75 000 dollars par an pour balancer des hackers au FBI tout en piquant 170 millions de numéros de cartes bancaires. C’est pas du génie multitâche ça ? Albert Gonzalez, alias Soupnazi, 22 ans à l’époque, c’était LE mec qui jouait sur tous les tableaux. Mais alors, comment on passe de petit génie de l’informatique à ennemi public numéro un du e-commerce américain ? Installez-vous confortablement, j’vous raconte tout.
– Albert Gonzalez, le cerveau derrière le plus gros vol de données bancaires de l’histoire
Bon, alors déjà, faut que je vous parle du parcours totalement dingue de ce type. L’histoire d’Albert, elle commence pas dans une cave sombre remplie d’écrans façon Matrix. Non, non, non… elle démarre sur un radeau pourri au milieu de l’océan dans les années 70. Son père, Alberto Sr. s’est barré de Cuba avec 2 potes sur une embarcation bricolée avec trois bouts de ficelle. 48 heures à dériver dans le détroit de Floride, avant qu’un sous-marin américain les repère. Les gardes-côtes les récupèrent in extremis, et voilà, la famille Gonzalez débarque en Amérique.
Le père se retrousse les manches direct. Il lance une boîte de jardinage à Miami, épouse Maria en 1977, et le 13 juin 1981, petit Albert Jr. pointe le bout de son nez. Une famille cubaine old school, soudée, qui croit dur comme fer au rêve américain. Jusque-là, rien d’anormal. Sauf que…
Sauf qu’Albert Jr., dès ses 12 ans, il a déjà autre chose en tête que le base-ball et les barbecues familiaux. Ses parents lui offrent son premier ordi (probablement un bon vieux 486 ou un Pentium de l’époque), et là, c’est l’illumination totale. Non, ce n’est pas un de ces gamins qui joue à Doom en boucle. Non, lui, il démonte la bête, il veut comprendre les entrailles du système, et le plus beau dans tout ça, c’est qu’à 14 ans, le môme réussit à s’introduire dans les systèmes de la NASA.
– La NASA, première victime d’Albert Gonzalez à seulement 14 ans
Moi à cet âge, je bidouillais pas mal déjà, mais Albert, c’était déjà d’un autre niveau… un prodige et pas un script kiddie qui lance des tools tout faits trouvés sur Kazaa. Non, il comprenait réellement ce qu’il faisait.
Au lycée South Miami High, Albert devient rapidement le boss incontesté de la bande des “computer nerds”. Vous voyez le tableau : cette petite troupe de geeks qui squattent la salle info pendant que les autres draguent les pom-pom girls. Sauf que là, on est loin du club d’informatique qui code des petits jeux en BASIC. Albert et sa bande explorent déjà les recoins les plus sombres du web naissant.
Et puis un jour, lors de sa première année de lycée, 2 types en costume débarquent. C’est le FBI et ils demandent à voir le petit Gonzalez. Direction les bureaux de Miami pour une “petite discussion” de quelques heures. L’avocat de la famille raconte la scène des années plus tard : “Ce gamin était incroyable. Il menait l’agent par le bout du nez comme un pro.” Et au bout de 4 heures, l’agent du FBI sort et lâche, dépité : “Ce môme est extraordinaire. Il nous fait tourner en bourrique.”
Bref, au lieu de l’embarquer ou de porter plainte, ils lui filent juste un avertissement et le laissent partir. Grosse, GROSSE erreur. Parce qu’Albert, il ne traduit pas ça par “ouh là, faut que j’arrête mes conneries”. Non, dans sa tête, ça sonne plutôt comme “t’es tellement fort que même le FBI peut rien contre toi”. Pour un ado surdoué en pleine crise d’ego, c’est de la nitroglycérine [censored].
