Encore un beau morceau de diffamation aussi mal documenté que les niaiseries des guignols des forums d’abidjan.net. Je ne souhaite à personne d’embaucher Demba Traoré pour sécuriser un site : avec lui vous risquez d’être vraiment déçu. Et exploiter une rumeur pour vendre des services frelatés c’est très vilain.

Pour la postérité, je reproduit ici le texte intégral de ce bien triste torchon.

 

Demba Traoré – «Comment j’ai piégé les pirates des sites Internet»

Cybercriminalité – Jean-Marc Liotier, un Français de 30 ans, a attaqué plusieurs sites de la Résistance, dont le nôtre. Notre expert, Demba Traoré, l’a traqué et a réuni toutes les preuves contre lui. Il raconte.

Le contexte

Le mercredi 29 novembre 2006, nous sommes réveillés à 6 heures 30 du matin heure de New York par nos services techniques basés à Abidjan avec l’information selon laquelle les sites du Courrier d’Abidjan, de Lavoici et de Notre Voie avaient été défigurés. Le site du Courrier n’étant pas sous notre contrôle nous n’y pouvions rien. Mais les deux autres étant sous notre contrôle ont été arrêtés immédiatement par les techniciens afin de limiter la diffusion de fausses informations. A notre réveil ce mercredi matin nous étions loin de nous imaginer que nous allions passer 30 heures sans le moindre sommeil ! Comment les attaques ont été possibles ? Quelle est l’identité de l’agresseur ? Quelles sont les armes du crime ? Comment sommes nous arrivés à l’identifier ? Quelles sont les juridictions impliquées ? Quelles sont les dispositions prises pour éviter des attaques dans le futur ? Voilà autant de questions auxquelles nous répondrons sans pourtant aller dans des détails trop techniques qui peuvent ennuyer le lecteur, et sans compromettre les poursuites judiciaires qui pourront s’ensuivre.

Comment les attaques ont été possibles ?

Les sites Internet sont servis aux visiteurs par des logiciels spécialisés appelés serveurs Web. Les plus courants sont Apache généralement sur la plateforme Unix/Linux et Internet Informations Server (IIS) sur la plateforme Microsoft. Dans le cas de cette attaque, les serveurs étaient sur les deux plateformes. Cela mettant fin au débat de fiabilité d’une plateforme par rapport à une autre.

Il existe sur le Net de nombreux outils conçus pour tester la vulnérabilité des systèmes mis en place. Cela devrait permettre aux administrateurs de système de mettre à l’épreuve la sécurité de leurs systèmes et prendre les dispositions nécessaires pour combler leurs faiblesses. Malheureusement des individus mal intentionnés utilisent ces mêmes outils pour faire des victimes.D

Dans le cas de cette attaque le suspect a au préalable fait une reconnaissances de lieux en utilisant un scanner de sites pour obtenir l’arborescence des sites et les fichiers qui stockent les mots de passe qui servent à mettre à jour les sites. Avouons-le tout de suite sa tâche a été facile à cause de la structure intuitive des sites et la simplicité des mots de passe.

Des coïncidences malheureuses ont milité en sa faveur car les sites de Le Courrier d’Abidjan et de Notre Voie au moment de l’agression, conçus par des développeurs différents et hébergés sur des serveurs différents avaient pourtant la même arborescence en ce qui concerne les pages d’administration ! Un autre fait et pas des moindres a facilité l’attaque, c’est la routine. En effet, après plusieurs années de paisibles services, on finit par baisser la garde en ne mettant pas régulièrement à jour les systèmes d’exploitation, en n’observant pas les fichiers qui permettent de savoir les activités suspectes ciblant les sites.

Quelles sont les armes du crime ?

Dans le cas d’un des sites des journaux attaqués, le suspect a utilisé un scanner de sites pour obtenir l’arborescence du site, et la base de données qui stockaient les noms d’utilisateurs et les mots de passe des administrateurs pour ensuite tranquillement éditer le site sans avoir eu besoin de télécharger des fichiers. Pour obtenir ces informations le suspect s’est servi de Nikto version 1 et de Nessus.

