Le Monde - 20.08.09. Inculpé lundi 17 août dans l'Etat du New Jersey pour avoir réussi à pirater 130 millions de cartes bancaires, l'Américain Albert Gonzalez, âgé de 28 ans, est réputé avoir commis "la plus grande infraction de ce type de l'histoire des Etats-Unis", selon la justice. Connu sur Internet sous les pseudonymes de "segvec", "j4guar17" ou encore "soupnazi", Albert Gonzalez est un pirate informatique chevronné. Sa première arrestation pour de tels faits remonte à 2003. A l'époque, les services secrets américains lui avaient proposé un marché : il éviterait la prison à condition d'aider la police à démasquer d'autres pirates.

Albert Gonzalez accepta la proposition et devint un auxiliaire de police efficace... tout en continuant parallèlement à mener ses activités illégales. Il aurait ainsi prévenu d'autres pirates informatiques qu'ils étaient surveillés et les aurait aidés à échapper à la justice.

En 2008, Albert Gonzalez est à nouveau arrêté pour le vol de 40 millions de numéros de cartes bancaires de clients, dans les serveurs Internet de grands magasins, de restaurants fast-food et d'organismes financiers. Selon la police, il était à la tête d'une bande d'une dizaine de personnes, Américains, Chinois, Ukrainiens, Biélorusses et Estoniens.

L'une de leurs victimes, la chaîne de magasins TJ Maxx, a annoncé que la fraude lui aurait déjà coûté 130 millions de dollars (91,3 millions d'euros). Cette fois, Albert Gonzalez est inculpé et incarcéré. Pendant sa détention, l'enquête se poursuit, et au cours de l'été 2009, la police découvre que le pirate aurait aussi volé, entre octobre 2006 et avril 2008, 130 millions de numéros de cartes bancaires supplémentaires, ce qui lui vaut une deuxième série d'inculpations.

Dans cette nouvelle affaire, il est poursuivi avec deux autres pirates, dont les noms n'ont pas été publiés et qui habiteraient en Russie, hors d'atteinte de la justice américaine.

Au fil des ans, Albert Gonzalez et ses complices ont eu recours à toute une panoplie de techniques. Selon l'acte d'accusation dressé par un tribunal du New Jersey et publié lundi, ils ont commencé de façon classique, en faisant des repérages dans les magasins pour observer le fonctionnement de leurs terminaux de cartes bancaires. Ils ont aussi visité leurs sites Web pour glaner des informations sur leurs systèmes de gestion des paiements en ligne.

Ensuite, Albert Gonzalez aurait réussi à écrire une suite de commandes spécifiques, permettant de se connecter sans autorisation grâce à Internet aux bases de données fonctionnant grâce au langage informatique SQL, utilisé par de très nombreuses entreprises commerciales. Une fois connecté sur les serveurs de ses victimes, il y aurait placé des sniffers ("renifleurs"), logiciels espions permettant de repérer les fichiers contenant des données bancaires, puis de les télécharger. Enfin, il aurait effacé les traces de son passage grâce à d'autres logiciels, conçus à cet effet.

Pour effectuer leurs attaques tout en brouillant les pistes, puis pour stocker les fichiers volés, Albert Gonzalez et ses complices auraient loué des serveurs Internet, sous de faux noms, dans le New Jersey, en Californie, dans l'Illinois, aux Pays-Bas, en Lituanie et en Ukraine.

Dans le passé, le pirate et sa bande ont aussi utilisé une technique plus sportive, le war driving. Elle consiste à parcourir des rues commerçantes et des galeries marchandes pour repérer les magasins, bars et restaurants dont les ordinateurs sont équipés de réseaux Wi-Fi. Pour cela, le pirate pose sur la banquette de sa voiture ou place dans son sac à dos, un ordinateur portable muni d'un logiciel de détection de réseaux sans fil, d'une antenne et d'un système GPS qui relève les coordonnées exactes des réseaux détectés.

DES DONNÉES REVENDUES

Si le réseau n'est pas sécurisé, le pirate peut directement envoyer par le Wi-Fi un logiciel espion, qui va se loger subrepticement dans l'ordinateur visé, pour repérer les fichiers intéressants. A noter que les réseaux Wi-Fi cryptés ou protégés par un mot de passe sont de moins en moins à l'abri, car les pirates ont désormais des logiciels "craquant" les systèmes de sécurité installés sur les routeurs Wi-Fi.

Pour réussir ces exploits, notamment la conception des sniffers, Albert Gonzalez se serait fait aider par un jeune informaticien américain très brillant, qui finissait ses études tout en travaillant pour une grande banque d'affaires new-yorkaise. Selon ses avocats, le jeune homme aurait agi par jeu ou "curiosité intellectuelle", et n'aurait pas touché d'argent. Il a été laissé en liberté provisoire, mais il est au chômage car le juge lui a interdit de s'approcher d'un ordinateur.

L'objectif d'Albert Gonzalez et de ses complices n'était pas d'exploiter eux-mêmes les données bancaires, mais de les revendre sur Internet, par petits paquets, à des bandes de type mafieux, qui se chargent de l'étape ultime, achats de marchandises, retrait de liquide, transferts de comptes, ainsi que des escroqueries plus complexes basées sur l'usurpation d'identité sur une longue période.