Vêtu d’un t-shirt bleu marine et souriant à la caméra, Daniel Kelley a l’air d’un jeune homme typique. Mais il est en fait l’un des cybercriminels les plus prolifiques de Grande-Bretagne, ayant passé quatre ans derrière les barreaux pour son implication dans la tristement célèbre cyberattaque TalkTalk.
La cyberattaque a coûté au géant des télécommunications environ 77 millions de livres sterling et a compromis les informations personnelles de plus de 150 000 clients. Tout, des coordonnées bancaires aux adresses e-mail, a été volé à la suite de l’incident.
En plus du succès de TalkTalk, Kelley a accumulé une série d’autres cyber-infractions graves qui l’ont conduit en prison – il a également piraté le collège basé à Llanelli qu’il a fréquenté en 2015, Coleg Sir Gar, ainsi que de nombreuses autres organisations.
Kelley a un CV de chapeau noir dont de nombreux cybercriminels en herbe ne peuvent que rêver, mais la vérité est qu’il n’a jamais eu l’intention de poursuivre une carrière de hacker, et encore moins de jouer un rôle dans une attaque célèbre. En fait, il est tombé dedans. « Je n’ai pas choisi de me lancer dans le piratage informatique ou la cybersécurité – c’est arrivé quand j’étais adolescent, vers l’âge de 13 ans », dit-il.
« C’était plutôt une transition indésirable. J’avais l’habitude de jouer à un jeu en ligne quand j’étais plus jeune, et j’ai fini par tricher dessus, et les forums sur lesquels j’ai trouvé les tricheurs m’ont également donné une exposition à des choses plus criminelles. Ce n’était pas comme un saut logique en interne, c’était plutôt comme une chose dans laquelle j’ai fini par tomber. Je ne me suis pas réveillé et je n’ai pas pris une décision rationnelle. »
Apprendre les ficelles du métier
Comme beaucoup d’autres chapeaux noirs, Kelley n’a pas étudié la cybersécurité au collège ou à l’université – il a acquis toutes ses connaissances et compétences techniques en ligne. « La majorité des informations que j’avais besoin d’apprendre, concepts et méthodologie, provenaient de forums en ligne. J’ai finalement rejoint des groupes sur ces forums en ligne et j’ai commencé à m’associer à divers forums de discussion IRC et Jabber (XMPP) », dit-il.
« Je n’ai pas choisi de me lancer dans le piratage informatique ou la cybersécurité – c’est arrivé quand j’étais adolescent. Je ne me suis pas réveillé et je n’ai pas pris une décision rationnelle. »
Daniel Kelley, ancien hacker au chapeau noir
Kelley a eu son premier vrai goût du piratage en tant que jeune adolescent, lorsqu’il a utilisé son nouveau savoir-faire cybernétique pour découvrir une vulnérabilité d’application Web sur un sous-domaine Microsoft. « C’était en 2011, j’avais 13 ans, et la vulnérabilité m’a permis d’injecter essentiellement du code dans une page Web », se souvient-il. « Je l’ai signalé au programme de bug bounty de Microsoft et, à son tour, ils ont répertorié mes informations d’identification sur leur temple de la renommée. Mes informations d’identification restent sur leur site Web à ce jour.
Kelley n’a pas délibérément entrepris d’utiliser ses compétences en tant que pirate informatique pour mener des actes graves de cybercriminalité. Mais, comme cela peut souvent être le cas, il a été tellement absorbé par son métier qu’il n’est pas resté très longtemps sur le chemin droit et étroit.
« J’ai commencé avec de bonnes intentions, mais au fil du temps, les réponses que j’ai reçues de l’utilisation du modèle de divulgation responsable sont devenues de plus en plus négatives. Je trouverais des vulnérabilités d’applications Web dans de grands sites Web et j’essaierais d’informer l’équipe de sécurité appropriée, mais je n’obtiendrais aucune réponse », dit-il.
