Reportage : Comment de jeunes marocains piratent des comptes bancaires à l'autre bout de la planète

Seul client de ce cybercafé à 11h du soir, Othman est concentré devant son écran. Le regard fixe et les phalanges glissant sur son clavier, il entre quelques chiffres, attend, réessaye plusieurs fois, puis sourit. «Voilà, j'ai réussi à acheter un t-shirt à 60 dollars sans avoir à dépenser un seul dirham», déclare-t-il, non sans fierté. A à peine 19 ans, Othman est un cybercriminel. Depuis 2010, il effectue des achats sur Internet en utilisant des cartes bancaires piratées. Issu d'un milieu modeste, ce fils de menuisier est pourtant connu dans son quartier à Yaacoub El Mansour à Rabat pour être premier sur les tendances. «J'ai été l'un des premiers à avoir des Beats (casque audio ndlr) à Rabat, mes amis ne savaient même pas ce que c'etait». Entre vêtements de marque, accessoires, téléphones et autres gadgets high-tech, si les délits d'Othman sont virtuels, ses gains sont, eux, bien réels.
Contrairement à ce qu'on pourrait croire, Othman est loin d'être un génie en sécurité informatique. Ses connaissances du domaine sont limitées et les techniques qu'il utilise sont plutôt rudimentaires. Pour effectuer ces transactions, le jeune pirate récupère les données relatives à des comptes bancaires déjà piratés par des hackers plus expérimentés sur des forums accessibles au public sur Internet. Ces informations, inutilisables en elles-mêmes, lui permettent, via un logiciel, de générer d'autres combinaisons de chiffres susceptibles de former des numéros de comptes réels. «Le logiciel me propose des centaines de combinaisons. Je peux passer des heures, ou toute une journée à les essayer une à une jusqu'à en trouver une qui marche», nous confie-t-il. Cette pratique est le degré zéro du piratage informatique. Dans la communauté des hackers mondiaux, Othman serait un «script kiddie» (traduire gamin à script), une appellation péjorative désignant une personne sans connaissances informatiques avancées, qui utilise des outils mis au point par d'autres hackers, sans comprendre les concepts utilisés.
Bien qu'il n'existe pas de chiffres sur le sujet, la multiplication de ce type de pirate informatique au Maroc durant la dernière décennie est néanmoins visible. Avec la pénétration d'Internet haut débit et l'accessibilité des techniques de piratage, le nombre de jeunes s'adonnant à ces pratiques se multiplie d'année en année.
Le Marocain qui a paralysé le site du département de la sécurité intérieure des Etats-Unis
Pour Yacine, hacker repenti qui s'est depuis spécialisé dans la sécurité des réseaux informatiques, les Marocains sont surtout des «consommateurs de piratage», loin derrière le génie des Russes et des Chinois. «Mis à part une ou deux exceptions, je n'ai jamais rencontré un vrai hacker marocain. Pour la plupart, ce sont des jeunes qui répètent ce qu'ils ont appris sur des forums comme MIRC, et qui n'ont aucune idée de ce qu'ils sont en train de faire», explique-t-il. Le monde des hackers répond, en effet, à une hiérarchie spécifique et chacun des membres de la communauté détient un statut social particulier. Un élite hacker, par exemple, est un pirate chevronné, respecté au sein de la communauté, par opposition au script kiddie. L'une des exceptions dont parle Yacine est Farid Essebar, un élite hacker officiant sous le pseudo Diabl0.
Farid n'avait que 18 ans lorsqu'il a été arrêté chez lui à Rabat pour avoir créé un ver informatique qui a paralysé, entre autres, les sites web des chaînes de télévision américaines CNN et ABC News, du journal The New York Times, de Boeing et du département de la sécurité intérieure des Etats-Unis. Le hacker marocain le plus célèbre au monde, qui porte également la nationalité russe, avait créé le ver Zotob avec l'aide d'un complice turc, Atilla Ekici. Microsoft avait alors chargé plus de 50 investigateurs et a offert une récompense de 250.000 dollars pour retrouver les deux complices. Farid Essebar avait été condamné à deux ans de prison en 2006, une peine réduite par la suite à une année. Cela ne l'a tout de même pas empêché de récidiver. Le 11 mars 2014, Diabl0 a encore une fois été arrêté, cette fois-ci à Bangkok, pour avoir provoqué des pertes de l'ordre de 4 milliards de dollars à des banques suisses.
Le hacker, recherché pendant presque deux années par la police thaïlandaise, attend toujours d'être extradé vers la Suisse où il sera jugé pour crimes informatiques. Les exploits d'Essebar et ses déboires avec la justice en ont fait une véritable légende urbaine dans le milieu des hackers marocains. «A l'époque, je me rappelle que j'étais fasciné par son histoire», raconte Yacine, «…j'étais à mes débuts dans le monde du piratage, et tout ce que je voulais c'était pouvoir devenir comme lui». En plus du gain matériel, c'est aussi la réputation du hacker au sein de la communauté qui le pousse vers le cyber-crime. Certains mènent des opérations extrêmement risquées, sans aucun objectif si ce n'est la reconnaissance et le respect de leurs pairs.