Entre 2002 et 2004, Albert découvre alors ShadowCrew. ShadowCrew, pour ceux qui suivent pas, c’était LE forum underground de l’époque. Imaginez un eBay du crime, où on y vendait des numéros de CB volées, des faux papiers, des données perso… Tout ce qui fait le bonheur des cybercriminels. C’était the place to be si t’étais dans le business de la fraude.
– ShadowCrew, le eBay du cybercrime où Albert a fait ses armes
Et Albert, rapidement, il devient pas juste un membre lambda qui achète 3 numéros pour se payer des Nike. Non non, il intègre direct le cercle des admins influents. Il apprend toutes les ficelles : comment fonctionne l’économie souterraine, les réseaux de revendeurs, les techniques de blanchiment… Et surtout, il perfectionne ses techniques d’injection SQL.
Alors là, petite pause technique pour les non-initiés. L’injection SQL, c’est quoi ? En gros, c’est l’art de faire cracher toutes ses données à une base de données en passant par la porte d’entrée. Vous savez quand vous tapez votre email sur un site ? Normalement, le site va chercher votre profil. Mais si au lieu de taper “[email protected]”, vous tapiez en plus un code malicieux genre “’ OR 1=1–”, vous pouvez potentiellement récupérer TOUTE la base. En 2003-2004, c’était de la magie noire. Aujourd’hui, c’est enseigné en première année de sécu info, mais à l’époque, Albert était un vrai pionnier du genre.
– Principe de l’injection SQL, l’arme favorite d’Albert Gonzalez
Puis en 2003, tout bascule. Albert se fait pincer à New York avec des cartes bancaires clonées. Flagrant délit, game over ? Pas du tout ! Les autorités lui proposent LE deal du siècle : devenir informateur pour le Secret Service. L’idée est simple comme bonjour… Albert connaît le milieu, il a accès aux forums, il parle la langue des carders. Parfait pour infiltrer et démanteler les réseaux.
Du coup, le Secret Service lui file un badge officiel (si si, un vrai !), un salaire de 75 000 dollars par an (une fortune pour un gamin de 22 ans), et une mission : infiltrer ShadowCrew et aider à faire tomber tout le réseau. Et Albert, il joue le jeu à fond. D’avril 2003 à octobre 2004, il balance absolument tout : les pseudos, les vraies identités, les méthodes, les planques…
L’opération “Firewall” (c’est son petit nom) se termine alors en apothéose : 28 arrestations simultanées dans 8 pays, ShadowCrew est fermé, et des millions de dollars sont saisis. C’est un succès total pour le Secret Service et Albert devient officiellement un héros de l’ombre, le hacker repenti qui aide les gentils.
– Le Secret Service, qui payait Albert 75 000$/an sans se douter de rien
Seulement voilà, c’est là que ça devient vraiment, mais alors vraiment tordu. Parce qu’Albert, pendant qu’il aide le Secret Service le jour, il prépare le casse du siècle la nuit. Grâce à son accès privilégié, il sait EXACTEMENT comment les fédéraux détectent les cybercriminels. Il connaît leurs techniques, leurs outils, leurs angles morts. C’est comme si un braqueur de banque bossait à mi-temps comme consultant sécurité pour la Brinks.
Et en 2005, Albert lance sa première méga-opération. Sa cible numéro une c’est TJX Companies, la maison mère de T.J. Maxx, Marshalls, Winners, et une tripotée d’autres enseignes. Albert a pigé le truc… pourquoi s’emmerder à hacker chaque magasin un par un quand on peut directement taper dans le serveur central qui gère TOUT ?
Sa technique, c’est du wardriving de compétition. Albert se balade en voiture dans les parkings des centres commerciaux, laptop sur les genoux, et il scanne tous les réseaux WiFi des boutiques. À l’époque (on parle de 2005 hein), la plupart des magasins utilisaient soit pas de sécurité WiFi du tout, soit du WEP cracké en 2 minutes chrono, soit des mots de passe genre “admin123”. Du pain béni pour notre Albert.