C’est le lieu ici de dénoncer le manque de vigilance du fournisseur d’accès du suspect qui devrait constater des activités illégales partant de son réseau. En effet ce genre d’activités est interdit par la plupart des fournisseurs d’accès en Occident car ces mêmes outils peuvent être utilisés pour capturer les noms d’utilisateurs et les mots de passe d’autres utilisateurs pour ensuite envahir leur intimité. Pour l’instant nous n’en dirons pas plus pour des raisons évidentes de nécessité d’enquête.

Comment sommes-nous arrivés à l’identifier ?

Un suspect arrogant ou simplement naïf ? Le suspect après avoir pris contrôle des sites les a mis à jour avec du contenu en provenance de http://cipdtf.ruwenzori.net. Etant donné que n’importe qui peut faire un lien vers n’importe quel site, cet acte en lui-même n’est pas suffisant pour incriminer le propriétaire du site mentionné plus haut.

  • Les empreintes digitales du suspect : Le suspect n’étant pas particulièrement doué en «hacking» ou ayant affaire à un administrateur plus expérimenté que lui, n’est pas arrivé à effacer les traces qu’il a laissées après son forfait. Ou bien son inexpérience et peut-être son ignorance du fonctionnement des serveurs web ne lui ont pas permis de savoir que Apache tout comme IIS enregistrent de façon très détaillée les activités des visiteurs sur les sites qu’ils hébergent.

  • Deux pistes au départ (La Côte d’Ivoire et l’Allemagne) : une analyse rapide des fichiers log des serveurs attaqués a permis de savoir que les pages qui permettent de mettre en ligne les sites attaqués ont montré que des mises à jour avaient été faites à partir d’Allemagne, mais aussi de la Côte d’Ivoire avec une adresse IP (Internet Protocol) qui n’appartenait pas à première vue, aux administrateurs des sites attaqués. Le Fournisseur d’accès propriétaire de l’IP suspect en provenance de la Côte d’Ivoire avait été contacté. L’analyse et le constat du fait que ce fournisseur d’accès Internet utilisait un serveur proxy ont permis de comprendre que l’accès à partir de la Côte d’Ivoire était un accès légitime. Ainsi donc la piste ivoirienne en ce qui concerne les sites dont nous avons le contrôle venait d’être écartée.

  • La piste allemande : L’adresse IP officiellement d’origine allemande se retrouvait sur les sites mis à jour à partir de la Côte d’Ivoire et d’autres sites mis à jour hors de la Côte d’Ivoire. (C’est le lieu de noter que le «IP ivoirien» ne se retrouvait pas dans les logs de sites mis à jour à partir de l’extérieur de la Côte d’Ivoire).

  • Vous n’êtes pas aussi anonyme que vous le croyez sur Internet : En fait, chaque ordinateur qui se branche sur l’Internet a une adresse Internet universellement unique, attribuée par le fournisseur d’accès qui lui donne la liaison Internet. Ces adresses sont sous le format aaa.bbb.ccc.ddd ou (aaa, bbb. ccc et ddd) sont des chiffres compris entre 0 et 255 ainsi l’adresse IP de notre suspect sur un des sites au moment de l’attaque était 217.233.81.111. Le reste est devenu un jeu d’enfant car il y a des milliers d’outils gratuits sur le Net (Ah le Net !) pour retrouver l’origine d’une adresse Internet. Notons que dans le cas d’espèce les différents outils qui ont été utilisés nous ont conduit directement au poste pD9E9516F.dip.t-dialin.net. Ici la lecture se fait de la droite vers la gauche pour avoir plus de précision. On a ainsi pu savoir que le domaine universel est .net et l’identifiant du propriétaire de domaine est t-dialin.net et qu’il utilise un sous domaine dip.t-dialing.net , et enfin qu’il identifie le poste du suspect par pD9E9516F et tout donnant pD9E9516F.dip.t-dialin.net. Après cette identification formelle, il fallait donner un sens à ce qui précède. Nous avons utilisé d’autres outils pour savoir que dip.t-dialin.net est le réseau de Deutsche Telekom GA, avec pour siège social Frankfort en Allemagne.

