« La fois où j'ai travaillé pour une organisation criminelle ». Un ancien employé raconte les tâches louches qu'il devait faire Pour une structure qui est désormais poursuivie en justice

https://www.developpez.com/actu/294645/-La-fois-ou-j-ai-travaille-pour-une-organisation-criminelle-Un-ancien-employe-raconte-les-taches-louches-qu-il-devait-faire-pour-une-structure-qui-est-desormais-poursuivie-en-justice/

Le procès contre Amir Golestan et son fournisseur de services Web Micfo fait la lumière sur l’écosystème qui régit le monde des spammeurs et des pirates en ligne, selon un article du Wall Street Journal qui date du 17 février 2020.

Dans cette première poursuite en justice pour fraude contre une petite entreprise technologique, Golestan fait face à 20 chefs d’accusation de fraude électronique dans une poursuite intentée devant le tribunal de district des États-Unis en Caroline du Sud. Golestan et sa société ont plaidé non coupables.

La victime présumée est le registre américain à but non lucratif pour les numéros Internet, basé à Centerville, en Virginie. La société est chargée d’attribuer des adresses de protocole Internet (IP) à tous les appareils en ligne en Amérique du Nord et dans les Caraïbes, ce qui permet aux appareils de communiquer entre eux en ligne. L’affaire tourne autour des adresses IP.

Il s’agit du premier cas fédéral qui porte des allégations de fraude sur les ressources Internet. Il pourrait finir par définir de « nouvelles limites pour le comportement criminel » aux confins de l’infrastructure Internet largement indéfinie.

Les gens se voient généralement attribuer une adresse IP automatiquement lorsqu’il s’agit de se connecter à un téléphone portable ou à un fournisseur de services Internet. Les adresses IP, cependant, sont l’équivalent en ligne des numéros de téléphone à domicile et sont des « identificateurs clés » pour les autorités qui recherchent des criminels en ligne.

Dans le procès de Micfo, le ministère de la Justice allègue que Golestan a créé des sociétés-écrans pour tromper le registre et qu’il a pu ainsi obtenir 800 000 adresses IP. Il les a ensuite louées ou vendues à des clients. Ses clients auraient été des réseaux privés virtuels (VPN) qui permettent aux utilisateurs de maintenir l’anonymat en ligne. Les VPN peuvent être utilisés pour la protection de la vie privée en ligne ou pour protéger l’identité des fraudeurs et des cybercriminels. Ils peuvent être utilisés pour transmettre du contenu illicite ou pour aider les cybercriminels à cacher leurs traces.

Alors que Micfo amassait des clients VPN en utilisant les adresses IP obtenues illégalement, beaucoup de trafic (certains étant criminels) passait par son réseau sans laisser de trace, selon des assignations à comparaître du gouvernement adressées à Micfo et examinées par le Wall Street Journal.

Golestan et Micfo ne sont pas accusés de faire partie ou même d’être au courant d’une activité illégale transmise via des VPN sur les serveurs de Micfo. Le DOJ l’a accusé, lui et la société, d’avoir « commis une fraude au détriment du registre Internet pour obtenir les adresses IP sur une période de plusieurs années ».

Les procureurs ont déclaré que l’activité présumée de Golestan lui aurait rapporté au moins 14 millions de dollars. Ils se sont basés sur la valeur estimée par le gouvernement entre 13 et 19 dollars pour chaque adresse IP vendue sur le marché secondaire.

Un ancien employé de Micfo s’exprime

Le lendemain, dans un billet de blog, un ancien employé de Micfo a décidé de s’exprimer à ce sujet, notamment sur les activités qu’il menait pour le compte de la structure.

« J’ai été employé par Micfo pendant plusieurs mois, j’ai rapidement déterminé qu’ils n’étaient pas nets et étaient impliqués dans des pratiques illégales. Je n’ai pas abandonné à cause de cela, j’ai arrêté parce que je me sentais indésirable, par les RH et la direction. Plus tard, ils m’ont demandé de revenir », commence l’ancien employé.

Comme pour prouver que son récit est digne de confiance, il a commencé par donner un lien vers son Hacker Culture Blog qu’il tient depuis des années.

Au début, tout se passait bien. L’ancien employé était plutôt content de sa nouvelle situation professionnelle : « j’ai commencé le travail et même si les tâches ne consistaient pas tout à fait en ce qui m’avait été dit, j’étais heureux de travailler sur des choses amusantes. J’ai commencé à être en covoiturage avec une femme qui est devenue ma meilleure amie à Charleston. Nous avons accroché très rapidement et un collègue a même été impressionné par notre capacité à communiquer complètement de façon non verbale. Pendant un moment, tout allait pour le mieux dans le meilleur des mondes ».

