Brian Krebs – Le journaliste que les cybercriminels adorent détester
Bon cet aprem, je vais vous raconter l’histoire d’un mec qui a littéralement réinventé le journalisme d’investigation en cybersécurité. Car Brian Krebs, c’est un peu le Woodward et Bernstein du cyberespace, sauf qu’au lieu de faire tomber un président, il fait tomber des réseaux entiers de cybercriminels. Et croyez-moi, son parcours est digne de figurer dans ma série de l’été !
Brian Krebs naît en 1972 en Alabama et contrairement à ce qu’on pourrait penser, le gamin n’est absolument pas un geek dans l’âme. En 1994, il décroche son diplôme en relations internationales à l’Université George Mason et l’informatique ? Il s’en fiche complètement ! Il avait bien programmé un peu en BASIC sur un Apple II au lycée, mais sans plus. À l’époque, Brian se destine plutôt à une carrière dans la diplomatie ou les affaires internationales. Personne, absolument personne, n’aurait pu prédire qu’il deviendrait la terreur des cybercriminels mondiaux.
En 1995, le jeune diplômé de 23 ans cherche du boulot et tombe un peu par hasard sur une annonce du Washington Post. Mais attention, pas pour un poste de journaliste star ! Non, il commence tout en bas de l’échelle, au service circulation. Son job c’est de gérer les abonnements et la distribution du journal. Il passe ses journées à traiter les plaintes de clients qui n’ont pas reçu leur journal. Pas vraiment glamour, mais c’est un pied dans la place.
Bref, de là, Brian fait preuve d’une détermination qui va caractériser toute sa carrière. Il obtient un poste d’assistant de rédaction dans la salle de presse du Post. Trier le courrier et prendre en dictée les papiers des reporters sur le terrain devient son quotidien. On est à la fin des années 90, les journalistes appellent depuis des cabines téléphoniques pour dicter leurs articles, et Brian tape frénétiquement sur son clavier pour tout retranscrire. C’est l’école du journalisme à l’ancienne ! Il apprend à écrire vite, à synthétiser, à capter l’essentiel d’une histoire.
Mais Brian ne se contente pas de ce rôle subalterne. Il observe, il apprend, il absorbe tout ce qu’il peut sur le métier de journaliste. En 1999, sa persévérance paie et il décroche un poste de rédacteur pour Newsbytes.com, le service d’actualités technologiques du Post. C’est le début de sa carrière de journaliste tech. Et il couvre tout : les fusions-acquisitions, les nouvelles technologies, la bulle internet qui gonfle… Mais toujours rien sur la sécurité.
L’événement qui va complètement changer sa vie survient en 2001. Brian a alors 29 ans et s’amuse à bidouiller avec Linux sur un vieux PC Hewlett-Packard qu’il a récupéré. Il veut apprendre, comprendre comment ça marche. Il a installé Red Hat Linux 6.2 avec l’idée de transformer cette machine en firewall pour protéger son réseau domestique. Le problème, c’est qu’il ne sait pas vraiment ce qu’il fait et laisse la configuration par défaut, avec tous les services activés et les mots de passe faibles.
Et là, c’est le drame : le Lion Worm, un ver informatique créé par un groupe de hackers chinois appelé la “Honker Union”, infecte sa machine et le verrouille complètement hors de son propre système. Brian est furieux ! Il réinstalle tout, remet Linux, et BAM, il se fait réinfecter. Deux fois de suite ! Cette humiliation va déclencher quelque chose en lui. “J’étais tellement énervé”, raconte-t-il. “Comment c’était possible qu’un truc pareil existe ? Comment ces types pouvaient-ils prendre le contrôle de MON ordinateur ?”
“C’est à ce moment-là que j’ai décidé d’apprendre tout ce que je pouvais sur la sécurité informatique et Internet”, expliquera-t-il plus tard. Il devient alors obsédé. Il lit absolument tout ce qu’il peut trouver sur le sujet : les bulletins du CERT, les forums underground, les analyses de malwares. Il passe ses nuits à comprendre comment fonctionnent les attaques, les vulnérabilités, les exploits. C’est une véritable renaissance intellectuelle.
Et cette nouvelle passion tombe à pic car en 2002, quand le Post vend Newsbytes, Brian utilise ses nouvelles connaissances en cybersécurité pour décrocher un poste de rédacteur à temps plein pour Washingtonpost.com. Il couvre les sujets tech avec un angle de plus en plus orienté sécurité. Il écrit sur les virus, les vers, les premières grandes brèches de données et ses articles deviennent de plus en plus techniques, de plus en plus profonds.
Mais Brian sent qu’il peut faire plus. En mars 2005, il lance alors Security Fix, un blog quotidien centré sur la sécurité informatique, la cybercriminalité et les politiques technologiques. C’est une première pour un grand média américain : un blog entièrement dédié à la cybersécurité, alimenté quotidiennement. Brian y développe un style unique car au lieu de simplement rapporter les faits, il mène de véritables enquêtes et va chercher l’info à la source.
Et c’est là que ça devient vraiment intéressant car Brian commence à infiltrer les forums de cybercriminels. Il apprend le russe, maîtrise l’argot des hackers, comprend leurs codes. Il passe des heures sur des forums comme Shadowcrew.com, Carderplanet, DarkMarket. Il observe, il apprend, il documente. “J’ai réalisé que pour vraiment comprendre la cybercriminalité, il fallait aller là où elle se passait”, dit-il.
Ainsi, là où la plupart des journalistes se contentent de relayer les communiqués de presse des entreprises victimes de piratage, Brian va gratter plus en profondeur. Il se construit un réseau de contacts dans le milieu de la sécurité informatique, mais aussi parmi les cybercriminels eux-mêmes. Et surtout, il gagne leur respect en montrant qu’il comprend vraiment leur monde.
En août 2008, Brian publie une série d’articles qui va faire date. Il révèle les activités illicites d’Intercage (aussi connu sous le nom d’Atrivo), un hébergeur basé en Californie du Nord qui abritait une quantité phénoménale de cybercriminels. Pédopornographie, phishing, malware, spam… Atrivo hébergeait tout. L’impact est immédiat car en septembre 2008, tous les fournisseurs d’accès coupent leurs liens avec Atrivo. L’hébergeur est littéralement débranché d’Internet.
Mais Brian ne s’arrête pas là. Il enquête sur EstDomains, l’un des plus gros clients d’Atrivo, et découvre que le président de la société, Vladimir Tšaštšin, a été condamné en Estonie pour fraude à la carte de crédit, falsification de documents et blanchiment d’argent. Deux mois après la publication de son enquête, l’ICANN révoque alors la licence d’EstDomains. Krebs 2, Cybercriminels 0, joli score, non ?
Pendant toute cette période au Washington Post, Brian publie plus de 1 300 billets de blog pour Security Fix, des centaines d’articles pour washingtonpost.com, huit articles en première page du journal papier, et même un article de couverture pour le Post Magazine sur les opérateurs de botnets. Il devient LA référence en matière de cybersécurité aux États-Unis.
Mais en 2009, comme beaucoup de journalistes de l’époque, Brian est licencié du Post dans le cadre de compressions budgétaires. Le journal perd de l’argent car Internet bouleverse le modèle économique des médias. Au lieu de chercher un autre job dans un média traditionnel, il prend alors une décision audacieuse et lance en décembre 2009, KrebsOnSecurity.com, son propre site d’investigation en cybersécurité.
C’est un pari risqué car à l’époque, peu de journalistes indépendants arrivent à vivre de leur blog. Mais Brian a un avantage : sa réputation et son réseau de sources sont déjà solidement établis. Très vite, KrebsOnSecurity devient LA référence en matière d’enquêtes cybersécurités. Les RSSI, les chercheurs en sécurité, même les cybercriminels lisent religieusement ses articles.
En 2010, Brian marque un grand coup : il est le premier journaliste à rapporter l’existence d’un malware super sophistiqué qui cible les systèmes industriels iraniens. “J’ai reçu un échantillon de ce truc bizarre”, raconte-t-il. “C’était différent de tout ce qu’on avait vu avant.” Ce malware sera plus tard connu sous le nom de Stuxnet, et on découvrira plus tard qu’il s’agit d’une cyberarme développée par les États-Unis et Israël pour saboter le programme nucléaire iranien. Rien que ça !
Mais c’est à partir de 2013 que la vie de Brian bascule vraiment dans quelque chose de complètement dingue. Le 14 mars 2013, à 22h15 précises, il devient l’une des premières victimes de “swatting” parmi les journalistes. Des cybercriminels appellent le 911 en utilisant un service de spoofing pour faire croire que l’appel vient de chez lui. L’appelant, imitant Brian, déclare à la police : “J’ai tiré sur ma femme. Je l’ai peut-être tuée. J’ai une arme. Si quelqu’un entre, je tire.” Résultat : une équipe du SWAT débarque chez lui en plein dîner, armes au poing !
