Marwan Ouarab est un ancien escroc du Web devenu une référence du hacking éthique. Il aide aujourd’hui les victimes à retrouver leurs arnaqueurs en ligne. Il est régulièrement invité dans les médias pour partager son expertise. Dans Hacker, nous suivons son parcours à travers 14 histoires vraies qui nous amènent des petites arnaques sur Leboncoin aux plateaux TV. Un récit intense et sans filtre dans le monde du hacking et des escrocs en ligne.
Dès le début du récit, nous suivons les pérégrinations d’un jeune de Ris Orangis qui vit de petites arnaques. Jusqu’au jour ou il se retrouve mêlé à une sordide histoire de tentative de meurtre qui va mal finir pour lui…
C’est après cette arrestation, après avoir vu ma famille humiliée et traumatisée, que j’ai décidé d’arrêter. Pour de bon cette fois. J’avais vu ma mère menottée au sol de son propre appartement. J’avais vu mes frères terrorisés par des flics en armes qui défoncent leur maison à 6 heures du matin. Cette fois, c’était trop.
Le futur hacker éthique est autodidacte et apprend sur les forums, discute dans des communautés Facebook, apprend le Python avec ChatGPT.
Le premier outil Python que j’utilise s’appelle holehe, puis j’enchaîne avec Maltego – un logiciel qui permet de cartographier visuellement les connexions entre différentes données. Au début, je ne sais pas coder, alors j’apprends seulement à faire tourner un programme sur Python. Juste installation, lancement de programme. Je commence en étant un vrai « script kiddie » – quelqu’un qui utilise des outils créés par d’autres sans vraiment comprendre le code.
C’est lors d’une arnaque sentimentale sophistiquée dont il sera lui-même victime qu’il mettra à profit ses connaissances. Le sentiment amoureux est un puissant vecteur de manipulation dont il en fera les frais.
Ses premiers euros honnêtes, il les gagne en rendant service à une pharmacienne victime d’une attaque par ingénierie sociale et qui subira un cambriolage.
Elle me donne le numéro de téléphone du voleur – le mec avait été assez con pour donner son vrai numéro, une erreur de débutant qui val lui coûter cher. À partir de là, avec mes compétences OSINT et mes accès aux bases de données que j’avais collectées pendant mes mois d’apprentissage intensif, c’est du gâteau. En quelques heures, j’ai son identité complète : nom, prénom, adresse, situation familiale, même les noms de sa femme et de ses enfants.
Notre petit arnaqueur a du talent et va commencer à se faire connaitre en dehors de sa communauté sur Facebook. Approché par une journaliste du Parisien, puis interviewé dans des podcasts dont le très populaire Legend et à la télé dans l’émission Clic, son business va d’accélérer. Il va devoir impérativement structurer son activité (création d’entreprise, growth marketing, SEO…). Services de renseignement, ambassades, son ascension est irrésistible :
Alors ils nous ont appelés, par curiosité et par désespoir, pour savoir si on pouvait les aider à résoudre ce problème urgent. On me demande de venir directement à l’ambassade pour un diagnostic sur place. Je viens avec mon matériel léger : un portable durci, fait pour survivre aux conditions extrêmes, une clé USB blindée d’outils forensiques, et un petit routeur configuré en sniffeur passif pour surveiller le trafic Internet du réseau sans alerter les systèmes de sécurité interne.
Ingénierie Cognitive
Les techniques de manipulations pour hacker le cerveau. (téléchargement gratuit).
La rencontre avec Yuna, fille d’un grand industriel de la tech (on ne connaitra malheureusement pas le nom de l’entreprise), marque un nouveau tournant dans sa carrière. Ouarab se retrouve plongé dans un litige titanesque qui implique un pays asiatique condamné par la justice internationale à verser une somme colossale à la société du père de Yuna. Nous hacker aide Yuna et les avocats à identifier le patrimoine dissimulé par le gouvernement en question, en utilisant là encore ses talents d’OSINTeur et ses compétences techniques.
La prochaine étape technique s’appelle spoofing – c’est le nom qu’on donne à l’usurpation d’un numéro de téléphone ou d’un email. Pour le spoofing téléphonique, ça passe dans des bots spécialisés disponibles sur Telegram. C’est payant, mais ridiculement accessible vu ce que cela permet. Tu donnes des crédits à un bot anonyme, tu lui fournis le numéro que tu veux faire apparaître à l’écran de ta cible, et le bot se charge du reste. L’appel est lancé à ta place, via une passerelle VoIP. Ton propre micro est connecté à l’appel en temps réel, ce qui te permet de parler directement à la personne visée, en apparaissant sous l’identité du numéro spoofé.
Grâce à EvenLabs, on a besoin de quelques secondes seulement. À peine la conversation terminée, on disposait déjà d’un clone vocal parfaitement crédible. Sa voix, son intonation, son souffle : tout cela venait d’être cloné par nos soins. Mais la vraie prouesse, ça a été de connecter ce clone vocal à une interface en temps réel, capable de parler, répondre, s’adapter à l’interlocuteur. Avec ça, en plus du spoofing, on tenait un cocktail absolument imparable. Numéro d’origine : check. Voix identique à celle de l’intendant : check. Script conventionnel piloté à distance : check.
Après les autorités, les ambassadeurs et les gouvernements, Marwan Ouarab vient en aide à un sportif de haut niveau lui aussi victime d’une arnaque sentimentale.
C’est là que je rentre en mode « enquêteur professionnel ». Pendant que mon client continue à paniquer au téléphone, je sors mon Macbook et je commence mes vérifications techniques. À l’époque, j’utilisais principalement deux outils, Search.0t.rocks et Search.Illicit, des programmes qui permettent de voir les comptes gérés par la même personne sur différentes plateformes.
Puis vient le tour d’un acteur français connu internationalement, victime d’usurpation d’identité :
Le principe du RAT (Remote Access Trojan) est relativement simple à comprendre, mais complexe à mettre en œuvre. Tu créés un lien piégé qui, quand la cible clique dessus, installe discrètement un petit programme espion sur son ordinateur. Ce programme fonctionne ensuite comme une porte dérobée numérique qui, une fois installée, te permet de prendre le contrôle total de la machine à distance : tu peux voir l’écran en temps réel, naviguer dans les dossiers, capturer les frappes clavier, récupérer les mots de passe, activer la webcam ou le micro….bref, tu deviens un fantôme logé dans la machine de ta cible.
Anne est une femme de 53 ans, qui va se faire arnaquer par un faux Brad Pitt. Des escrocs profiteront de sa gentillesse et de sa relative naïveté pour lui dérober plus de 830 000 euros, mettant Anne dans une situation d’urgence financière et psychologique. L’histoire va faire le tour du monde et d’Internet.
Au niveau mondial, elle était devenue la blague d’Internet. Les mèmes pleuvaient : « POV : tu tombes amoureuse de Brad Piit sur Internet », « Anne qui donne 830 K à un faux Brad Pitt », « Quelqu’un peut dire à Anne que Brad Pitt ne dragouille pas sur Facebook ? », « Hey Anne, c’est Brad… ».
Sans l’aide de Ouarab et de son réseau (notamment le réseau du podcast Legend), l’histoire aura probablement pris une ampleur encore plus dramatique pour Anne.
Les brouteurs sont des escrocs agissant en ligne. Ce terme vient du Français de Côte d’Ivoire en référence au mouton qui se nourrit sans effort. Notre victime Christelle va en faire les frais pendant plusieurs années.
Je prends les numéros de téléphone que Christelle m’a données, je me fais passer pour un fan moi aussi, je contacte le faux Keen’V, puis je lui envoie mon lien piégé classique, un IP logger déguisé en fausse page de paiement. Il clique dessus dans les cinq minutes, et je récupère sa localisation exacte : Abidjan, Côte d’Ivoire. Je vérifie l’adresse IP dans mes bases de données, et là, je tombe sur l’identité complète du gars. C’était le même type derrière tous les faux profils des chanteurs de Christelle.
Comment le brouteur avait-il réussi à convaincre Christelle qu’il était simultanément cinq célébrités différentes ? La méthode était diaboliquement simple et efficace :
Phase 1 : L’appâtage via des fausses pages de fans officiels créées par le brouteur avec des milliers de faux abonnés achetés. Christelle en grande fan s’abonnait et commentait régulièrement.
Phase 2 : Le contact privé. Après quelques semaines, elle recevait un message privé du « vrai » Kendji Girac. Quelque chose du style : » Salut Christelle, j’ai vu tes commentaires sur ma page, je te remercie pour ton soutien et j’aimerais que nous puissions échanger plus souvent ensemble, je pense que c’est toi ma plus grande fan…. Rejoins mon club VIP !
Phase 3: la création de proximité. Il parlait des autres célébrités comme si c’étaient ses amis proches créant une validation sociale imparable.
Phase 4 : Les fausses urgences ou il prétextait un décès, une hospitalisation ou un accident routier pour éviter la rencontre au dernier moment.
Phase 5 : L’exploitation de l’actualité ou le brouteur utilise chaque fait divers pour construire un nouveau récit crédible.
Le hacker éthique conclue de ses nombreuses expériences que nous sommes victimes des fragilités de notre psychologie humaine. Peu importe le statut social, les origines ou l’intelligence, l’être humain reste un animal social. Et quand tu gagnes la confiance d’un être humain, c’est comme si tu l’avais haché.
Le hack du cerveau, c’est un sujet sur lequel j’ai travaillé dans le cadre de la rédaction de mon mémoire dédié à l’ingénierie cognitive dans la cybersécurité.
Chacun de nous peut se retrouver dans une situation inconfortable ou dramatique. Ce livre auto-biographique de Marwan Ouarab a le mérite d’exposer de manière claire les mécanismes de manipulation émotionnelles utilisées par les escrocs, pour mieux les identifier et s’en protéger. La vigilance est plus que jamais de mise dans nos mondes numérisés.