Néanmoins, au Maroc, la tendance est plutôt de pirater pour de l'argent facile. Dans le cas du piratage de comptes bancaires, les trois techniques les plus utilisées correspondent au degré d'habileté du pirate. La première consiste à infiltrer directement les bases de données des banques pour avoir accès à des informations confidentielles. Cette opération, quasi impossible, ne peut être exécutée que par une poignée de hackers dans le monde. L'un d'eux est Ercan Findikoglu, un citoyen turc surnommé Predator qui a été arrêté à Francfort en décembre 2013 après avoir dérobé plus de 40 millions de dollars en une nuit de plusieurs banques à travers le monde. Une autre manière de déjouer les systèmes de sécurité consiste en la création d'un site web de vente en ligne factice, la méthode de prédilection de Yacine durant ses années de piratage : «Je créais un vrai site web, très difficile à soupçonner, et qui avait une fausse plate-forme d'achat en ligne. Une fois qu'un internaute essaie d'acheter quelque chose, j'ai accès à toutes ses données personnelles et je peux les utiliser comme je veux», raconte-t-il.
Tout comme les campagnes de phishing, ce type d'opération part d'un constat très simple, celui que la dimension humaine est le maillon faible de tout système de sécurité. Pour déjouer le système, il suffit donc d'arnaquer l'utilisateur, le poussant à dévoiler lui-même ses données personnelles. La troisième technique est celle expliquée plus haut, utilisée par les pirates amateurs qui, si elle ne repose pas sur des connaissances informatiques approfondies, n'en est pas moins efficace et dangereuse.
Acheter en ligne, que risque-t-on ?
Bien que, pour se protéger, ces hackers opèrent loin du Maroc, la propagation de ce genre de pratiques a de quoi susciter l'inquiétude des internautes marocains, d'autant plus que le marché du e-commerce connaît une croissance très rapide ces dernières années : selon les chiffres du Centre monétique interbancaire (CMI), le paiement en ligne via carte bancaire a connu une progression de 82% entre 2012 et 2013, et de 36% durant le premier trimestre de 2014.
Le e-commerce a, à lui seul, inscrit 1,9 million d'opérations en 2013 dont 66% effectuées via des cartes bancaires marocaines. Dès lors, la question de la sécurité de ces transactions s'impose. A cet égard, le CMI se veut plutôt rassurant.
Dans plusieurs déclarations, ses responsables assurent que la plus grande partie des opérations frauduleuses sont très vite désamorcées par l'annulation des transactions, rappelant qu'un bon nombre de réseaux de fraudeurs à la carte bancaire a été démantelé par les services de police et de gendarmerie. L'absence de statistiques à ce sujet laisse néanmoins planer le doute quant à la sécurité des transactions en ligne et aux mesures de gestion des fraudes.
Pirater sans laisser de trace : L'art de brouiller les pistes
Leur statut de pirates amateurs et de script kiddie n'empêche pas les jeunes comme Othman de prendre certaines mesures pour se protéger «J'ai une connexion Internet à la maison, mais je ne l'utilise jamais pour pirater. Je pourrais utiliser un serveur proxy pour éviter de me faire détecter, mais je préfère ne prendre aucun risque et je vais au cybercafé», explique Othman.
Garder l'anonymat est l'un des défis principaux de ces hackers en herbe. En plus de ne laisser aucune trace de leur passage, les pirates marocains ne se font jamais livrer au Maroc. La plupart utilisent les adresses de leurs proches et connaissances en Europe et en Amérique du nord. Othman, par exemple, utilise l'adresse de sa tante aux Etats-Unis, qui, elle, lui apportera tous ses achats lors de sa prochaine visite au Maroc. Une autre mesure de sécurité réside dans le prix des achats et les sommes détournées, qui doivent rester modestes.
Pour Othman, l'avidité peut lui valoir l'emprisonnement: «Vous savez, si je vole 100 millions à un Chinois ou à un Australien, il me retrouvera même si je suis à l'autre bout du monde. Mais si je lui vole 6.000 ou même 10.000 dirhams, il perdra beaucoup plus d'argent s'il veut me retrouver et n'essayera même pas. Ça l'énervera peut- être un peu, mais je ne risque rien».
E-commerce : Une législation qui tarde à suivre
Bien que ne bénéficiant pas d'un cadre juridique spécifique, le secteur du e-commerce au Maroc est, de manière générale, régi par deux lois directement liées à certaines de ses pratiques. La première est la loi n°53-05 relative à l'échange électronique de données juridiques. Cette loi, promulguée en octobre 2007, peu après l'introduction du paiement en ligne par carte au Maroc, renferme plusieurs avancées dont notamment l'équivalence entre les documents établis sur papier et les documents électroniques, la validité des preuves sous forme électronique ou encore l'équivalence entre la signature électronique et la signature manuscrite.
Le dispositif juridique relatif au commerce électronique comprend également la loi 09-08, relative à la protection des données personnelles. Ce texte est construit autour du principe de la nécessité du consentement préalable, c'est-à-dire que le traitement des données personnelles ne peut se faire qu'après un consentement formel de la personne concernée. Ce texte garantit également le droit à chaque personne d'accéder aux bases contenant leurs données personnelles, et de pouvoir rectifier ou supprimer des données erronées. Néanmoins, l'évolution rapide de ce secteur et de ses pratiques contraste avec un vide législatif soulevant plusieurs questions quant à la protection du consommateur et à la gestion des fraudes.
Sara El Majhad