L’un des administrateurs de Breached arrêté par le FBI
Le fondateur du forum pirate Breached arrêté par le FBI. Un jeune américain de 20 ans ! L’histoire folle d’un hacker qui vivait à quelques kilomètres du FBI !
En janvier 2021, le FBI a arrêté l’instigateur d’un important portail pirate, Raid Forum. Omnipotent et ses amis regroupaient de nombreux espaces de discussion dédiés au piratage informatique, avec la diffusion de milliers de documents copiés par des malveillants. Le 6 février, le web a appris que le forum avait été infiltré par le FBI et fermait ses portes. De cette mise en scène, les autorités des 4 coins du globe ont pu remonter à de nombreux pirates informatiques, voleurs de données.
Quelques semaines après cette arrestation, en mars 2022, l’un des membres de Raid Forum, Pompompurin, a lancé Raid Forum 2, puis Breached. Un an plus tard, le FBI a débarqué au domicile de Pompompurin.
Conor Brian Fitzpatrick, 20 ans, a été arrêté par une équipe d’enquêteurs à son domicile, le mercredi 15 mars (1 an, jour pour jour après la création de Breached), au Nord de New York. Fitzpatrick est accusé d’un seul chef d’accusation : complot en vue de commettre une fraude sur les dispositifs d’accès. Il faut dire aussi que ce pirate, administrateur de Breached, avait énervé le FBI quelques semaines plus tôt avec la diffusion de données appartenant à un outil collaboratif de l’agence fédérale : Infraguard.
Le FBI enquêtait, depuis février 2023, sur le piratage de son réseau informatique. Plus tôt, le jeune pirate s’était amusé, entre autres, à diffuser de faux messages provenant d’adresses électroniques fbi.gov. Le FBI, anisi que la Sécurité Intérieure (DHS) comme l’indique un reportage Tv de NEWS12, le 16 mars.
Début mars, l’agence fédérale a lancé une nouvelle enquête après la diffusion de données appartenant au DC Health Link. Des informations personnelles sensibles avaient été volées sur les serveurs de l’entreprise en charge de l’assurance santé des membres et du personnel de la Chambre des représentants des États-Unis.
Pompompurin
Après la fermeture de Raid Forum en février 2022, un étrange message d’un « contact » d’Omnipotent a annoncé la création de Raid Forum 2. Cependant, ce nouveau portail n’a pas survécu une semaine, car un ancien membre très actif de Raid Forum l’a infiltré et a diffusé la base de données des membres de cette nouvelle version. Pompompurin venait de frapper, lançant par la suite Raid Forum 3, baptisé « Breached ». Pompompurin a proposé aux anciens membres ayant un rang sur Raid Forum (VIP, etc.) de se faire connaître et de prouver leur rang, dans le but d’offrir un accès privilégié au nouveau Raid Forum. Une collecte d’informations plutôt étonnante !
Pompompurin est apparu sur le web malveillant sous ce pseudonyme en octobre 2020. Derrière Pompompurin. Certains experts indiquaient sa géolocalisation à Calgary, au Canada. Les traces qu’il a pu laisser depuis 2018 le laissaient présager. Certaines remontées affichaient l’identité de CHRISTOPHER M (alias WhitePacket). Un contre-feu savamment orchestré par Pompompurin ? Ce dernier n’a pas hésité à insulter les chercheurs : « Je ne suis pas WhitePacket et je n’ai aucun lien avec lui. Peut-être que si je suis finalement arrêté, vous verrez à quel point vous vous trompez.«
Pompompurin s’était fait un nom sur Raid Forum en tant que contributeur. Il avait été l’instigateur, par exemple, d’un pied de nez au FBI en rachetant le nom de domaine Weleakinfo saisi par les autorités un an plus tôt. Le ministère de la justice américain avait oublié de le renouveler, ce qui avait permis à Pompompurin de mettre la main sur l’ensemble des utilisateurs du site en question.
Breached et compagnie
Des milliers de cybercriminels, mais aussi des spécialistes en cybersécurité, utilisent BreachForums. Bloomberg indique que ce forum diffuse plusieurs centaines de bases de données volées à des entreprises. Pompompurin a admis avoir créé le site « qui est rapidement devenu la principale place de marché dans la communauté des hackers et cybercriminels », souligne Bloomberg.
Il a été présenté au tribunal fédéral de White Plains et libéré sous caution, 300 000 dollars ayant été versés par ses parents. Depuis son arrestation, son compte Breached est bloqué. Un autre administrateur a pris la main, Baphomet (ou Enemy), pirate connu sur ce forum. Il écrit, ce 17 mars au soir, que Pompompurin « ne reviendra pas, et je vais donc prendre en charge le forum. J’ai la plupart, sinon tous les accès nécessaires pour protéger l’infrastructure et les utilisateurs de BF« . Il est secondé par un autre membre, un modérateur, Armadyl.
Cet administrateur explique surveiller en permanence le forum et « consulter tous les comptes pour voir s’il y a eu des accès ou des modifications dans l’infrastructure de Breached« . Le blog de Pompompurin est toujours actif.
À première vue, la bande cachée derrière Breached aurait prévu ce genre d’éventualité judiciaire. « J’avais déjà pensé au pire après presque 24 heures d’inactivité. Ce n’est pas souvent que Pom est absent pendant une période prolongée, et il m’a toujours prévenu à l’avance si c’était le cas. […] J’ai décidé de lui retirer l’accès à toutes les infrastructures importantes et de restreindre son compte sur le forum pour qu’il puisse toujours se connecter mais sans pouvoir effectuer d’actions d’administrateur.«
Cet administrateur indique travailler sur les prochaines étapes du plan d’urgence pour le forum. « La sécurité opérationnelle a été ma priorité depuis le premier jour, et heureusement, je ne pense pas que des lions de montagne vont m’attaquer dans mon petit bateau de pêche. » Baphomet fait référence au message diffusé par l’ancien administrateur de Raid Forum, Omnipotent, au moment du raid du FBI en 2021.
En novembre 2022, le premier nom de domaine de Breached a été suspendu. Une guerre entre Breached et un autre forum de pirates s’était déclenchée. Plusieurs faux domaines vont apparaître dans cette « présumée » guerre de territoire. Une suspicion du vol de la base de données sera même évoquée par la concurrence.
Les comptes de Pompompurin, sur différentes forums anglophones et russophones, ont été désactivés. Il était encore présent, sur un forum Russe, 48 heures avant son arrestation. Il y diffusait des bases de données piratées comme celles de TMobile ou encore d’un éditeur français, et plus de 500 000 personnes inscrites dans sa boutique.
Bref, un jour de plus chez les pirates !