Quantcast

Ces mystérieux hackers qui tentent de rançonner Netflix

Joseph Cox

Joseph Cox

Nous avons enquêté pendant près d'un an sur The Dark Overlord, le mystérieux groupe de hackers qui tente d'extorquer de l'argent à Netflix.

La semaine dernière, un hacker - ou un groupe de hackers - a diffusé sur Internet des épisodes inédits d'Orange Is the New Black après que Netflix a refusé de lui verser une rançon, avant de menacer de diffuser d'autres séries, parmi lesquelles Celebrity Apprentice, New Girl et The Catch. Mais ce n'était pas la première action notable du groupe. Connus sous le nom de The Dark Overlord, les hackers se sont distingués par un nombre impressionnant d'infractions, volant bien souvent des montagnes de données personnelles et sensibles.

Pendant près d'un an, Motherboard et d'autres journalistes ont observé The Dark Overlord, passé entretemps d'un groupe inexpérimenté apprenant à manipuler les médias pour tenter d'extorquer de l'argent, à une véritable organisation criminelle impitoyable dont il est toutefois difficile d'évaluer le succès financier.

*

The Dark Overlord est apparu pour la première fois en juin dernier, sur une plateforme du dark web où ses membres proposaient à la vente des centaines de milliers de documents supposément dérobés à des organisations de santé américaines. Mais en vérité, les hackers ne cherchaient pas réellement à vendre les données - le groupe réclamait plutôt une rançon à chacune des victimes (alors anonymes).

" Nous demandons une somme relativement faible par rapport aux dégâts qui seront causés à ces organisations quand je déciderai de publier la liste des victimes", nous avait alors expliqué l'un des membres.

The Dark Overlord semblait alors se concentrer sur le secteur médical : peu après, le groupe a annoncé disposer de 9 millions de documents d'assurances médicales, avant de s'en prendre quelques mois plus tard à une clinique d'Atlanta. Le groupe s'est également attaqué à une entreprise qui fournit des logiciels aux services de santé, et même à un service d'oncologie de l'Indiana. Le plan des hackers consistait pour l'essentiel à pousser des journalistes à parler de ces vols de données, afin d'utiliser ensuite les articles pour mettre la pression sur les victimes.

"Vous allez publier quelque chose ?", nous demandaient encore récemment avec insistance les membres de The Dark Overlord suite à une attaque.

Pour faire davantage parler de lui, le groupe a épluché les bases de données dont il s'était emparé à la recherche de personnages publics. Les documents volés à la clinique d'Atlanta incluaient par exemple des joueurs des équipes de basket et de baseball de la ville - les Hawks et les Braves - et The Dark Overlord affirmait avoir diffusé publiquement des dossiers médicaux, parmi lesquels des documents concernant Mark F. Giuliano, le directeur adjoint du FBI.

Selon un rapport de la police d'Atlanta que nous nous sommes procurée, plusieurs patients de la clinique ont été victimes de fraudes après le hack, y compris des fraudes à la carte de crédit.

Rapport de la police d'Atlanta consacré à une attaque de The Dark Overlord.

Par la suite, The Dark Overlord a continué à s'attaquer à des institutions de santé, mais a également élargi son champ d'action. En novembre, le groupe a affirmé s'être emparé de données personnelles et commerciales appartenant à l'entreprise Gorilla Glue, qui vend de la colle aux particuliers, a également diffusé des données supposément volées à une entreprise du secteur de la défense.

" Nous faisons de l'espionnage industriel depuis déjà un moment, nous affirmait un membre du groupe à ce moment-là. Les concurrents sont intéressés par ce type de données, tout comme des acteurs étatiques d'ailleurs."

Selon un rapport rédigé par l'agent du FBI Ronnie O. Buentello et publié par Motherboard avant qu'il soit classifié, The Dark Overlord pouvait déjà se targuer d'une quinzaine de hacks majeurs à la fin du mois de mars. L'attaque contre Larson Studios, le petit studio de post-production qui a permis de faire du chantage à Netflix, n'est pas compris dans ce chiffre.

*

Un sms envoyé par The Dark Overlord au fils d'une victime de hacking.

En fonction de l'interlocuteur, The Dark Overlord joue plusieurs personnages : troll taquin, criminel sans pitié, ou professionnel calculateur.

Dans ses posts Pastebin et ses tweets, The Dark Overlord tente de se donner une image fantaisiste.

" Je suis celui qui fut, et cessa d'être ; et voyez, je suis de nouveau pour l'éternité, Amen ; et je détiens les clés des enfers et de la mort", tweetait par exemple le groupe en octobre dernier, en citant la Bible avant d'annoncer de nouveaux vols de données.

Mais quand ils s'adressent directement aux victimes, les hackers ont manifestement une approche très différente.

" Dis à ta mère et à ton père que nous avons mis la main sur tous leurs travaux de recherche et développement et que nous détruirons leur entreprise s'ils ne coopèrent pas", peut-on lire dans un sms envoyé par les hackers au fils de l'une des victimes.

Et dans d'autres cas, le groupe a carrément présenté aux victimes un contrat très détaillé, présentant les termes de l'extorsion et les responsabilités respectives de chacune des parties.

" Sous certaines conditions, thedarkoverlord effacera toutes les copies des données appartenant au Client", peut-on lire sur un contrat établi entre The Dark Overlord et l'une de ses victimes. Motherboard s'est procuré le contrat auprès de quelqu'un qui n'est pas directement lié au groupe de hackers. Le document en question, signé, définit une date limite pour le versement d'une somme en bitcoin (personne n'a transféré de fonds sur l'adresse bitcoin figurant dans le contrat au moment où j'écris ces lignes).

Section d'un contrat établi entre The Dark Overlord et une victime.

Évidemment, on ne sait pas avec vraiment si The Dark Overlord est un individu seul ou un groupe. Au cours de plusieurs mois d'échanges avec eux, leur style d'écriture et leur ton a fortement changé à plusieurs reprises, et quelqu'un qui a accès au chat crypté de The Dark Overlord affirme que plusieurs personnes peuvent y accéder.

Sur un forum du dark web, un cybercriminel connu sous le nom de "Crafty Cockney", apparemment associé à The Dark Overlord, affirme que le groupe se compose de trois membres, âgés de 20 à 40 ans, " qui mêlent intelligence, stratégie, humour et expérience."

Crafty Cockney a également diffusé un enregistrement audio de ce qui semble être un appel passé par The Dark Overlord à l'une de ses victimes en vue d'une extorsion.

Le lien exact entre Crafty Cockney et The Dark Overlord est assez flou, mais Dissent Doe, le créateur de DataBreaches.net, qui suit les deux de près, m'a affirmé qu'il y a " clairement eu une relation entre eux. Je ne sais pas ce qu'il en est aujourd'hui, en revanche." (Un homme se faisant appeler Crafty Cockney a été arrêté l'an dernier pour avoir tenté de vendre des photos supposément hackées appartenant à un membre de la famille royale britannique .)

L'enquête du FBI sur The Dark Overlord se poursuit, et les autorités ont même interrogé un chercheur en cybersécurité qui aurait eu affaire au groupe de hackers. Mais The Dark Overlord n'a pas l'air de vouloir calmer le jeu.

" Il est temps de jouer un nouveau tour", a tweeté le groupe lundi.