Vendredi, le Le ministère américain de la Justice a annoncé que l’administrateur présumé, désormais arrêté, du tristement célèbre forum de piratage BreachForums avait facilité la vente et l’achat d’informations privées appartenant à « des millions de citoyens américains et à des centaines d’entreprises, d’organisations et d’agences gouvernementales américaines et étrangères ».
Dans un communiqué, les procureurs ont confirmé l’arrestation de Conor Fitzpatrick, 20 ans, alias Pompompurin, de Peekskill, New York. Fitzpatrick est accusé d’un chef de complot en vue de commettre une fraude au dispositif d’accès, passible d’un maximum de cinq ans de prison s’il est reconnu coupable.
Afin de prouver que BreachForums a facilité la vente et l’achat de données volées ou piratées, des agents d’infiltration du FBI ont acheté cinq ensembles de données : l’un des données volées à une société américaine anonyme d’hébergement et de services de sécurité Internet, qui contenait des noms, des adresses, des numéros de téléphone, les noms d’utilisateur, les hachages de mots de passe et les adresses électroniques d’environ 8 000 clients, ainsi que les informations de carte de paiement de 1 900 clients ; un autre ensemble de données volé à une société d’investissement anonyme basée aux États-Unis, contenant au moins 5 millions d’adresses e-mail ; un contenant les informations privées d’un « grand nombre de personnes américaines », y compris les noms complets, les adresses e-mail, les numéros de téléphone, les adresses personnelles, les dates de naissance, les numéros de sécurité sociale, les numéros de permis de conduire, les noms des banques, les numéros d’acheminement et les numéros de compte ; un autre du même vendeur, qui contenait des informations privées et des informations sur les comptes bancaires d’environ 15 millions de personnes américaines ; et un autre ensemble de données provenant d’une société de soins de santé américaine.
Les fédéraux ont rassemblé plusieurs éléments de preuve pour attraper Pompompurin. Ils ont d’abord obtenu les adresses IP que Pompompurin utilisait pour accéder à RaidForums, le prédécesseur de BreachForums, qui a été saisi par le FBI en avril 2022. Neuf de ces adresses IP étaient associées à Fitzpatrick, selon son fournisseur de services Internet Verizon, en tant qu’agent spécial du FBI. John Longmire a écrit dans l’affidavit daté du 15 mars, deux jours avant l’arrestation de Fitzpatrick.
Dans un snafu spectaculaire de la part du hacker, Longmire a écrit que le deuxième élément de preuve provenait de Pompompurin lui-même. Lors d’une conversation avec l’administrateur de RaidForums, Pompompurin a déclaré avoir remarqué qu’une violation de données publiée sur le site n’incluait pas « l’un de mes anciens e-mails », qu’il a consulté sur le site légitime de notification de violation de données Have I Been Pwned.
Même si Pompompurin a alors dit « (je ne veux pas partager mon e-mail réel pour des raisons évidentes, mais cet e-mail semble avoir le même cas que le mien): [email protected] », l’agent a écrit dans l’affidavit que cet e-mail l’adresse était en effet Pompompurin parce que le FBI a obtenu des enregistrements de Google montrant que Fitzpatrick avait enregistré cette adresse des mois avant cette conversation. Le pirate présumé avait également des comptes Google Pay liés à la fois à cette adresse e-mail ainsi qu’à un plus récent, « [email protected] », tous deux liés à un numéro appartenant à Fitzpatrick, selon l’affidavit.
En outre, l’agent a écrit qu’il avait obtenu plus d’enregistrements de Google, ce qui montrait que [email protected] avait une adresse e-mail de récupération [email protected] liée à une adresse IP enregistrée à quelqu’un avec le nom de famille Fitzpatrick et un numéro de téléphone différent, qui l’agent a dit qu’il croyait appartenir au père de Fitzpatrick.
Ensuite, selon l’affidavit, Pompompurin a utilisé plusieurs VPN pour se connecter à son compte Gmail, dont certains chevauchent son activité ailleurs sur Internet.
L’agent a également déclaré que le FBI avait obtenu des enregistrements de l’échange de crypto-monnaie Purse.io. Les dossiers de la société ont révélé que quatre des adresses IP utilisées pour se connecter à l’échange étaient également utilisées pour se connecter au compte Gmail [email protected] et au compte RaidForums de Pompompurin. De plus, ce compte Purse.io était enregistré sous le nom de Conor Fitzpatrick et l’adresse e-mail « [email protected] », indique l’affidavit.
Ces quatre adresses IP, selon l’agent, appartenaient à des fournisseurs de VPN, que Pompompurin utilisait également pour se connecter au compte « [email protected] ».
Une autre adresse IP VPN a également été utilisée pour se connecter à un compte Zoom sous le nom de « pompompurin » associé à une adresse e-mail Riseup également utilisée pour enregistrer son compte RaidForums, selon l’affidavit.