A ce stade de nos investigations, nous n’avions aucun autre moyen pour savoir plus que la ville d’origine de l’IP suspect car Deutsche Telekom n’a pas pris la précaution d’enregistrer les Ip par villes et pays et les outils gratuits à notre disposition au moment des investigations ne donnaient pas plus de précisions. En général les Opérateurs internationaux segmentent leurs adresses afin de permettre une identification géographique absolue. Mais dans tous les cas de figures, les opérateurs affichent en général des contacts pour dénoncer des abus à partir d’un adresse IP et une fois contactés, si leur collaboration est acquise ils peuvent avec certitude dire qui a utilisé cette adresse à un moment précis. Jusqu’à ce point précis nous n’avions donc pas d’autres recours que de dénoncer un abus au contact fourni par le fournisseur d’accès Internet du suspect et attendre sa réaction.

Par expérience, sachant que les boîtes électroniques réservées à ce genre de requêtes ne sont pas régulièrement visitées nous avons décidé de prendre notre destin en main. C’est-à-dire sécuriser davantage pour réduire les risques d’attaques futures. Nous disons bien réduire car il n’y pas de sécurité à 100%. Mais le faisant, comment identifierions-nous le suspect si Deutsche Telekom ne réagissait pas comme c’est le cas jusqu’à présent ? Nous avons alors tendu un piège au suspect.

Quelle est l’identité de l’agresseur ?

Le site du FPI n’a pas été épargné : Au lendemain de l’attaque des sites de «Le Courrier d’Abidjan», Lavoici et de NotreVoie, le suspect ayant constaté que ces sites étaient hors ligne, s’est senti plus fort et a recherché d’autres sites de la même tendance pour les défigurer. Nous avons laissé le site du FPI sous notre contrôle ouvert. Le suspect est cette fois venu avec une adresse différente. Cela nous a permis de savoir que son IP était dynamique et non statique mais toujours en provenance de Deutsche Telekom GA. Il a utilisé les mêmes techniques pour obtenir le mot de passe et sûr de son fait il y a déversé tout son venin !

Erreur de Gawa ! Il venait d’être piégé car cette fois, il avait téléchargé des fichiers et avait fait du site du FPI un site miroir de son site. Cette fois il ne s’agissait pas de lien vers son site, mais de fichiers réels téléchargés.

Il a signé son acte ! : Jusque-là, nous refusions d’admettre que le propriétaire du site http://cipdtf.ruwenzori.net était l’auteur des attaques car ce serait trop facile. C’est comme si un voleur après son crime décidait de vous laisser sa carte d’identité ou sa carte de visite afin que vous le retrouviez en cas de besoin. Mais après analyse des fichiers téléchargés, et après comparaison avec les fichiers existants sur son site et l’arborescence des deux sites nous avons admis que le suspect était tout au moins un complice. Nous avons alors décidé de regarder de près son identité. Très rapidement en cherchant à savoir quels sont les autre sites qui sont sur le même serveur que le site en question nous avons tapé http://www.ruwenzori.net et non http://cipdtf.ruwenzori.net. Et voilà ! Fait indéniable en faisant la lecture de la droite vers la gauche comme signalé plus haut, on sait que les deux sites ont le même propriétaire. Pour la simple raison que le nom de domaine dans ce cas est ruwenzori.net www et cipdtf ne sont que des identifiants de host. Une visite rapide du site http://www.ruwenzori.net a permis d’avoir le CV d’un activiste du Net et d’un exhibitionniste !

Car tout y était. Nous avons confronté les informations fournies par lui–même avec ceux du WHOIS (qui permet de savoir qui est qui sur le net) et il n’y avait rien à redire. Mieux : selon le CV mis en ligne par le suspect, il apparaît qu’il travaille actuellement pour T-online.net en France ! Tenez vous bien T-online en France T-mobile aux Etats-Unis sont des divisions de Deutsche Telekom !