« J’ai finalement accumulé toutes ces vulnérabilités, j’ai eu accès à ces forums où les gens n’étaient pas vraiment les plus éthiques, et les choses ont commencé à devenir incontrôlables. Ce n’était donc pas une décision consciente, mais quelque chose dans laquelle je suis tombé avec une exposition pertinente. »
En réfléchissant à ses expériences en tant que chapeau noir, Kelley a du mal à énumérer toutes les actions néfastes qu’il a prises. Il affirme que sa carrière criminelle « s’est étendue sur plusieurs années », au cours desquelles il « a accumulé des accusations allant de l’accès non autorisé au chantage ».
Il poursuit : « Il est difficile de résumer mon expérience parce que j’ai probablement été impliqué dans tous les aspects de la criminalité qui accompagnent la nature de mes infractions. Je suppose que la méthode consistant à exfiltrer des données et à exiger le paiement d’une rançon a finalement été ce qui m’a finalement fait attraper et ce que je regrette le plus.
Le billet d’or
Beaucoup de gens penseraient que le piratage d’une grande entreprise telle que TalkTalk est une entreprise difficile. Cependant, Kelley explique que ces entreprises ont souvent la pire cybersécurité et peuvent être plus faciles – et un peu moins gratifiantes – à pirater. Pendant ce temps, les entreprises qui investissent massivement dans la cybersécurité sont beaucoup plus difficiles à violer, et le processus implique de « chaîner plusieurs vulnérabilités ensemble ».
« Je suppose que l’exfiltration de données et l’exigence de paiement de rançon ont finalement été ce qui m’a finalement fait attraper et ce que je regrette le plus »
Daniel Kelley, ancien hacker au chapeau noir
Il dit qu’il n’a fallu que quelques heures, plutôt que quelques jours, aux auteurs de la violation de TalkTalk, pour découvrir et exploiter un problème de sécurité.capacité qui leur a permis de pirater le site Web de l’entreprise. Ceci, dit-il, était simple.
Il a déclaré à Computer Weekly: « C’était une simple vulnérabilité d’application Web qui vous permettait d’extraire des données de bases de données via une page Web. Vous n’aviez pas besoin de compétences particulières pour l’exploiter – il aurait fallu moins d’une heure pour enseigner à quiconque disposant d’un ordinateur comment le faire.
Alors que le hack TalkTalk était étonnamment simple à réaliser, Kelley n’était pas préparé à la publicité qui allait suivre. « Je me souviens d’être assis devant mon ordinateur à regarder les nouvelles nationales lorsque la PDG de TalkTalk a annoncé qu’elle avait reçu une demande de chantage, et pour une raison quelconque, malgré le fait que le lien était transparent, cela me semblait tout simplement opaque », se souvient-il. « C’était comme si je ne pouvais pas enregistrer le réalisme et la sévérité de ce que j’avais fait. J’ai juste continué à vaquer à mes occupations.
La loi rattrape son retard
La plupart des gens qui enfreignent la loi finissent par se faire prendre et doivent faire face aux conséquences de leurs actes, et il n’a pas fallu longtemps avant que Kelley n’attire l’intérêt de la police, d’abord lorsqu’il a été arrêté parce qu’il était soupçonné d’avoir piraté son collège, puis à nouveau sur des soupçons de chantage de deux entreprises, dont TalkTalk.
« Je ne m’attendais pas à la première arrestation, mais c’était fini en moins de cinq heures. La deuxième arrestation était beaucoup plus grave, et c’était comme quelque chose d’un film. Il y avait plusieurs agences qui m’attendaient chez moi », dit-il.
« J’ai été escorté jusqu’à mon poste de police local par deux voitures de police alors que j’étais assis à l’arrière d’un fourgon de police banalisé. En raison de la nature très médiatisée de l’affaire à l’époque, ils ont évacué la salle de garde et m’ont traité rapidement.
En tant que personne autiste, Kelley pense qu’il a été mal compris en prison. « Par exemple, parce que je présentais un risque pour la sécurité d’une prison en particulier, ils ont décidé de couper mes appels téléphoniques. Ce qu’ils ne réalisent pas, c’est qu’à l’extérieur, je ne passerais pas une journée sans parler à ma famille, alors vous me mettez maintenant dans cet environnement et vous coupez mon contact familial. »
Les prisons regorgent de personnes ayant divers problèmes de santé mentale et, par la suite, le personnel pénitentiaire traite souvent tous les détenus de la même manière, explique Kelley. Cela peut entraîner et entraîne effectivement la négligence des personnes vulnérables – dont les handicaps ne sont peut-être pas évidents.
