Pour ses attaques, The Jester utilise un outil de déni de service (DoS) connu sous le nom de XerXeS qu'il prétend avoir développé[5]. Une des signatures du Jester est un message sur Twitter affichant « TANGO DOWN » chaque fois qu'il prétend avoir paralysé un site web[6].
Histoire
Identité et communication
The Jester s'est manifesté pour la première fois sur Twitter où il a annoncé son attaque du site talibanalemarah.info le . Le , il a créé un blogueWordPress intitulé Jester's Court[9].
The Jester communique également via son canal #jester sur l'applicationIRC du réseau I2P. Il a averti que les trois outils de communication précédents étaient ses trois seules méthodes authentiques de communication : « en raison de la quantité d'imposteurs tentant d'usurper mon identité, je ne parlerai qu'à trois endroits : ici dans ce blogue, sur mon compte Twitter et sur l'application IRC du réseau I2P à travers mon compte th3j35t3r. Si vous voyez The Jester n'importe où ailleurs, ce n'est pas moi. »[10].
Service militaire
The Jester a déclaré qu'il était un ancien soldat et avait servi en Afghanistan et ailleurs[5],[7]. Un ancien employé opérationnel des forces armées américaines a affirmé que The Jester était un ancien entrepreneur militaire impliqué dans des projets du United States Special Operations Command[11].
Le , The Jester a donné une entrevue de messagerie instantanée en direct à une classe d'étudiants en informatique à l'University of Southern Maine où il a confirmé son service militaire et a indiqué qu'il a servi dans quatre missions opérationnelles.
XerXeS et autres outils
The Jester prétend avoir développé originellement son scriptDoS pour tester et renforcer des serveurs web[12]. Après avoir appris que des jihadistes utilisaient Internet pour recruter et coordonner des cellules terroristes, il a résolu de perturber leurs communications[13]. Pour ce faire, il a transformé son script en arme et y a ajouté un front-end appelé XerXeS[14] pour en faciliter l'utilisation[12].
Le SANS Report: The Jester: A Lesson in Asymmetric Warfare (Rapport SANS : Le Jester: une leçon de guerre asymétrique)
En , T. J. O'Connor, chercheur au Information Technology and Operations Center (ITOC)[15], a produit un rapport fouillé pour le SANS Institute détaillant l'histoire des campagnes de piratage du Jester intitulé SANS Report: The Jester: A Lesson in Asymmetric Warfare (Rapport SANS : Le Jester, une leçon de guerre asymétrique)[16].
Le document examine l'historique, les motifs et l'impact de deux années de piratage du Jester et fournit une analyse détaillée de la chronologie de ses attaques, une analyse spéculative des outils qu'il peut avoir utilisés, et l'examen de son utilisation des médias sociaux et de ses relations publiques à travers son blogue[16].
Attaque par code QR
Le , The Jester a remplacé l'avatar de son compte Twitter par un code QR sans commentaires ni explications[17]. Les codes QR sont des codes-barres qui peuvent être lus par des téléphones mobiles. Ils sont le plus souvent utilisés dans la publicité. La lecture d'un code QR permet de rediriger un navigateur vers un site web[18]. Le balayage du code QR du Jester menait à une URL affichant la signature du Jester et un code caché qui exploitait des vulnérabilités de Safari, Chrome et Android[17]. « Quand quelqu'un scannait le code QR avec un iPhone ou un appareil Android, leur appareil faisait silencieusement une connexion TCP à mon serveur », a écrit le Jester, « comme un appel téléphonique, si vous voulez. »[17],[19].
Apparemment, une fois connecté au serveur du Jester, l'outil de diagnostic réseau netcat vérifiait le téléphone mobile connecté pour voir s'il avait installé le logicielTwitter[17]. Les informations sur les comptes Twitter étaient lues et comparées à une liste que le Jester prétendait conserver de comptes Twitter associés aux groupes de piratageAnonymous, LulzSec ou AntiSec(en), aux organisations Wikileaks et Al Qaeda, et à des sites de recrutement du Jihad islamique[17].
Les comptes Twitter qui n'étaient pas sur les listes précédentes étaient ignorés. Possiblement, lorsqu'un compte était sur une des listes, les autorisations du compte étaient transférées au Jester qui les élevait pour exploiter l'ensemble du téléphone mobile. Il est possible que de cette manière le Jester ait eu accès aux messages SMS, aux messages vocaux, aux journaux d'appel et aux messages électroniques du téléphone[19],[20].
Le code QR du Jester a fonctionné sans être détecté pendant cinq jours avant qu'un utilisateur de Twitter voie le code malveillant et le mentionne[17]. « Au cours de ces cinq jours », a écrit le Jester, « plus de 1 200 internautes curieux ont scanné le code QR ... Parmi ceux-ci, plus de 500 ont été connectés à mon serveur à leur insu. De ceux-ci, un nombre significatif étaient sur les listes visées et, en tant que tels, furent considérés comme des cibles valides. »[17],[21].
Le , The Jester a publié un fichier chiffré contenant les données recueillies à partir de son code QR[19]. Dans une communication privée, SecurityNewsDaily a demandé au Jester pourquoi il avait chiffré les informations plutôt que de les publier en clair. « Je chiffre mes publications parce que je ne suis pas comme mes détracteurs qui affichent des informations personnelles tout le temps », a-t-il répondu, « Les personnes appropriées ont le texte clair. Il serait très irresponsable de ma part de dévoiler à tous ces informations. »[19].
Comme le Jester n'a pas dévoilé d'informations vérifiables, il est impossible de savoir s'il a vraiment recueilli des informations importantes.