Une fois qu’il trouve un point d’entrée, Albert déploie tout son arsenal. Injection SQL pour pénétrer les bases de données, installation de backdoors (des portes dérobées pour revenir quand il veut), et surtout, déploiement de sniffeurs de paquets, ces petits programmes vicieux interceptent et enregistrent TOUT le trafic réseau, y compris (jackpot !!) les numéros de cartes bancaires qui transitent.
Le plus beau dans le système d’Albert ? C’est que c’est totalement passif. Une fois ses outils installés, ils tournent en mode ninja pendant des mois, aspirant silencieusement chaque transaction. Albert n’a plus qu’à passer de temps en temps pour récolter le butin. C’est de la pêche au filet dérivant version 2.0.
Et le butin, mes amis… Accrochez-vous bien, il est conséquent !! En 18 mois, Albert et son équipe récupèrent 45,6 MILLIONS de numéros de cartes bancaires rien que chez TJX. 45,6 millions ! C’est plus que la population de l’Espagne ! Chaque numéro se revend entre 10 et 50 dollars sur le marché noir. Faites le calcul.
– TJX Companies, première grosse victime avec 45,6 millions de cartes volées
Mais Albert, il s’arrête pas en si bon chemin et pendant qu’il continue à toucher son salaire d’indic du FBI, il élargit ses opérations. Barnes & Noble ? ✅. BJ’s Wholesale Club ? ✅. Office Max ? ✅. DSW ? ✅. Boston Market ? ✅. Sports Authority ? ✅. Dave & Busters ? ✅ aussi. C’est Noël tous les jours pour notre ami Albert.
Le plus dingue, c’est qu’Albert assiste aux réunions du Secret Service où on s’inquiète de cette nouvelle vague de cybercrimes. Il entend ses collègues flipper sur ces hackers de plus en plus balèzes, et chercher des solutions pour protéger le commerce américain. Et lui ? Il opine gravement de la tête, prend des notes consciencieuses, et rentre chez lui peaufiner son prochain coup. C’est du foutage de gueule niveau olympique.
Albert vit alors la grande vie pendant ce temps. Il se paie une fête d’anniversaire à 75 000 dollars, roule en BMW flambant neuve, offre une bague Tiffany à sa copine, collectionne les Rolex… Un jour, il se plaint même que sa machine à compter les billets est en panne et qu’il doit compter 340 000 dollars à la main. Les problèmes de riche, quoi.
Et en 2008, Albert vise encore plus gros : Heartland Payment Systems. Cette boîte, c’est pas n’importe qui. C’est l’un des plus gros processeurs de paiements des États-Unis. Ils gèrent les transactions de milliers de commerces. Si Albert arrive à les percer, c’est le jackpot ultime, la cerise sur le gâteau, le saint Graal des carders.
Et devinez quoi ? Il y arrive. L’attaque sur Heartland, c’est 130 MILLIONS de numéros de cartes supplémentaires qui tombent dans son escarcelle. 130 millions ! À ce stade, Albert a plus de données bancaires dans ses serveurs que certaines banques nationales. C’est de l’industrialisation du crime à grande échelle.
– Heartland Payment Systems, le coup de grâce avec 130 millions de cartes volées
Mais Albert, c’est pas juste un geek qui accumule des données. Non, il a monté une véritable multinationale du crime. Des complices en Europe de l’Est pour fabriquer les cartes clonées, des mules en Asie pour retirer le cash, des revendeurs en Amérique du Sud… Les numéros sont répartis géographiquement, transformés en vraies fausses cartes plastiques, et utilisés dans des pays où les systèmes anti-fraude sont à la ramasse.
Et Albert lui-même ne touche jamais directement aux cartes. Il reste dans l’ombre, le PDG fantôme de cette entreprise criminelle 2.0. Il coordonne, il manage, et il touche sa commission sur chaque transaction frauduleuse. C’est du crime organisé new generation.