« Lorsque vous dites au personnel que vous êtes sur le spectre, ils vous regardent simplement et ne voient rien de mal avec vous, alors ils supposent simplement que vous essayez de tirer parti du système », dit-il. « Quand je suis arrivé dans une prison, mon dossier contenait toutes ces notes sur mon TSA.[[Trouble du spectre autistique]Diagnostic. J’en ai parlé aux infirmières, qui ont dit qu’elles comprenaient, mais l’officier supérieur à la réception est simplement venu me voir et m’a dit: « Regardez, vous avez fait Belmarsh, je ne me moque pas de votre histoire ». Ce n’est qu’un exemple.
Bien que Kelley ait trouvé de nombreux aspects de la vie carcérale difficiles en raison de son trouble, tout n’était pas mauvais. En fait, il décrit la « routine stricte » de la prison comme une bonne chose et dit qu’il aimait faire les mêmes choses tous les jours.
La technologie en prison
Il est facile de supposer qu’un pirate informatique envoyé en prison ne serait pas exposé à des ordinateurs, mais à l’intérieur, Kelley a constaté qu’il n’était pas loin d’un PC pendant très longtemps – en entrant dans le système, il devait passer des tests de numératie et de littératie sur un ordinateur.
« J’ai été appelé dans la salle de classe et assis devant un ordinateur, où je me souviens d’être resté assis pendant 10 minutes, à me demander si c’était une bonne idée d’utiliser l’ordinateur devant moi. J’avais un SCPO [serious crime prevention order] cela m’obligeait à enregistrer tous les appareils que j’utilisais, mais cela n’est entré en vigueur que lorsque j’ai été libéré de prison.
Même si Kelley n’a pas utilisé les ordinateurs de la prison pour commettre de graves infractions de piratage, il a causé des cyber-méfaits. « Il était clair que l’enseignant n’avait aucune idée de qui j’étais ou de ce que j’avais fait », dit-il.
« Ils avaient une application sur tous les ordinateurs qui consistait en un examen de 20 questions. [and] Lorsque vous avez terminé, il vous suffit d’appuyer sur Enregistrer et la page Web contenant les résultats est enregistrée sous forme de fichier HTML. Ainsi, dans le Bloc-notes, j’ai ouvert le fichier HTML et modifié les résultats des deux examens au niveau quatre. Le professeur est venu et m’a regardé, étonné. Un mois plus tard, j’ai découvert que la note la plus élevée que vous pouviez obtenir pour ces deux examens était un niveau trois, ce qui m’a fait bien rire.
Kelley n’a pas seulement utilisé ses compétences techniques pour modifier les résultats des tests en prison. Il a également repéré une opportunité de modifier sa télévision et d’obtenir plus de chaînes. « Après quelques mois d’ennui à regarder les mêmes choses encore et encore, j’ai regardé la télévision un soir et j’ai réalisé que l’antenne n’était que du cuivre. En conséquence, je J’ai eu cette brillante idée de faire ma propre antenne. Je travaillais dans le recyclage à l’époque et je suis tombé sur une radio de rechange à la poubelle », dit-il.
« J’en ai retiré tout le cuivre et je l’ai ramené dans ma cellule, où j’ai construit une grande antenne que j’ai forcée à l’arrière de la télévision. Je l’ai pointé par la fenêtre et j’ai pris la marque et le modèle du téléviseur, j’ai cherché le code de déverrouillage et j’ai réaccordé mon téléviseur. Ma mâchoire est tombée quand il a commencé à capter plus de 200 chaînes Freeview, ce qui a amélioré mon temps.
Un hacker réformé
On pourrait soutenir que ces actes font pâle figure par rapport au hack TalkTalk – et sont assez ironiques. La réalité est que Kelley n’a pas couru le risque de commettre de graves infractions informatiques derrière les barreaux, comme la violation des réseaux carcéraux, et semble vraiment avoir appris sa leçon.
Depuis sa sortie de prison, Kelley se décrit comme un hacker réformé et n’a pas l’intention de retourner dans le monde de la cybercriminalité. Il dit que sa « perspective sur la vie a radicalement changé » et qu’il ne « voit pas l’intérêt de commettre des crimes ».
« La motivation que j’avais l’habitude d’avoir pour cela a diminué au point où je ne le trouve plus attrayant », dit-il. « J’ai fait chanter des gens pour obtenir de l’argent, même si c’était une petite somme d’argent, et il est devenu clair pour moi que j’aurais pu gagner plus d’argent par des moyens légaux en moins de temps que par des activités criminelles. »
« La motivation que j’avais pour [hacking] a diminué au point où je ne trouve plus cela attrayant. J’ai fait chanter les gens pour obtenir de l’argent, bien qu’une petite somme d’argent, et il est devenu clair pour moi que j’aurais pu gagner plus par des moyens légaux.
Daniel Kelly, ancien hacker au chapeau noir
Kelley met maintenant à profit ses compétences en cybersécurité et construit une carrière crédible dans l’industrie, au lieu de pirater et de faire chanter les entreprises. Lorsqu’il était en liberté sous caution, il s’est associé à des équipes d’intervention en cas d’incident informatique, à des administrateurs système, à des développeurs de sites Web et à des organismes gouvernementaux pour remédier à plus de 3 000 vulnérabilités de cybersécurité, et s’est même classé à la 11e place sur un important service de bug bounty.
On pourrait dire que Kelley a raccroché son chapeau noir pour toujours. « Pour le dire franchement, mais cyniquement, je ne pense pas que le fardeau de la criminalité en vaille la peine pour moi. Bien sûr, vous pouvez gagner beaucoup d’argent, mais à quoi sert l’argent si vous êtes toujours paranoïaque et que vous ne savez pas si vous serez arrêté demain? Les gens pensent rarement aux conséquences d’un mode de vie criminel », dit-il.
« Si vous voulez gagner beaucoup d’argent et construire une vie avec, vous devez envisager la possibilité de tout perdre dans 20 ou 30 ans. Si vous cessez de commettre des crimes un jour, cela ne signifie pas que toutes vos infractions antérieures ne sont plus valides. C’est une décision plus importante que la plupart des gens ne le pensent. »
Étant donné que Kelley a maintenant une ordonnance de prévention du crime grave contre son nom, construire une véritable carrière dans l’industrie de la cybersécurité n’a pas été facile pour lui. « Ce n’est pas tant la probation qui est le problème – l’équipe de probation qui s’occupe de moi est fantastique de travailler avec, et je serai hors probation l’année prochaine. Le principal problème est le SCPO », révèle-t-il.
« Il a un certain nombre de limitations qui m’empêchent d’utiliser la technologie de base, et il n’expirera pas avant 2026. Si un employeur veut m’embaucher, il doit accepter la responsabilité qui l’accompagne. Ce n’est pas comme si je pouvais simplement postuler pour un emploi régulier et suivre les procédures établies. »
Mais indépendamment de ces défis, Kelley est enthousiaste quant à son avenir dans l’industrie de la cybersécurité et reste concentré sur le laser. « J’ai cherché du travail et je continuerai à le faire, mais il s’agit de tirer le meilleur parti de la situation. »
La seule chose qu’il ne regrette pas à propos de sa carrière de black hat, c’est qu’elle lui a permis d’acquérir une « expérience de piratage informatique offensante dans le monde réel » qui ne peut être réalisée « en dehors d’un emploi ». Il ajoute : « Bien sûr, les FCC [capture the flag] et des environnements émulés existent, mais ils ne sont pas les mêmes que le piratage informatique illicite.
Lorsqu’on lui demande de donner des conseils aux jeunes qui cherchent à poursuivre une carrière dans l’industrie de la cybersécurité et à éviter les ennuis, il dit : « Si vous voulez faire carrière en cybersécurité, trouvez ce que vous voulez faire, puis commencez à examiner les exigences pour ce rôle spécifique. Il y a du matériel disponible maintenant qui n’était pas disponible il y a 10 ans, et beaucoup de gens dans l’industrie qui sont prêts à aider. »
Apprenez-en plus sur l’histoire de Daniel Kelley sur son site Web personnel et suivez-le via les médias sociaux sur Twitter ou LinkedIn.
Technologie3 ans ago
Monde3 ans ago
Technologie1 an ago
Monde3 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago