Comment la série de crimes pluriannuelle de PlugwalkJoe a conduit à une peine de prison de cinq ans

Le cybercriminel britannique Joseph O’Connor, connu sous le pseudonyme PlugwalkJoe, a écopé d’une peine de prison fédérale de cinq ans suite à sa condamnation pour plusieurs infractions liées à un vol coordonné de cryptomonnaies et au piratage de comptes sur les réseaux sociaux. Le bureau du procureur des États-Unis pour le district sud de New York a annoncé la condamnation le 23 juin, révélant qu’O’Connor doit également purger trois ans de liberté surveillée et restituer 794 012,64 $ de produits illicites.

L’attaque par échange de SIM qui a tout déclenché

L’infraction principale dans le cas d’O’Connor concernait une opération sophistiquée d’échange de SIM visant un cadre supérieur d’une grande plateforme de cryptomonnaies. En avril 2019, O’Connor a orchestré un stratagème pour rediriger le numéro de téléphone de la victime vers un appareil sous son contrôle. En interceptant les codes d’authentification à deux facteurs par SMS, il a obtenu un accès non autorisé aux comptes d’échange et aux systèmes de trading de l’exécutif, siphonnant finalement 794 000 $ d’actifs numériques.

Après le vol initial, O’Connor et son réseau de co-conspirateurs ont déployé de grands efforts pour dissimuler la trace de l’argent. Ils ont fait passer la cryptomonnaie volée par des dizaines de transferts intermédiaires, converti une partie en Bitcoin via plusieurs services d’échange, et ont finalement acheminé une portion vers des comptes enregistrés au nom d’O’Connor. Cette opération de blanchiment montrait un schéma clair de dissimulation intentionnelle visant à échapper à la détection.

La faille Twitter et la campagne plus large

Les activités criminelles d’O’Connor allaient bien au-delà du seul vol sur une plateforme d’échange. En juillet 2020, il a participé à une attaque coordonnée contre Twitter qui a compromis environ 130 comptes de haut profil. Opérant dans le cadre d’une conspiration plus large, le groupe a utilisé des techniques d’ingénierie sociale et d’échange de SIM pour prendre le contrôle de ces comptes, récoltant environ 120 000 $ en cryptomonnaies via des stratagèmes frauduleux.

L’opération sur Twitter a révélé la sophistication de l’approche d’O’Connor. Dans certains cas, les attaquants contrôlaient directement les comptes compromis pour exécuter des promotions trompeuses. Dans d’autres, ils vendaient l’accès aux comptes piratés à des tiers, créant ainsi une source de revenus supplémentaire grâce à leur accès non autorisé.

Au-delà de la fraude financière, O’Connor s’est livré à des tactiques de harcèlement et d’intimidation. Il a tenté d’extorquer une victime de Snapchat en menaçant de publier publiquement des messages privés, à moins qu’elle ne fasse la promotion de sa persona en ligne. Il a également harcelé et menacé d’autres individus, orchestrant des incidents de swatting — fausses alertes d’urgence aux forces de l’ordre — contre des cibles spécifiques.

Pourquoi les attaques par échange de SIM restent une menace persistante

Malgré le fait que les infractions d’O’Connor datent de près de trois ans, l’échange de SIM continue de poser problème dans l’industrie des cryptomonnaies. La méthode consiste à transférer temporairement un numéro de téléphone vers une carte SIM contrôlée par l’attaquant. Une fois activée, l’attaquant intercepte tous les appels et messages entrants, accédant à tout compte utilisant l’authentification à deux facteurs par SMS. Cette vulnérabilité fondamentale des pratiques d’authentification standard en fait une cible particulièrement prisée pour viser les détenteurs de cryptomonnaies de grande valeur.

Des incidents récents confirment que le danger persiste. En juin 2024, l’analyste ZachXBT a documenté une campagne coordonnée d’échange de SIM contre au moins huit figures importantes du secteur crypto, dont Cole Villemain, fondateur de Pudgy Penguins, le producteur de musique électronique et passionné de NFT Steve Aoki, et l’éditeur de Bitcoin Magazine Pete Rizzo. Les attaquants ont exploité les comptes compromis pour distribuer des liens de phishing, volant finalement près de $1 millions en cryptomonnaies.

Le cas d’O’Connor représente une condamnation historique dans ce domaine, mais il n’a pas dissuadé d’autres acteurs malveillants de poursuivre des tactiques similaires. Alors que l’authentification par SMS reste courante et que des cibles de haut profil continuent de stocker des actifs numériques importants, la structure d’incitation pour les attaques par échange de SIM ne montre aucun signe de faiblesse.