La chose est assez rare pour mériter d’être soulignée : aux USA, un pirate informatique s’est attaqué à une prison du Michigan via spear-phishing dans le but de faire libérer son ami détenu.
Le pirate a réussi son coup jusqu’à pénétrer au sein du système informatique de la prison du comté de Washtenaw dans le but de modifier le dossier d’un ami à lui détenu dans le Michigan. L’opération a eu lieu entre janvier et mars 2017, période au cours de laquelle Konrads Voits, un jeune Américain de 27 ans, a réussi l’exploit de s’infiltrer au sein du réseau informatique interne de la prison, principalement via spear-phishing.
Les premières étapes se sont basées sur du phishing via des e-mails ciblés : le jeune homme a envoyé aux employés de l’administration pénitentiaire des e-mails les incitant à se connecter sur une copie piégée du site Web du comté. Pour parfaire le piège, une URL très ressemblante a été utilisée : « www.ewashtenavv.org » au lieu de « www.ewashtenaw.org » (le dernier ‘w’ a été habillement remplacé par deux ‘v’). Le domaine a quant à lui été enregistré anonymement via Protonmail avec des fausses informations. Néanmoins, cela n’a pas fonctionné.
Loin de se décourager, Konrads Voits est passé à de faux appels téléphoniques, anonymisés par le biais de l’application mobile Hushed, via des téléphones jetables. Il s’est fait passer pour un technicien informatique, en argumentant une soit disant mise à jour du logiciel XJail, le système interne de gestion de prison. La manipulation était très simple mais à haut risque : télécharger un fichier via une URL et l’exécuter. Bingo, l’un des employés de la prison est tombé dans le piège et à ouvert une porte d’entrée au pirate au sein du système…
Grâce à cette porte dérobée, le pirate a eu accès à la totalité du système, y compris aux informations sensibles sur le personnel et les détenus. Il ne lui restait plus qu’à modifier la date de sortie de son ami !
Mais le pirate n’a pas été assez discret durant ses tentatives d’infiltration. Il a notamment été repéré par un serveur dans un café après être resté connecté au réseau Wi-Fi gratuit toute une journée. Finalement, il a été arrêté pour une autre affaire, suite à une perquisition à son domicile pour fausse alerte à la bombe. Il a été pris en flagrant délit de piratage de la prison lors de la visite des autorités… une analyse complète de son ordinateur a révélé tous les détails de son attaque ciblée.
Il a été arrêté et à plaidé coupable. L’homme risque maintenant dix ans de prison et 250 000 dollars d’amende.
Source : 01Net