Les enregistrements de Purse.io ont également montré que le compte de Fitzpatrick avait acheté « plusieurs articles » et les avait expédiés à son adresse avec le numéro de téléphone que les autorités fédérales avaient déjà établi comme étant le sien. De plus, sept des neuf adresses IP utilisées pour se connecter à Purse.io ont également été utilisées pour se connecter au compte de Pompompurin sur RaidForums. Et, enfin, le compte Purse.io « a été financé exclusivement par une adresse Bitcoin dont Pompompurin avait discuté dans des messages sur RaidForums », selon l’affidavit.
La preuve ne s’arrête pas là. Dans une base de données de l’activité du forum RaidForums, les autorités ont vu que Pompompurin avait accédé à son compte à partir d’une adresse IP enregistrée au père de Fitzpatrick à la même adresse personnelle précédemment identifiée par les autorités, selon l’affidavit.
Cette même adresse IP a été utilisée pour accéder à un compte iCloud associé à Fitzpatrick, a écrit Longmire dans l’affidavit.
De plus, Longmire a noté que les comptes avec le pseudonyme Pompompurin sur RaidForums et BreachForums appartenaient probablement à la même personne, comme Pompompurin l’a écrit dans un post sur BreachForums : « si vous avez utilisé RaidForums, vous vous souvenez probablement de moi, j’étais l’un des plus actifs utilisateurs là-bas », et le nouveau compte Pompompurin sur BreachForums « fait allusion à l’activité passée du compte pompompurin sur RaidForums ».
Enfin, Longmire a écrit que le FBI avait obtenu un mandat pour obtenir la position GPS en temps réel du téléphone portable de Fitzpatrick auprès de Verizon, permettant aux agents d’observer que Pompompurin était connecté à BreachForums alors que la position de son téléphone indiquait qu’il était chez lui.
Les autorités fédérales ont également surveillé Fitzpatrick à son domicile tandis que des agents ont noté que le compte de Pompompurin était actif sur le forum.
Ce trésor de preuves a permis aux forces de l’ordre d’obtenir un mandat pour perquisitionner la maison de Fitzpatrick, où il a accepté de parler aux agents et « a admis qu’il est l’utilisateur du compte pompompurin », et qu' »il possède et administre BreachForums et exploitait auparavant le compte pompompurin sur RaidForums.
Le FBI n’a pas immédiatement répondu à une demande de commentaire. L’avocat de Fitzpatrick n’a pas non plus répondu à une demande de commentaire.
Ironiquement, Fitzpatrick a peut-être pensé que ce jour viendrait lorsqu’il a lancé BreachForums. Dans une interview sur le site Web de Data Knight, l’intervieweur lui a demandé : « Ne pensez-vous pas qu’il y a une raison pour laquelle le FBI a supprimé RaidForums ? Pourquoi voudriez-vous le ramener en sachant que vous pourriez faire face au même sort quoi qu’il arrive [may be]? »
Pompompurin a répondu : « Cela ne me dérange pas vraiment. Si je me fais arrêter un jour, cela ne me surprendrait pas non plus, mais comme je l’ai dit, j’ai une personne de confiance qui aura un accès complet à tout ce qui est nécessaire pour le relancer sans moi.
Le ministère de la Justice a déclaré dans sa déclaration de vendredi qu’il avait également « mené une opération de perturbation qui a entraîné la mise hors ligne de BreachForums ». Lorsqu’il a été contacté pour commenter, le porte-parole du DOJ, Joshua Stueve, a refusé de donner des détails. Au moment de la publication, BreachForums était inaccessible, affichant une erreur indiquant « mauvaise passerelle », mais le domaine semblait toujours être sous le contrôle de l’administrateur actuel du site.
Suite à l’annonce par le ministère de la Justice de l’arrestation de Fitzpatrick, la personne qui lui a succédé, connue sous le nom de Baphomet, a annoncé qu’elle fermerait le forum.
Vendredi, après la diffusion de l’affidavit en ligne, Baphomet a écrit un message sur une chaîne Telegram, déclarant que « la chose la plus importante en ce moment pour notre communauté est de savoir qu’il est maintenant confirmé que le FBI a accès à la base de données Breached », et «À ce stade, l’ensemble du document montrera clairement ce que j’ai dit pendant tout mon temps sur Breached, et que vous ne devriez faire confiance à personne pour gérer votre propre OPSEC. Je n’ai jamais fait cette hypothèse en tant qu’administrateur, et personne d’autre ne devrait l’avoir non plus.
C’est pourquoi, a ajouté Baphomet, « Remettre simplement tout le monde dans la même communauté sans aucune réflexion sur la façon dont nous avançons correctement en toute sécurité est fondamentalement un piège mortel. »
Avez-vous des informations sur BreachForums ? Nous aimerions recevoir de vos nouvelles. Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram et Wire @lorenzofb, ou envoyer un e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.