Heartland Payment Systems à qui les pirates ont volé plus de 100 millions de numéros de cartes de crédit. Ont aussi été mises à mal 7-Eleven Inc. (chaîne de magasins nationale basée au Texas, 4.2 millions de numéros volés) et Hannaford Brothers (chaîne de supermarchés ayant son siège dans le Maine). Les noms des deux autres compagnies victimes de cette fraude n'ont pas encore été rendus publiques.

S'ils sont reconnus coupables, les trois compères risquent jusqu'à 25 ans de réclusion criminelle ainsi qu'une amende de plus de 500.000 dollars chacun.

Mais ce n'est pas tout pour Gonzalez, récidiviste arrêté une première fois en 2003 pour fraude à la carte bancaire, qui sera également jugé en septembre 2009 ainsi qu'à l'automne 2010 pour d'autres braquages électroniques (vol de données des compagnies TJX Companies, Dave & Busters, BJ's Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 et DSW).

Source : Communiqué du Ministère de la Justice des Etats-Unis

Comment éviter une attaque par injection SQL ? Utiliser des comptes utilisateurs SQL à accès limité (en lecture-seule) et des requêtes SQL préparées (requêtes à trous envoyées au serveur SQL, serveur à qui l'on envoie par la suite les paramètres qui boucheront les trous) est-il suffisant ?

Avec tous les moyens de protection actuels, est-il normal que de telles attaques soient encore réalisables ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de FredN FredN - Membre du Club https://www.developpez.com
le 31/03/2010 à 16:31
En justice il existe un principe qui s'appelle la proportionnalité. Il est sensé s'appliquer aussi aux peines. C'est-à-dire que la peine doit être en fonction de la gravité du crime. Dans ce sens, les comparaisons sont donc tout à fait justifiées.

Et comment détermine-t-on la gravité d'un crime: en considérant les dommages causés et les circonstances du crime. En l'occurrence, les circonstances sont défavorables ici, puisque cette personne n'est pas exemplaire, mais ce point ne peut pas influencer la peine de manière illimitée.

Si ce jugement avait eu lieu en Europe, je serais choqué par la lourdeur de la peine. En effet, pour un braquage du même montant, voir en y ajoutant un meurtre (lors du braquage), je ne suis pas persuadé que la peine serait plus élevée. Et pourtant les dégâts sont plus importants (meurtre + traumatisme des victimes). Clairement, il y aurait ici un problème de proportionnalité. Maintenant le cas qui nous concerne est aux Etats-Unis, et là je ne suis pas sûr que ce principe n'est pas respecté, vu que la plupart du temps les peines sont plus sévères que chez nous (le braquage pour une somme inférieure est certainement plus fortement puni et je ne parle même pas du meurtre qui peut conduire à la peine de mort suivant l'état).
Avatar de eomer212 eomer212 - Membre actif https://www.developpez.com
le 31/03/2010 à 17:11
un truc qui m'a bien fait rigoler, et que mon beau-frère lieutenant de police m'a raconté.
Dans le cas de fausse monnaie, actuellement, les faux monnayeurs qui connaissent la combine, et très bien aidés de leurs avocats qui sont les premiers à tremper dans cette boue, utilisent un vide juridique.
En effet, un billet ne peut être qualifié de fausse monnaie, que s'il porte un numéro de série d'un billet similaire émis par la banque de france.
donc, parade, ils emettent des faux billets en prenant bien garde de choisir des séries de numéros non utilisées par la banque de france.
cela suppose quelques complicités, mais du coup quand ils se font prendre, ce n'est plus vingt ans, mais seulement quelques mois de prison qu'ils encourent..
sacré systéme juridique, n'est-ce pas.?
Avatar de j.peg j.peg - Membre averti https://www.developpez.com
le 31/03/2010 à 17:23
http://www.gar-asbl.be/dossiermiguel.htm

Un policier ivre (2g/l) au volant tue un adolescent de 15 ans
Condamnation:
- 18 mois de prison ferme
- 5 ans de déchéance du droit de conduire, devoir repasser le permis de conduire et des examens psychologiques

Alors 20 ans pour du vol , quelque soit le montant et le nombre de victimes , j'ai vraiment du mal à trouver ça logique...
Avatar de benzoben benzoben - Membre actif https://www.developpez.com
le 01/04/2010 à 12:26
Je suis quand même pas mal halluciné par certains arguments/propos qui montrent vraiment un certain pessimisme/égocentrisme/jem'enfoutisme. Des trucs du style : ben de toute façon c'est l'homme, il est comme ça, on peut rien faire.
Ça fait vraiment peur de voir la mentalité de certains. La dérive de notre société ne m'étonne plus quand je vois ces façons de penser.

Par ailleurs, un autre truc aussi qui m'interpelle et qui est illustré par le sujet même du débat pour lequel on se demande pourquoi il est posé sur développez.net : c'est que les gens n'y connaissent rien. Il y a personne qui connait un clou sur les arguments apportés (j'ai moi même apporté quelques réponses hasardeuses je reconnais).
On parle des principes de la justice, des fondements de la société, encore pire des exemples foireux dans d'autres pays sans en avoir aucune idée. Les comparaisons sont faites sans discernement, personne ne connait les notions de droits les plus élémentaires nécessaires à une argumentation censée et pire la majorité sort l'histoire du contexte américain pour se placer en France.

Certains jugeront peut-être déplacée ou non constructive ma réponse mais je trouve que ce genre de débat mérite quand même une certaine réflexion et surtout des connaissances autres que des préjugés trimbalés depuis l'adolescence.
Avatar de benzoben benzoben - Membre actif https://www.developpez.com
le 01/04/2010 à 12:30
Citation Envoyé par j.peg  Voir le message
http://www.gar-asbl.be/dossiermiguel.htm

Un policier ivre (2g/l) au volant tue un adolescent de 15 ans
Condamnation:
- 18 mois de prison ferme
- 5 ans de déchéance du droit de conduire, devoir repasser le permis de conduire et des examens psychologiques

alors 20 ans pour du vol , quelque soit le montant et le nombre de victimes , j'ai variment du mal à trouver ça logique...

Voila un exemple typique de l'argument idiot, hors contexte et qui illustre le manque de prise de recul entre ressenti et réflexion
Avatar de Jidefix Jidefix - Membre éprouvé https://www.developpez.com
le 01/04/2010 à 14:23
Citation Envoyé par benzoben  Voir le message
Certains jugeront peut être déplacée ou non constructive ma réponse mais je trouve que ce genre de débat mérite quand même une certaine réflexion et surtout des connaissances autres que des préjugés trimbalés depuis l'adolescence.

Je suis d'accord sur les faits, mais en même temps il faut aussi dire qu'on n'est ni juriste, ni historiens, ni économistes, et je ne sais pas pour les autres mais je n'ai pas forcément que ça à faire de passer des siècles à me documenter précisément sur chaque sujet.

Et pourtant mon opinion va compter, à travers mon droit de vote et mes actions quotidiennes.

D'après mon expérience, la méthode la plus efficace consiste donc à chercher à contredire la personne précédente (le plus intelligemment tout de même on est pas des sauvages), ce qui
1) me force à réfléchir à des arguments
2) force la personne d'en face à en trouver d'autres.

En général ça se passe bien, et faut pas croire, même si c'est rare que j'écrive des trucs du genre "Je suis désolé j'avais tort" (on est borné ou on ne l'est pas hein ), il m'arrive fréquemment de changer d'avis lors d'un débat (et j'espère ne pas être le seul)
Avatar de lollancf37 lollancf37 - Membre du Club https://www.developpez.com
le 01/04/2010 à 15:10
Citation Envoyé par benzoben  Voir le message
Je suis quand même pas mal halluciné par certains arguments/propos qui montrent vraiment un certain pessimisme/égocentrisme/jem'enfoutisme. Des trucs du style : ben de toute façon c'est l'homme, il est comme ça, on peut rien faire.
Ça faire vraiment peur de voir la mentalité de certains. La dérive de notre société ne m'étonne plus quand je vois ces façons de penser.

Pensent tu vraiment que les gens sur ce forum, qui expriment leur opinion sur un fait de société contribue a la "dérive" de la société ?
Ce que je vois c'est que tu essaie de prendre de la hauteur sur un sujet que tu ne maitrise pas. Tu utilise donc des termes que tu ne maitrise pas : pessimisme, égocentrisme ... pour finalement dire des choses que n'apportent rien au débat sauf ton opinion subjéctive basé sur rien.

Citation Envoyé par benzoben  Voir le message
Par ailleurs, un autre truc aussi qui m'interpelle et qui est illustré par le sujet même du débat pour lequel on se demande pourquoi il est posé sur développez.net : c'est que les gens n'y connaissent rien. Y a personne qui connait un clou sur les arguments apportés (j'ai moi même apporté quelques réponses hasardeuses je reconnais).

Sa serait cool si tu pouvais ne parlez que pour toi.

Citation Envoyé par benzoben  Voir le message
On parle des principes de la justice, des fondements de la société, encore pire des exemples foireux dans d'autres pays sans en avoir aucune idée. Les comparaisons sont faites sans discernement, personne ne connait les notions de droits les plus élémentaires nécessaires à une argumentation censée et pire la majorité sort l'histoire du contexte américain pour se placer en France.

T'es vraiment bizarre comme individu.

Citation Envoyé par benzoben  Voir le message
Certains jugeront peut être déplacée ou non constructive ma réponse mais je trouve que ce genre de débat mérite quand même une certaine réflexion et surtout des connaissances autres que des préjugés trimbalés depuis l'adolescence.

Je trouve sa éfféctivement non-constructif, d'autant plus que tu n'apporte pas de preuve de ce que tu avances, ni ne pose des questions qui pourrait illustrer ce dont tu parles.

Déplacé pas vraiment, moi je dirais plus arrogant.

Sinon a part sa c'est juste inutile.
Avatar de lollancf37 lollancf37 - Membre du Club https://www.developpez.com
le 01/04/2010 à 15:14
Citation Envoyé par Jidefix  Voir le message
Je suis d'accord sur les faits, mais en même temps il faut aussi dire qu'on n'est ni juriste, ni historiens, ni économistes, et je ne sais pas pour les autres mais je n'ai pas forcément que ça à faire de passer des siècles à me documenter précisément sur chaque sujet.

Et pourtant mon opinion va compter, à travers mon droit de vote et mes actions quotidiennes.

D'après mon expérience, la méthode la plus efficace consiste donc à chercher à contredire la personne précédente (le plus intelligemment tout de même on est pas des sauvages), ce qui
1) me force à réfléchir à des arguments
2) force la personne d'en face à en trouver d'autres.

En général ça se passe bien, et faut pas croire, même si c'est rare que j'écrive des trucs du genre "Je suis désolé j'avais tort" (on est borné ou on ne l'est pas hein ), il m'arrive fréquemment de changer d'avis lors d'un débat (et j'espère ne pas être le seul)

Personellement je ne suis pas d'accord sur les faits. Je suis contre l'idée du chacun son boulot ...

Einstein disait que si l'on est pas capable d'expliquer ce que l'on fait a un enfant de 5 ans, alors on ne maitrise pas son sujet.
Si nous sommes censés vivre dans un pays de loi et de droit et qu'exprimer une opinion (j'ai bien dit exprimer, pas pratiquer) sur le systeme juridique requiert un bac+5 en droit, alors je me demande si je peux vraiment comprendre l'endroit dans lequel je vis.

A part sa je suis d'accord avec ce que tu dis (pour ce que sa vaut ^^), seules les imbéciles ne change jamais d'avis.
Avatar de Jidefix Jidefix - Membre éprouvé https://www.developpez.com
le 01/04/2010 à 15:54
Citation Envoyé par lollancf37  Voir le message
Personnellement je ne suis pas d'accord sur les faits. Je suis contre l'idée du chacun son boulot ...

...

Si nous sommes censés vivre dans un pays de loi et de droit et qu'exprimer une opinion (j'ai bien dit exprimer, pas pratiquer) sur le système juridique requiert un bac+5 en droit, alors je me demande si je peux vraiment comprendre l'endroit dans lequel je vis

Certes, mais quand un BAC+5 en droit te donne son opinion sur une loi, à moins qu'il soit très mauvais ou d'avoir de sérieux contre-arguments, la seule chose que tu peux faire c'est soit rester vague (débattre sur un autre aspect plus subjectif par exemple), soit citer un autre spécialiste, il faut aussi savoir reconnaitre ses lacunes.
Mais je pense qu'on est quand même d'accord, ça ne doit pas empêcher de réfléchir par soi-même
Avatar de lollancf37 lollancf37 - Membre du Club https://www.developpez.com
le 01/04/2010 à 15:55
Citation Envoyé par Jidefix  Voir le message
Certes, mais quand un BAC+5 en droit te donne son opinion sur une loi, à moins qu'il soit très mauvais ou d'avoir de sérieux contre-arguments, la seule chose que tu peux faire c'est soit rester vague (débattre sur un autre aspect plus subjectif par exemple), soit citer un autre spécialiste, il faut aussi savoir reconnaitre ses lacunes.
Mais je pense qu'on est quand même d'accord, ça ne doit pas empêcher de réfléchir par soi-même

Je pense aussi que l'on est d'accord, le bon sens ne s'étudie pas.
Avatar de Louis Griffont Louis Griffont - Inactif https://www.developpez.com
le 01/04/2010 à 16:08
Citation Envoyé par lollancf37  Voir le message
Personellement je ne suis pas d'accord sur les faits. Je suis contre l'idée du chacun son boulot ...

Einstein disait que si l'on est pas capable d'expliquer ce que l'on fait a un enfant de 5 ans, alors on ne maitrise pas son sujet.
Si nous sommes censés vivre dans un pays de loi et de droit et qu'exprimer une opinion (j'ai bien dit exprimer, pas pratiquer) sur le systeme juridique requiert un bac+5 en droit, alors je me demande si je peux vraiment comprendre l'endroit dans lequel je vis.

A part ça je suis d'accord avec ce que tu dis (pour ce que sa vaut ^^), seuls les imbéciles ne changent jamais d'avis.

D'un autre côté, c'est ce qui a été très reproché au gouvernement concernant la loi HADOPI, il me semble : le manque de connaissance du domaine de l'informatique !
Offres d'emploi IT
Ingénieur conception en électronique de puissance H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Data scientist senior H/F
Safran - Ile de France - Magny-les-Hameaux (Saclay)
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil