Albert Gonzalez, alias Soupnazi, le hacker qui a piraté des millions de cartes de crédit

En 2009, Albert Gonzalez, alias Segvec ou Soupnazi, alors âgé de 28 ans, est inculpé par la justice américaine pour le piratage de plus de 130 millions de cartes de crédit. Avec ses complices, il réussit à s’introduire dans les systèmes des entreprises comme Hannaford Bros et Heartland Payment Systems. Suite à sa première arrestation en 2003, il était pourtant devenu informateur des services secrets. Il est condamné en 2010 à 20 ans de détention, une peine pour l’exemple d’après les experts dans un contexte où le piratage informatique fait de plus en plus de dégâts.

À son arrestation en 2008, Albert Gonzalez est un jeune hacker de 28 ans, vivant dans un hôtel de luxe de South Beach. Les enquêteurs retrouvent dans sa chambre des billets de 22 000 dollars et un ordinateur. À cette époque, le FBI le désigne comme l’auteur présumé du piratage de plus de 170 millions de comptes.

Son acte lui a valu le surnom de « Tony Montana », le personnage principal du film Scarface, une sorte de voyou de l’informatique. Néanmoins, ses proches le décrivent comme une personne réservée, un geek dans l’âme. Gonzalez passe ses journées derrière des écrans, très éloignée du gangster interprété par Al Pacino.

Si les journalistes le comparent à Tony Montana, c’est également à cause de ses origines. Son père quitte Cuba en 1970 pour s’installer aux États-Unis. L’exilé devient paysagiste et fonde une famille à Miami, Albert est né en 1981.

Plusieurs témoignages de voisins et proches du hacker le décrivent comme un garçon solitaire qui aimait passer du temps derrière son ordinateur. C’est ainsi qu’il découvre le piratage et s’attire des ennuis pour la première fois en 1998. Le FBI effectue une descente dans son lycée où un ordinateur s’est introduit illégalement dans les serveurs du gouvernement indien.

Après cet incident, Albert Gonzalez se montre discret, mais perfectionne sa dextérité en informatique. Pour cela, il suit un cursus informatique à l’université de Floride. On n’entendra plus parler de lui jusqu’en 2003.

Albert Gonzalez ne termine pas ses études universitaires. Toutes ses connaissances en piratage, il les apprend en autodidacte, via des manuels de logiciels. Il part à New York et travaille en premier temps dans une entreprise dot-com, puis chez Siemens.

En 2002, le jeune homme est au chômage, mais devient un membre éminent de Shadowcrew. Les autorités considèrent ce forum comme une sorte de « eBay » du cybercrime. La plateforme réunit des hackers qui publient des astuces de piratage, qui partagent des données de cartes volées, etc.

En juillet 2003, le NYPD enquête sur une série de vols de voitures à Manhattan lorsqu’il remarque un jeune homme déguisé en femme qui retirait des centaines de dollars d’un distributeur. Il n’utilisait pas un, mais plusieurs cartes de crédit. Le détective en surveillance est immédiatement alerté par son comportement et lui demande son nom. C’était Albert Gonzalez.

Les autorités ne s’y attendaient pas. Gonzalez n’était pas n’importe qui, il était une prise rare qui détenait des informations sur des millions de cartes dans son ordinateur. Les agents du Secret Service chargés des crimes électroniques se saisissent de l’affaire. « Il était très bon », déclare un agent dans une interview. Cette arrestation était l’opportunité pour eux de mettre la main sur les membres de Shadowcrew.

Les agents du Secret Service reconnaissent son talent à la tromperie. Gonzalez était considéré comme un « maître de l’ingénierie sociale ». Le hacker les aide à démanteler le réseau dans le cadre de l’opération Firewall, ce qui conduit à l’arrestation d’une douzaine de membres de la plateforme.

Après cette vaste opération, Gonzalez retourne à Miami, sous les conseils du Secret Service pour sa propre sécurité. À partir de 2006, il devient officiellement informateur pour les autorités et touche un salaire en échange de ses services.

Albert Gonzalez déclare plus tard qu’il a trouvé cette opération « excitante » et « un peu facile ». Néanmoins, il avoue quand même avoir « mauvaise conscience » en parlant de son retournement de veste. Dans une autre interview, il indique également que sa « loyauté a toujours été envers la communauté des blacks hats ».

Nous sommes en 2004 et la sécurité des données en ligne reste toujours négligée par de nombreuses entreprises. Pourtant, l’adoption du Wifi représente une opportunité pour les hackers. C’est ainsi qu’Albert Gonzalez étudie la technique du « war driving » qui consiste à pénétrer les réseaux Wifi d’une entreprise à bord d’une voiture stationnée tout près. En quelques minutes, un hacker peut accéder aux serveurs de sa cible.

Il monte une équipe composée entre autres de Christopher Scott et Jonathan James. Le groupe cible aussitôt des entreprises comme BJ’s Wholesale, Barnes & Noble, Sports Authority, DSW ou encore Marshalls, une filiale de TJX. Il réussit à voler des milliers de numéros de cartes. Pour trier les cartes expirées, Stephen Watt, un autre hacker, développe un programme d’identification des transactions récentes. En 2006, les acolytes de Gonzalez ont collecté les données de plus de 40 millions de cartes.

Un autre ami, Jonathan Williams s’occupe d’encaisser l’argent dans les distributeurs. De son côté, Yastremskiy, basé en Ukraine, vend les données et reverse une part des bénéfices à Gonzalez. Il prend aussi sous son aile, Patrick Toey, un hacker plus jeune que lui.

Cette vaste opération, Albert Gonzalez le nomme « Get Rich or Die Tryin », inspiré de l’album du rappeur américain 50 Cent.

Dans un interview accordé au Times, le hacker déclare que le cybercrime le stimulait intellectuellement. Il était loin d’être un bon programmeur d’après ses amis Toey et Watt, mais excellait dans l’exploitation d’une vulnérabilité des systèmes.

Ces vols lui permettent de mener un train de vie luxueux : un appartement spacieux, une voiture sportive, séjour dans des suites luxueux, restaurants, drogues, clubs, etc.

Avec Patrick Toey, Gonzalez perfectionne le vol de données grâce aux injections SQL. Le langage était utilisé par la majorité des commerces en ligne. Parmi ces cibles figurent Forever 21, Micros Systems, Hannaford Brothers, Wet Seal ou encore Dave & Buster’s.

Ses agissements prennent fin en 2008, lorsque le Secret Service arrête Yastremskiy au bout de plusieurs mois d’enquête. Celui-ci n’hésite pas à dévoiler le fournisseur des données bancaires, une adresse e-mail au nom de soupnazi. Les agents font aussitôt le rapprochement avec Albert Gonzalez, dont le pseudonyme était déjà connu de leur service.

Yastremskiy est arrêté par les autorités en juillet 2007, celui-ci sera condamné à 30 ans de prison en Turquie. Cela conduit à l’arrestation d’Albert et Stephen Watt a lieu en mai 2008. Lorsque vient le tour de Patrick Toey, considéré comme son meilleur ami, celui-ci collabore avec le Secret Service pour le faire condamner à la peine maximale.

Stephen Watt, celui qui a développé les logiciels pour Albert Gonzalez, écope de deux ans de prison. De leur côté, Scott et Toey sont condamnés respectivement à sept et cinq ans de prison.

Albert Gonzalez sera finalement condamné à 20 ans d’emprisonnement. Il s’agit de la peine la plus longue pour un crime numérique. Pendant son arrestation, il admet avoir caché un million de dollars dans la maison de ses parents.

Au total, 11 membres de son équipe ont été inculpés. D’après les autorités, leur opération a coûté plus de 400 millions de dollars en enquêtes, frais juridiques et remboursements, rien que pour Heartland. En effet, plus de 500 banques font partie des dommages collatéraux.

Les crimes de Gonzalez ont sonné le signal d’alarme dans le monde de la cybersécurité. Les entreprises développent un intérêt pour la veille sur les menaces et la défense proactive. Sa condamnation constitue un rappel aux hackers black hat des répercussions d’une activité illicite.

Le procès a bénéficié d’une grande couverture médiatique, relançant les débats sur la sécurité numérique. Cela a permis au public de mieux comprendre les rouages de l’ère numérique. Son histoire a même inspiré plusieurs œuvres fictives au cinéma et dans la littérature.