Les crimes VPN

Mauvaise gestion des mandats

« Nous avons beaucoup reçu… BEAUCOUP… d’assignations et de mandats de perquisition. J’avais déjà travaillé dans le cadre d’une division abus et confiance dans une entreprise auparavant, donc me voir confier certaines de ces responsabilités ne me semblait pas si étrange. À un moment donné, nous avons reçu un mandat de perquisition, adressé à Micfo, mais envoyé à l’un de nos partenaires commerciaux. J’ai dit à la direction que j’appellerais simplement l’agent LEO dans le mandat et que je réglerais le problème. Cela a provoqué plus qu’un tollé avec la direction supérieure. Ils ont insisté pour que je ne parle à aucun LEO et que je ne réponde aux assignations et aux mandats de perquisition qu’à travers le portail du Channel Partner et en tant que Channel Partner. C’était la première fois que mon enthousiasme pour travailler avec eux me quittait. Plus que cela, ils ont presque réussi à me faire pleurer et des émotions se bousculaient en moi ; je me demandais pourquoi ces gens qui me tiennent tant à cœur me demandent de faire quelque chose qui ne me semble pas bien. À ce moment-là, toute tâche que j’effectuais était systématiquement revérifiée par un œil scrupuleux. En une semaine, j’étais convaincu que Micfo englobait plus que Micfo, que cette entreprise disposait d’une poignée de sociétés-écrans:

  • Cloudiac
  • Contina
  • Hostbang
  • Hostaware
  • Oppobox
  • Roya
  • Telentia
  • Virtuzo

« Cela a été avéré plus tard lorsque le PDG (Amir) a admis dans le procès ARIN (Registre américain des numéros Internet) qu’il était vraiment derrière ces entités. Nous avions un portail pour chaque partenaire de canal, les billets de niveau 1 seraient pris en charge par une équipe en Inde, tous les autres nous ont été transmis. Une fois que j’avais une raison de me méfier de ce qui se passait, la suite a été assez facile ».

Mise en danger des enfants

« Comme mentionné précédemment, j’ai remarqué que la quantité d’assignations et de mandats de recherche semblait exceptionnelle pour une entreprise de notre taille. Je l’ai mise sur le compte du fait que nous hébergions beaucoup de VPN et les gens sur les VPN ont tendance à mal se comporter. Je me suis beaucoup appuyé sur cette excuse après avoir constaté que les assignations et les mandats de perquisition de mise en danger des enfants revenaient beaucoup, d’ailleurs beaucoup trop à mon goût. Par la suite j’ai été prié de ne plus m’occuper de ces choses, je pense que mon malaise devenait très perceptible ».

Crimes impliquant l’utilisation frauduleuse (principalement) d’IPv4 et d’IPv6

Enregistrements PTR, facilitation de spams

« Après avoir modifié mon millionième enregistrement PTR, puis suggéré d’automatiser le processus, j’ai commencé à me demander pour quelle bonne raison je n’ajoutais pas des PTR par paquets et pourquoi je devais les changer aussi rapidement. Eh bien, à quoi sert un enregistrement PTR ? À la base, c’est une recherche inversée, donc vous recherchez une adresse IP, vous obtenez un nom. Parmi ceux qui utilisent les enregistrements PTR figurent les services de messagerie, pour prouver que quelqu’un n’est pas un spammeur. Faisions-nous du spam ? Bien sûr que non, c’est illégal. Nos clients nous utilisaient-ils pour spammer ? Fichtre ! Oui, ils le faisaient. Je ne change pas un million de PTR par jour et crée un système auquel ils peuvent faire des soumissions automatiques pour les changer s’ils ne le font pas [spammer]. Nous étions sans aucun doute en train de permettre le spam. Notre plus gros client soumettait des suppressions, des ajouts et des modifications PTR à nos partenaires de distribution, je me connectais au portail des partenaires de distribution, les recevais puis agissais en conséquence ».

Violation des conditions d’utilisation

« Souvent, le PDG et le vice-président parlaient ouvertement de la manière dont l’un de nos clients violait les conditions d’utilisation de plusieurs sociétés. À l’époque, je ne saisissais pas bien de l’ampleur de ce qui se passait. Je me souviens d’un autre client d’une autre société d’hébergement pour laquelle j’ai travaillé une fois qui a fait la même chose, notamment obtenir un gros bloc d’adresses IPv6, et cela a été rejeté et sanctionné par une amende, bien qu’il s’agissait juste d’un gars intelligent qui voulait abuser un peu du système. Il ne m’est pas venu à l’esprit que cette entreprise le faisait à grande échelle, ne faisant pas tourner quelques blocs IPv6 avec quelques serveurs, mais plutôt des centaines de milliers d’adresses avec des serveurs numérotés dans les 100 ou 1000. Je ne l’ai réalisé que beaucoup plus tard, plus d’un an en fait. La société tentait très probablement de cloner les résultats de recherche Google afin de rester en avance/ au même niveau que le système de classement des pages Google. Il s’agissait d’avoir une vue précise du fonctionnement réel de l’algorithme de classement des pages en constante évolution ».