“J’étais en train de manger tranquillement quand j’ai vu des lumières rouges et bleues partout”, se souvient Brian. “J’ai ouvert la porte et il y avait une douzaine de flics avec des fusils d’assaut pointés sur moi. Ils m’ont ordonné de lever les mains et de sortir lentement.” Heureusement, Brian avait prévenu la police locale qu’il était journaliste en cybersécurité et qu’il risquait ce genre d’attaque et les flics ont rapidement compris que c’était un swatting.
L’incident est orchestré par un groupe de hackers opérant le site Exposed.su, incluant Eric “CosmotheGod” Taylor et Mir Islam. Ces types n’apprécient pas que Brian expose leurs activités criminelles et décident de se venger. La veille, Brian avait publié un article révélant comment ils obtenaient les données personnelles de leurs victimes via un site russe appelé SSNDOB. 45 minutes après la publication, ils avaient lancé une attaque DDoS contre son site.
Mir Islam sera plus tard condamné à deux ans de prison pour avoir swatté plus de 50 personnalités publiques, incluant Michelle Obama, le directeur du FBI Robert Mueller, le directeur de la CIA John Brennan, et même Paris Hilton. Le mec était complètement taré !
Mais les cybercriminels ne s’arrêtent pas là et en avril 2013, Brian reçoit par courrier plus d’un gramme d’héroïne pure ! Le plan diabolique étant d’envoyer la drogue chez lui, puis appeler la police pour le faire arrêter pour possession de stupéfiants. Sauf que Brian avait été prévenu du plan par ses sources sur un forum underground et avait alerté le FBI trois jours avant l’arrivée du colis.
Le cerveau derrière cette tentative de coup monté est Sergey “Fly” Vovnenko, un cybercriminel ukrainien de 29 ans qui administrait le forum de fraude “thecc.bz”. Vovnenko avait lancé un “Krebs Fund” sur le forum, demandant des donations en Bitcoin pour acheter de l’héroïne sur Silk Road. “L’idée était simple”, expliquera Vovnenko plus tard. “Faire livrer la drogue chez lui, puis faire appeler la police par un complice en se faisant passer pour un voisin inquiet.”
Pour se venger, Fly publie aussi le dossier de crédit immobilier complet de Brian sur son blog Livejournal, avec des photos de sa maison et même une couronne mortuaire qu’il fait livrer chez lui avec un message menaçant pour sa femme. Vovnenko sera finalement arrêté à Naples en 2014 et condamné à 41 mois de prison en 2017. Dans une interview surréaliste en 2019, il expliquera à Brian lui-même pourquoi il avait tenté de le piéger, s’excusant pour ses actions !
Mais LE coup de maître journalistique de Brian, celui qui va définitivement établir sa réputation, c’est l’affaire Target. Le 18 décembre 2013, Brian publie sur son blog que Target enquête sur une possible brèche de sécurité “impliquant potentiellement des millions de données de cartes de crédit et de débit”. Target n’a encore rien annoncé publiquement. Brian a eu l’info via deux sources indépendantes dans le milieu bancaire qui avaient remarqué une hausse anormale de fraudes sur des cartes ayant toutes été utilisées chez Target.
Le lendemain, Target confirme : 40 millions de comptes ont été compromis entre le 27 novembre (Thanksgiving) et le 15 décembre 2013. Les hackers ont eu accès aux données des bandes magnétiques des cartes utilisées dans les 1 797 magasins Target aux États-Unis pendant la période la plus chargée de l’année. Plus tard, on apprendra que 70 millions de comptes supplémentaires ont été touchés, avec des données personnelles volées.
Et Brian ne s’arrête pas là. En février 2014, il révèle la source de la brèche : Fazio Mechanical, une petite entreprise de chauffage et climatisation de Pennsylvanie qui travaillait pour Target. Les hackers ont d’abord compromis Fazio via un email de phishing en septembre 2013, puis ont utilisé leurs accès au portail fournisseur de Target pour pénétrer le réseau. Une fois dedans, ils ont utilisé une technique appelée “Pass-the-Hash” pour obtenir des privilèges administrateur et installer leur malware sur les caisses.
Le malware contenait la signature “Rescator”, le pseudonyme du cybercriminel qui vendait les cartes volées sur son site rescator.la. Brian découvrira alors que Rescator vendait les cartes par lots géographiques (vous pouviez acheter toutes les cartes volées dans votre ville pour frauder localement sans éveiller les soupçons). Dix ans plus tard, en 2023, Brian publiera de nouveaux indices révélant que Rescator était probablement Mikhail Shefel, un résident de Moscou.
L’année 2014 est aussi marquée par la publication de son livre “Spam Nation: The Inside Story of Organized Cybercrime – from Global Epidemic to Your Front Door”. Le bouquin devient un best-seller du New York Times et remporte un PROSE Award en 2015. Brian y raconte l’histoire fascinante des spammeurs russes et de l’économie souterraine du cybercrime, basée sur des années d’infiltration des forums criminels.
Mais être le journaliste le plus craint des cybercriminels a un prix et le 20 septembre 2016, KrebsOnSecurity subit la plus massive attaque DDoS jamais vue à l’époque : 620 à 665 gigabits par seconde de trafic malveillant ! Pour vous donner une idée, c’est assez de bande passante pour faire crasher une petite ville entière. Martin McKeay d’Akamai confirme que leur précédent record était de 363 Gbps. L’attaque de Brian fait presque le double !
L’attaque est menée par le botnet Mirai, composé de centaines de milliers d’objets connectés piratés : caméras de surveillance, routeurs, moniteurs pour bébés, même des aquariums connectés ! Tous ces petits appareils IoT avec des mots de passe par défaut comme “admin/admin” ou “root/12345” sont transformés en arme de destruction massive du web. Cette offensive utilise principalement du trafic GRE (Generic Routing Encapsulation), impossible à falsifier, prouvant que les attaquants contrôlent réellement des centaines de milliers de machines.
Le cyber-assault est probablement une vengeance pour le travail récent de Brian sur vDos, un service de DDoS à louer qu’il avait contribué à faire tomber. Deux israéliens de 18 ans qui opéraient le service avaient été arrêtés peu avant l’attaque. Mais le problème, c’est que l’attaque est tellement massive qu’Akamai, qui fournissait une protection DDoS gratuite à Brian depuis 2012, lui demande de partir. “Désolé Brian, mais tu causes des problèmes à nos clients payants”, lui dit-on en substance.
“C’était un moment difficile”, admet Brian. “J’étais littéralement censuré d’Internet par des criminels.” Heureusement, Google’s Project Shield, un service gratuit de protection DDoS pour les journalistes et dissidents, vient à sa rescousse et le site est de nouveau en ligne en quelques heures.
Les créateurs de Mirai, Paras Jha (21 ans, alias “Anna-senpai”), Josiah White (20 ans, alias “Lightspeed”) et Dalton Norman (21 ans, alias “Drake”), seront par la suite identifiés en partie grâce au travail d’investigation de Brian. En janvier 2017, il publie “Who is Anna-Senpai, the Mirai Worm Author?”, un article de 8 000 mots détaillant ses quatre mois d’enquête. Les trois seront condamnés à cinq ans de probation et 2 500 heures de travaux d’intérêt général, évitant la prison en échange de leur coopération avec le FBI.
Selon ses propres données, entre juillet 2012 et septembre 2016, le blog de Brian a subi 269 attaques DDoS ! Les cybercriminels le détestent tellement qu’ils sont prêts à mobiliser des ressources considérables juste pour faire taire son site. Mais Brian ne se laisse pas intimider. “Si ils m’attaquent autant, c’est que je fais bien mon boulot”, dit-il avec un sourire.
Au fil des années, Brian accumule les scoops et les révélations. Il expose les brèches chez Home Depot (56 millions de cartes), Michaels, Neiman Marcus, P.F. Chang’s, Sally Beauty, Goodwill, UPS, Dairy Queen, Jimmy John’s, et des dizaines d’autres. L’affaire Ashley Madison en 2015 ? C’est lui qui révèle les détails techniques du hack. Capital One en 2019 ? Encore lui. À chaque fois, son réseau de sources lui permet d’avoir l’info avant tout le monde. Les entreprises apprennent parfois qu’elles ont été piratées en lisant KrebsOnSecurity !
Ce qui rend Brian unique dans le paysage journalistique, c’est sa méthodologie. Il ne se contente pas de rapporter les faits mais infiltre les forums criminels, analyse le code des malwares, trace les flux financiers, identifie les acteurs. Il parle russe couramment pour pouvoir lire les forums underground. Il comprend le code pour pouvoir analyser les malwares. Il connaît les systèmes bancaires pour pouvoir suivre l’argent. C’est un journaliste-hacker au meilleur sens du terme.
“Pour comprendre les cybercriminels, il faut penser comme eux”, explique Brian. “Il faut comprendre leurs motivations, leurs méthodes, leur culture. C’est pour ça que je passe autant de temps sur les forums underground. C’est là que tout se passe.” Cette immersion totale lui permet de développer des sources uniques, des criminels qui lui font parfois confiance parce qu’ils respectent ses compétences techniques.
Brian a aussi développé une philosophie particulière sur la transparence car contrairement à la majorité des journalistes qui gardent jalousement leurs scoops, il partage souvent ses données brutes avec d’autres chercheurs et journalistes. Il publie les IOCs (Indicators of Compromise) pour que les entreprises puissent se protéger et documente ses méthodes pour que d’autres puissent apprendre. “L’important, c’est de protéger les gens, pas d’avoir l’exclusivité”, dit-il.
Cette approche lui a valu de nombreuses récompenses : le Cisco Systems “Cyber Crime Hero” Award en 2009, le SANS Institute Top Cybersecurity Journalist Award en 2010, le National Press Foundation Chairman’s Citation Award en 2014, l’ISSA President’s Award for Public Service en 2017, et il a été nommé Cybersecurity Person of the Year par CISO MAG. En 2018, il reçoit le Lifetime Achievement Award de la société de renseignement sur les menaces Threatpost.
Mais au-delà des prix, c’est l’impact de Brian sur l’industrie qui est remarquable. Il a forcé les entreprises à être plus transparentes sur les brèches car avant lui, les entreprises cachaient souvent les incidents de sécurité pendant des mois. Maintenant, comme elles savent que Brian finira par le découvrir, alors autant être transparent dès le début.
Il a aussi inspiré toute une génération de journalistes spécialisés en cybersécurité. Des médias comme Ars Technica, Wired, Vice Motherboard ont développé des sections cybersécurité robustes, souvent en embauchant des journalistes formés à “l’école Krebs”. Bref, il a prouvé qu’on pouvait faire du journalisme d’investigation technique sans sacrifier la rigueur ou l’accessibilité.
Ce qui est fascinant avec Brian, c’est qu’il n’a aucune formation technique formelle. Pas de diplôme en informatique, pas de certifications CISSP ou CEH. Tout ce qu’il sait, il l’a appris par lui-même, motivé par la rage d’avoir été piraté en 2001. C’est la preuve vivante que la passion et la détermination peuvent vous mener plus loin que n’importe quel diplôme.
Aujourd’hui, KrebsOnSecurity est lu par des millions de personnes dans le monde entier… PDG de grandes entreprises, responsables de la sécurité, chercheurs, forces de l’ordre, et même cybercriminels lisent religieusement ses articles. Alors quand Brian publie quelque chose, toute l’industrie est à l’écoute. Et il n’y a pas de pubs sur son site mais juste quelques sponsors triés sur le volet et des dons de lecteurs reconnaissants.
Brian continue d’opérer depuis un lieu non divulgué en Virginie du Nord. Sa maison est équipée de caméras de sécurité, d’un système d’alarme sophistiqué, et il maintient des contacts étroits avec les forces de l’ordre locales. “C’est le prix à payer”, dit-il. “Mais je ne laisserai pas la peur dicter ma vie ou mon travail.”
En 2024, KrebsOnSecurity a fêté ses 15 ans et Brian continue aujourd’hui d’y publier presque quotidiennement, exposant les dernières arnaques, les nouvelles techniques des cybercriminels, les failles de sécurité critiques. Il a récemment exposé comment des criminels utilisent l’IA pour créer des deepfakes bancaires, comment ils exploitent les vulnérabilités dans les systèmes de paiement mobile, comment ils blanchissent l’argent via les NFTs.
Voilà, donc si vous cherchez un exemple de reconversion réussie, de détermination face à l’adversité, et de courage journalistique à l’ère numérique, Brian Krebs c’est LE modèle à suivre !
Sources : About the Author – Krebs on Security, Brian Krebs – Wikipedia, Men Who Sent Swat Team, Heroin to My Home Sentenced, Interview With the Guy Who Tried to Frame Me for Heroin Possession, Sources: Target Investigating Data Breach, Ten Years Later, New Clues in the Target Breach, KrebsOnSecurity Hit With Record DDoS, Akamai on the Record KrebsOnSecurity Attack, Mirai IoT Botnet Co-Authors Plead Guilty, Target Hackers Broke in Via HVAC Company, A “Kill Chain” Analysis of the 2013 Target Data Breach – U.S. Senate, Brian Krebs – AAE Speakers Bureau, Brian Krebs is CISO MAG Cybersecurity Person of the Year, Brian Krebs – National Press Foundation, Sophos – Thugs who sent Brian Krebs heroin and a SWAT team sentenced
Source : korben.info