Discussion :

[Patrick Ruiz]

USA : un développeur à la porte de la prison
Pour avoir aidé au déploiement furtif de son outil d’administration à distance sur des PC

Aux USA, la promotion et la vente des outils d’administration à distance ne sont pas proscrites par la loi. Seulement, cette dernière en a après les développeurs qui exhibent les capacités de pénétration furtive de ces outils ou qui aident des tiers à les déployer de façon silencieuse sur les ordinateurs de tiers.

C’est le fin mot des chefs d’accusation que le procureur fédéral a consigné dans l’acte émis à l’encontre de Colton Ray Grubbs le mois dernier. Incursion dans la vie privée, complot et cause de la perte de fonds (pour ne citer que ceux-là) sont reprochés au développeur du RAT LuminosityLink. L’intéressé a initialement nié les faits, mais se trouve en pleine procédure de négociation de peine suite à son arrestation par le FBI en juillet 2017. Grubbs a baissé la garde dans une entente passée avec le ministère public et publiée il y a peu. Il admet avoir assisté certains de ses clients dans le processus de pénétration furtive des PC.

Il faut dire que l’intéressé a commis quelques erreurs dans le processus de masquage du pan illicite de son activité qui a démarré en mai 2015. Sur Hackforum.net – un site monté par ses soins pour la promotion de l’outil – le développeur faisait usage du pseudonyme KFC Watermelon, une pratique largement adoptée par les internautes pour rester maîtres de leur identité. Seulement, il a créé une société enregistrée sous le nom Luminosity Security Solutions. L’adresse indiquée par le bureau du Secrétaire d’État du Kentucky pour cette entreprise (127 Circle Dr., Stanford, KY) apparaît dans les dossiers d’enregistrement originaux pour des dizaines de domaines incluant une demi douzaine qui pointent sur l’adresse de courriel coltongrubbs@gmail.com.

L’intéressé n’en est pas à sa première forfaiture puisque la même adresse email apparaît dans les enregistrements initiaux de barracudasec.com – un domaine identifié comme un centre de commande et de contrôle depuis 2012. Il s’agit d’une autre affaire pour laquelle la justice n’avait pas mis la main sur lui. Pour celle en cours, il risque jusqu’à 25 ans d’emprisonnement et une amende de 750 000 $.

Aux États-Unis, il ne s’agit pas d’une première. De façon chronologique, le cas Gribbs fait suite à celui de Taylor Huddleston – un programmeur de 27 ans issu de l’Arkansas et auteur du RAT NanoCore. Comme Grubbs, Huddleston a initialement plaidé non coupable en dégageant sa responsabilité de l’usage que ses clients font de l’outil proposé. Il a dû changer de discours après que le procureur le confronte à des logs Skype qui établissaient son implication dans des intrusions masquées sur les PC de tiers.

Entre 2015 et 2017, Gribbs a pu vendre son logiciel à plus de 8600 clients (coût de l’acquisition : 40 $) d’après des données d’Europol. Un bon nombre est concerné par ces développements et il n’est pas exclu que la liste des arrestations s’allonge. Cela s’est vu en 2014 avec l’auteur du RAT Blackshades écroué en même temps que douze de ses clients.

Source : krebsonsecurity

Et vous ?

Que pensez-vous ? De quelles précautions vous entoureriez-vous si vous deviez mener une telle activité ?

Voir aussi :

Le RAT Coldroot, qui cible macOS, est resté indétectable par les solutions AV alors que son code a été publié sur GitHub depuis deux ans déjà

OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux a été identifié par Avast

Symantec découvre le RAT Dendroid, un outil qui facilite la transformation d'applications Android légitimes en malwares

[seedbarrett]

Aux USA, la promotion et la vente des outils d’administration à distance ne sont pas proscrites par la loi. Seulement, cette dernière en a après les développeurs qui exhibent les capacités de pénétration furtive de ces outils ou qui aident des tiers à les déployer de façon silencieuse sur les ordinateurs de tiers.

Ils peuvent donc attaquer microsoft et autre société avec des backdoors ?

[Invité]

Que pensez-vous ?