Jean Marc Liotier et Jacques Koulibaly) quel rapport ? Jean Marc Liotier est le propriétaire du site http://www.ruwenzori.net et Jacques Koulibaly (surnom composé à partir de Jacques Chirac et de Mamadou Koulibaly) est celui qui signe les articles de http://cipdtf.ruwenzori.net. Les deux personnages sont-ils différents ou bien l’un est l’ombre de l’autre ? Nous avons refusé d’accepter que J.M Liotier se cache derrière le sobriquet Jacques Koulibaly.

Conservez vos emails autant que faire ce peut car sait-on jamais : Nous nous sommes souvenus d’avoir reçu des emails en notre qualité d’administrateur d’un journal en ligne de Jacques Koulibaly, en 2004 lors des évènements de novembre puis en 2005 et nous avons retrouvé les emails en question. Une analyse rapide de ces emails a permis de savoir que Jacques Koulibaly avec l’adresse email cipdtf@yahoo.com envoyait ses courriers à partir du même réseau que Jean Marc. Dans le cas d’espèce le IP utilisé ce jour était 217.248.82.177. En retraçant cet IP comme précédemment on est tout de suite conduit au réseau de Deutsche Telekom. CQFD.

Extrait d’un email envoyé par Jacques Koulibaly :

From : Koulibaly Jacques
Sent : Monday, November 15, 2004 10:25 AM
To : [..]
Subject : Lisez vous!!!
MIME-Version: 1.0
Received: from mail2.zoneedit.com ([216.40.250.211]) by mc7-f10.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Mon, 15 Nov 2004 02:25:36 -0800
Received: from web86902.mail.ukl.yahoo.com (web86902.mail.ukl.yahoo.com [217.12.13.54])by mail2.zoneedit.com (Postfix) with SMTP id 3B1AF340B49for ; Mon, 15 Nov 2004 05:25:36 -0500 (EST)
Received: (qmail 92797 invoked by uid 60001); 15 Nov 2004 10:25:29 -0000
Received: from [217.248.82.177] by web86902.mail.ukl.yahoo.com via HTTP; Mon, 15 Nov 2004 11:25:28 CET
X-Message-Info: JGTYoYF78jH2kd7AzKHEFM+sXdl1bF+N
Return-Path: cipdtf@yahoo.fr
X-OriginalArrivalTime: 15 Nov 2004 10:25:37.0181 (UTC) FILETIME=[729F84D0:01C4CAFD]

Le chien ne change pas sa manière de s’asseoir : Après avoir formellement identifié Jacques Koulibaly comme étant J.M Liotier et ce dernier étant exhibitionniste, il fournissait sur le net la possibilité de savoir quand il est en ligne comme cela se fait avec les amis dans MSN ou Yahoo mais dans son cas il utilise un autre outil pour permettre à toute personne qui le désire de savoir qu’il est sur le net. Nous avons donc tendu un deuxième piège à notre Pirate en herbe !

Le Site de Le Courrier à nouveau attaqué mais cette fois sans succès : Sachant qu J.M Liotier était en ligne et qu’il reviendrait immanquablement sur ses pas pour constater ses dégâts, nous avons mis Le Courrier en ligne avec sa photo qu’il a gracieusement offert sur son site personnel. http://jim.liotier.org hébergé sur le même serveur que les autres cités plus haut. Nous n’avons pas boudé notre plaisir à observer en temps réel très tôt ce samedi matin, le petit pirate français en train de scanner toujours à partir du même réseau, le nouveau site de «Le Courrier d’Abidjan» à la recherche de failles. Nous avons maintenu la même arborescence pour lui donner quelque espoir mais cette fois nous étions là et avions pris des précautions supplémentaires qui empêchent l’intrus d’accomplir sa sale besogne. C’est après ce constat d’échec et se sentant impuissant, que J. M Liotier se déverse sur les différents forums visités par les Ivoiriens pour se disculper. Peine perdue «cher ami» Jim !