Pendant ce temps, c’est l’apocalypse dans le monde bancaire. Les assurances chiffrent les pertes à près de 200 millions de dollars. Des millions de clients doivent faire refaire leurs cartes en catastrophe. Les entreprises claquent des fortunes pour renforcer leur sécurité. Et pendant ce temps, Albert continue tranquillement à pointer au Secret Service et toucher son chèque mensuel. L’audace.
La chute arrive finalement en mai 2008. Ironiquement, c’est en utilisant ses propres techniques contre lui que les enquêteurs remontent sa piste. Analyse du trafic réseau, patterns dans les attaques, traces laissées par ses backdoors… Tout ce qu’Albert a appris comme informateur, les fédéraux l’utilisent pour le traquer. L’arroseur arrosé, version cyber.
L’arrestation a alors lieu le 7 mai 2008, chambre 1508 du National Hotel à Miami Beach. Les flics saisissent 1,6 million de dollars en cash (dont 1,1 million enterré dans des sacs plastiques dans le jardin de ses parents), ses laptops, trois montres Rolex, la bague Tiffany, et même un Glock compact. Albert vivait vraiment la vida loca.
Les procès s’enchaînent alors. Septembre 2009, Albert plaide coupable sur tous les chefs d’accusation. Pas le choix car les preuves sont accablantes et ses anciens complices l’ont balancé pour réduire leurs peines. Mars 2010, première sentence : 20 ans de prison pour l’affaire TJX. Le lendemain, rebelote : 20 ans pour Heartland. Heureusement pour lui, les peines sont fusionnées, soit 20 ans au total et pas 40.
20 ans de taule, c’était du jamais vu pour un cybercrime à l’époque et le juge a voulu marquer le coup, montrer que la justice américaine rigolait pas avec ces nouveaux criminels 2.0. Direction le Federal Correctional Institution de Milan, dans le Michigan. Une prison fédérale “minimum security”, mais une prison quand même.
Albert est finalement sorti en septembre 2023 ! Eh oui, avec les réductions de peine pour bonne conduite, il a fait “que” 15 ans au lieu de 20. Aujourd’hui, Albert a 43 ans et il est libre comme l’air. Alors qu’est-ce qu’il fabrique maintenant ?
Officiellement, Albert s’est rangé des voitures. En prison, il a suivi des cours, obtenu des diplômes, participé aux programmes de réinsertion. Ses avocats jurent qu’il regrette, qu’il veut contribuer positivement à la société, tout le tralala habituel. Mais bon, permettez-moi d’être sceptique. Un mec capable de mener une double vie pendant 5 ans, de berner le FBI et le Secret Service tout en orchestrant le plus gros cybercrime de l’histoire… ça ne change pas en 15 ans de zonzon…
Et Albert sort dans un monde totalement différent de celui qu’il a quitté. En 2008, le Bitcoin existait à peine. Aujourd’hui, on a les cryptos, le darkweb décentralisé, les ransomwares qui paralysent des pays entiers, l’IA qui code toute seule… Avec son expérience et son intelligence, Albert pourrait faire à nouveau des ravages.
Ou alors, il pourrait utiliser ses compétences pour le bien. Après tout, qui de mieux placé qu’un ancien cybercriminel de génie pour aider à protéger nos systèmes ? Certaines boîtes de sécu info recrutent des anciens black hats pour renforcer leurs défenses alors pourquoi pas devenir un white hat qui aide à arrêter les méchants ?
Quoiqu’il en soit, les techniques qu’il a popularisées comme l’injection SQL, le wardriving, le snif de paquets et j’en passe, sont devenues des classiques enseignés dans toutes les formations de cybersécurité et les normes PCI DSS, qui régissent aujourd’hui la sécurité des paiements par carte, ont été directement renforcées en réponse à ses attaques.
Bref, d’une certaine manière, Albert a rendu le e-commerce plus sûr… en montrant à quel point il était vulnérable.
– Source :
https://korben.info/albert-gonzalez-plus-grand-cybercriminel-histoire.html