Dès que j'ai commencé à toucher à des ordis c'est une des premières choses qu'on m'a demandé (avec le détournement d'argent).
Le coté pratique c'est que ça permet de faire un tri dans son entourage, ceux qui en font la demande, ceux se ventant de l'exploiter.

De quelles précautions vous entoureriez-vous si vous deviez mener une telle activité ?

Ca n'arrivera jamais je ne travaille pas pour l'état. Ceux qui le font sont des raclures en très grosse majorité. Oui je sais, y'a toujours une bonne raison comme le pédophile du coin, le méchant terroriste etc... mais ça fini bien souvent par l'ex qui cherche des choses compromettante pour pourrir l'autre, le chef d'entreprise qui veut des informations, se débarrasser d'un salarié sans avoir à payer quoi que ce soit etc.

[Stan Adkens]

Google a notifié au moins des dizaines de personnes ciblées par une enquête secrète du FBI
Qui auraient toutes acheté un logiciel malveillant

Un développeur du nom de Colton Ray Grubbs, arrêté en juillet 2017 pour avoir commercialisé LuminosityLink, un outil d'accès à distance dont il est l’un des créateurs et pour avoir aidé les utilisateurs à pirater et contrôler les ordinateurs à distance. Après avoir nié les faits, le développeur est passé aux aveux au cours du mois de juillet dernier.

Les procureurs fédéraux reprochait à Colton Ray Grubbs d’avoir conspiré avec d'autres pour commercialiser et distribuer LuminosityLink remote accès tool (RAT) qui a aidé ses clients à pirater des ordinateurs pour voir furtivement des documents, des photos et d' autres fichiers sur les PC des victimes. La RAT permet également aux utilisateurs de voir quelles victimes tapent sur leurs claviers à un moment donné, de désactiver le logiciel de sécurité et d’activer secrètement la webcam sur l’ordinateur de la cible.

Le développeur, qui risque jusqu'à 25 ans de prison et une amende de 750 000 dollars, commercialisait ses logiciels à 40 dollars. Il a pu vendre son logiciel de piratage à plus de 8 600 clients qui pourrait être impliqués dans cette procédure judiciaire.

En effet, des dizaines de personnes ont été contactées par Google à travers un email qui leur notifiait que le géant du Web avait répondu à une demande de publication de données utilisateurs voulue par le FBI, selon les personnes qui auraient reçu la notification, sans que l’émail ne précise si Google a transmis les données demandées au FBI. Les courriers ont été reçus et publiés par certains utilisateurs des forums et réseaux sociaux tels que Twitter. Selon Motherboard, ces notifications seraient liées à l’affaire Colton Grubbs rappelée plus haut.

Une copie de l'email publiée par un utilisateur de Twitter.

L'email reçu indique que « Google a reçu et a répondu à la question de procédure légale initiée par le Bureau Fédéral de l’Investigation (District de l'est du Kentucky), obligeant à publier des informations relatives à votre compte Google », selon les publications des personnes qui auraient reçu la notification.

Motherboard suppose que l'email a un lien avec l’affaire du RAT du développeur Colton malgré l’insuffisance de détails fournis par l’avis, car un numéro de processus légal qui serait contenu dans l'email a montré que les demandes de données utilisateurs ferait partie d'une affaire encore sous scellés, aussi les personnes ayant reçu l’email auraient acheté le logiciel LuminosityLink de Colton. De surcroît, le District du FBI qui aurait fait la demande de données utilisateurs serait le même qui a enquêté sur le développeur du RAT LuminosityLink.

En effet, Google n’est pas à sa première fois de divulguer des demandes d'application de la loi lorsque cela est permis, selon les avocats spécialisés dans la cybercriminalité.

« Il me semble que le tribunal a initialement ordonné à Google de ne pas révéler l'existence de la demande d'informations, de sorte qu'il était interdit à Google de notifier l'utilisateur. Ensuite, l'ordre de non-divulgation a été levé, de sorte que Google en a informé l'utilisateur. Il n'y a rien d'inhabituel en soi », selon Marcia Hoffman, une avocate spécialisée dans la cybercriminalité. « Il est courant que les forces de l'ordre cherchent à obtenir des informations lors d'une enquête en cours et ne souhaitent pas dévoiler la ou les cibles. », a-t-elle ajouté.