Quelles sont les juridictions impliquées ? Sans être juriste encore moins un expert en droit international (c’est ici le lieu pour les juristes ivoiriens de jouer leur partition), nous pouvons affirmer que les journaux ivoiriens et le Front Populaire Ivoirien peuvent saisir la justice ivoirienne afin qu’Interpol soit saisie. Selon le CV de J.M Liotier il réside en France, donc c’est à partir du territoire français qu’il a certainement opéré cela excluant la piste allemande. Toujours est-il que l’on pourra porter plainte contre Deutsche Telekom GA afin qu’elle confirme de façon absolue ces observations car propriétaire du réseau utilisé pour commettre la forfaiture. En fait, le FBI ( Federal Bureau Of Investigation aux Etats-Unis) pourrait intervenir car les serveurs attaqués sont physiquement logés aux Etats-Unis et une entreprise de droit américain a été victime.

Quelles sont les dispositions prises pour éviter des attaques dans le futur ? Il n’y a pas de sécurité à 100% disions-nous plus haut. Vous n’espérez tout même pas que nous exposions les précautions prises pour éviter des attaques futures… Jusqu’au moment où nous écrivions ces lignes les sites de «Le Courrier d’Abidjan» et de NotreVoie étaient encore en ligne malgré les multiples tentatives. Il ne faut pas aussi exclure que Jim fasse des émules qui pourraient être plus expérimentés que lui. Aux dernières nouvelles, http://www.fratmat.info venait d’être attaqué. Jim en est-il l’auteur où a-t-il fait des émules ? La suite des enquêtes nous le dira.

Demba Traoré
Expert Internet Certifié par Microsoft (MCSE+I)
Administrateur de Base de données certifié par Microsoft (MCDBA)
Senior Web Architect (titre acquis chez Intel)
Demba@i2s2.com

D’une manière générale la logique des commentaires sur cette affaire m’échappe… Je vais mettre ça sur le compte de la communication interculturelle – je ne comprends pas bien l’argot d’Abidjan. Sur les forums on conclut que je suis un travesti, que je suis un agent de la DGSE, que j’ai une femme Rwandaise et une copine Ivoirienne, que j’ai l’accent de la banlieue, que je suis un certain Stéphane, que je suis Jacques Koulibaly, que les résidents de mon immeuble se plaignent de tapage nocturne, que je suis un télé-opérateur chez Club Internet, que Deutsch Telekom finance la rébellion pour s’emparer du marché des réseaux fibre optique en Côte d’Ivoire et on peut aussi conclure que j’aime les plantains frits avec du roquefort et du chocolat chaud à l’huile de foie de morue. On peut conclure beaucoup de choses. Mais ce serait quand même un tout petit peu moins ridicule si ces conclusions étaient étayées par des faits.

Demba Traoré étale ici fièrement ses 31337 skillz d’interrogation du Whois et la fulgurante agilité déductive qui lui a permis de faire le rapprochement entre http://cipdtf.ruwenzori.net et http://www.ruwenzori.net sans compter les qualités de chercheur infatiguable grâce auxquelles il a découvert que T-Online et T-Mobile sont des filiales de Deutsch Telekom. C’est un peu court jeune homme… Le MCSE est ici fidèle à sa légende.

Si un jour sous l’emprise de champignons hallucinogènes je me laissait aller à utiliser l’infrastructure de mon employeur à des fins illégales, vous pouvez être à peu près certains que je perdrais mon emploi sur le champ dans les jours qui suivraient, sans parler des conséquences judiciaires. Prétendre que j’ai pu faire une chose pareille témoigne du manque déplorable de sérieux des allégations avancées à mon encontre. Diffamez-moi si ça vous amuse, mais pitié faites-le au moins avec un minimum de crédibilité…

Bref – Les rumeurs qui me concernent sont infondées et ceux qui les avancent continueront à s’exposer au ridicule public tant qu’ils n’apprendront pas à étayer ou au moins à faire semblant d’étayer leurs allégations. Demba Traoré fait semblant – c’est un bon début…

Quand aux autres… Les chiens aboient, la caravane passe.