Selon Motherboard, c’est le fait que le FBI chercheraient les données sur les personnes ayant acquis le logiciel qui serait considéré comme contraire à la loi.

Luca Bongiorni, un chercheur en sécurité et l’une des personnes ayant été notifiées par Google, a acheté le logiciel LuminosityLink mais il l’utiliserait dans le cadre de son travail et uniquement avec son propre ordinateur et ses machines virtuelles.

« Si vous achetez un outil qui permet ce type de capacité d’accéder à distance à un ordinateur, vous êtes peut-être un bon ou un méchant », a déclaré Gabriel Ramsey, avocat spécialisé dans les lois sur l’Internet et la cybersécurité. « Je peux imaginer un scénario où ce type de demande atteint, pour le meilleur ou pour le pire, des comptes des deux types d'acheteurs. »

Source : Motherboard

Et vous ?

Que pensez-vous de la démarche de Google de notifier des personnes qui font l’objet de demande de données utilisateurs ?
Que pensez-vous de la livraison des données des utilisateurs aux autorités par les entreprises de l’Internet ?

Voir aussi

USA : un développeur à la porte de la prison, pour avoir aidé au déploiement furtif de son outil d'administration à distance sur des PC
OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux a été identifié par Avast
Le RAT Coldroot, qui cible macOS, est resté indétectable par les solutions AV, alors que son code a été publié sur GitHub depuis deux ans déjà
Des informations permettant de pirater les équipements d'un aéroport seraient en vente, pour 10 dollars US sur le dark web
Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware, qui a permis de pirater les données de plus de 650 clients d'une entreprise

[Le gris]

Petit à petit on y arrivera certainement!

[joublie]

" Google a notifié au moins des dizaines de personnes " : en français il est notifié quelque chose à quelqu'un, " notifier quelqu'un " est incorrect.

[nuke_y]

A noter que l'article dit bien que ce n'est pas pour son rôle de développeur qu'il est inquiété, mais pour sa participation à des activités répréhensibles.

[clementmarcotte]

En droit criminel Nord-Américain, on peut faire des aveux sans être officiellement coupable. Pour être coupable, il faut être déclaré coupable dans un procès juste et équitable ou plaider coupable. L'aveu n'est aucunement une preuve de culpabilité, sauf s'il a été fair dans des conditions précises. On peut faire des aveux à un policier et plaider devant le juge que les aveux ne sont pas admissibles en preuve parce qu'ils n'ont pas été obtenus dans les formes. Dire que monsieur est passé aux aveux ne veut absolument rien dire. L'aveu n'est synonyme de culpabilité que dans des circonstances précises. Et absolument rien dans l'article ne dit dans quelle circonstance les aveux ont été faits. C'est le plaidoyer ou le jugement qui fait foi de tout. Même quand l'accusé accepte de plaider coupable à une accusation réduite pour éviter un procès.

[Bill Fassinou]

USA : le développeur qui a conçu LuminosityLink, un cheval de Troie d’accès à distance, vient d’être condamné
à 30 mois de prison

Colton Ray Grubbs, un développeur américain, avait été mis en accusation, il y a quelques mois pour avoir conçu et vendu LuminosityLink, un cheval de Troie d’accès à distance. En juillet dernier, il a décidé de plaider coupable après avoir longtemps clamé que LuminotisyLink n’était rien d’autre qu’un outil légitime pour les administrateurs système et qu’il ne pouvait pas contrôler l’utilisation que les acheteurs en ont fait. Après avoir été confondu, grâce à des liens évidents entre son adresse mail et des documents liés à une entreprise nommée Luminosity Security Solutions, il a pris l’option de changer de fusil d’épaule et de plaider coupable.

Le jugement qui avait alors commencé vient de connaître son épilogue. Le développeur risquait jusqu’à 25 ans de réclusion criminelle et 750 000 dollars d’amende. Cependant, il n’a été condamné qu’à une peine de 30 mois. De plus, il devra renoncer à tous les produits de ses forfaits, y compris les 114 bitcoins (actuellement évalués à plus de 725 000 dollars) saisis par le FBI. Cependant, conformément à la loi fédérale, il devra purger 85 % de sa peine et devra être libéré pour être placé dans le système de probation pour une durée de trois ans.

Le jeune développeur a donc été jugé pour complot visant à accéder illégalement à un ordinateur en vue de perpétrer un acte criminel, pour complot visant à blanchir de l'argent et pour retrait illégal de biens visant à empêcher leur saisie légale. En décidant de plaider coupable, Colton Grubbs s’est reconnu coupable de complicité vis-à-vis de toutes les actions criminelles qui ont découlé de la commercialisation de LuminosityLink, parce que des actions criminelles, il y en a eu. Le logiciel vendu par le développeur a permis entre autres aux acheteurs d’enregistrer les touches sur lesquelles les victimes appuyaient, de les surveiller à l'aide des caméras et des microphones de leur ordinateur, d'afficher et de télécharger les fichiers de l'ordinateur cible et de voler les identifiants utilisés pour accéder aux sites Web.

Le pire ne réside cependant pas juste dans la variété de délits commis avec LuminosityLink, mais plutôt dans l’ampleur du marché sur lequel l’outil s’est vendu. En effet, plus de 6 000 personnes à travers le monde auraient acheté ce logiciel. Pour un outil de ce type, ceci représente un marché colossal. « Notre société moderne dépend des ordinateurs, des appareils mobiles et de l'utilisation d'Internet. Les gens doivent simplement avoir confiance en leur capacité à utiliser ces instruments modernes pour traiter leurs affaires, communiquer en privé et conserver leurs informations en toute sécurité. Il est essentiel que nous poursuivions avec vigueur les personnes qui sapent cette confiance et ont illicitement accès aux systèmes informatiques et aux informations électroniques de tiers. Tout le monde y gagne lorsque ce genre de conduites trompeuses est découvert, examiné et poursuivi », a déclaré Robert M. Duncan, Jr., procureur des États-Unis pour le Kentucky.

« La peine annoncée aujourd'hui n'aurait pas été possible sans la coopération de nos partenaires du secteur privé et des forces de l'ordre internationales, en particulier de l'unité 42 de Palo Alto et de l'unité de cybercriminalité régionale du sud-ouest du Royaume-Uni. Le FBI est déterminé à renforcer ces relations et à trouver des moyens novateurs pour lutter contre la cybercriminalité. La cybercriminalité est une épidémie mondiale et cette affaire montre à quel point des partenariats solides peuvent responsabiliser les criminels, peu importe où ils se trouvent », a déclaré Michael A. Christman, agent spécial en charge de la division de Louisville du FBI.

Les avis des internautes sur la question sont assez unanimes, ce qui est assez peu fréquent. Ils expliquent que si pour le département américain de la justice, condamner un développeur isolé était un moyen d’endiguer la crise de confiance qui s’est installée entre les utilisateurs et Internet en général, c’était peine perdue. Pour eux, ce genre de condamnations doit s’effectuer bien au-dessus du simple développeur, au niveau des grandes entreprises et des agences gouvernementales.

Source : Département de la justice des États-Unis

Et vous ?

Qu’en pensez-vous ?
Quelles précautions prenez-vous souvent pour empêcher les maliciels de s’infiltrer dans vos systèmes informatiques personnels et professionnels ?

Voir aussi

USA : un développeur à la porte de la prison, pour avoir aidé au déploiement furtif de son outil d'administration à distance sur des PC

OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux a été identifié par Avast

Le RAT Coldroot, qui cible macOS, est resté indétectable par les solutions AV, alors que son code a été publié sur GitHub depuis deux ans déjà

Des informations permettant de pirater les équipements d'un aéroport seraient en vente, pour 10 dollars US sur le dark web

Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware, qui a permis de pirater les données de plus de 650 clients d'une entreprise

[e-ric]

après avoir longtemps clamé que LuminotisyLink n’était rien d’autre qu’un outil légitime pour les administrateurs système et qu’il ne pouvait pas contrôler l’utilisation que les acheteurs en ont fait.

En faisant de la vente d'armes, il aurait eu moins de problème si quelqu'un avait tué une autre personne avec l'une de ses armes.

Triste pays qui permet la vente libre d'armes avec un tel taux de criminalité.

Cela révèle néanmoins bien la peur qu'ont les dirigeants des technologies de l'informations

Cdlt