Des représentants du FBI de l'antenne de Miami ont discuté avec nos confrères d'IDG NS sur la piste de celui qui ce cache derrière le ver « here you have ». Un hacker utilisant le nom de « Iraq Resistance » a échangé un certain nombre d'e-mails avec IDG NS au cours des deux dernières semaines après l'incident. Le ver a particulièrement touché l'Amérique du Nord, en bloquant les messageries de grandes organisations telles que Disney, Proctor & Gamble et la NASA. A ce jour, il représentait entre 6 et 14% de tous les spams, selon Cisco Systems.

« Iraq Resistance » n'a jamais révélé son (ou ses) identité, mais il ya quelques indices. Son profil YouTube le localise en Espagne, mais pour Joe Stewart chercheur chez SecureWorks qui a analysé le ver, il estime que sous ce pseudo se cache un hacker libyen qui a tenté d'obtenir l'appui d'un groupe de cyber-Jihad appelé Tariq ibn Ziyad. L'objectif affiché du groupe est de s'introduire dans les systèmes de l'armée américaine.

Le jeu du chat et de la souris

Une analyse des adresses IP dans les messages de « Iraq Resistance » montre qu'il a utilisé le réseau mobile appartenant à Hutchison 3G au Royaume-Uni, ainsi qu'un proxy exploité par le navigateur Opera Mini. Cela ne signifie pas que le pirate soit au Royaume-Uni. Car, il peut avoir piraté un ordinateur via le réseau mobile 3 ou tout simplement acheté une carte Sim utilisé quand il était  au Royaume-Uni. En effet, il a indiqué dans un message adressé jeudi « je peux apparaître où je veux et il est très difficile de me localiser. Vous devez savoir que les pirates peuvent utiliser beaucoup de proxys ou d'ordinateurs contrôlés pour envoyer des messages.»

Après avoir eu connaissance des soupçons sur la localisation de son adresse IP en Grande-Bretage, le hacker a envoyé un e-mail d'une autre adresse, celle-ci appartenant à un prestataire de services aux États-Unis, Placentia Reliable Web. Cette adresse IP a été associée à des scripts malveillants, selon Honeypot project, indiquant qu'il est probablement passé par des ordinateurs piratés. L'horodatage des messages de « Iraq Resistance » indique qu'il est dans la zone UTC + 3 (temps universel), ce qui pourrait signifier qu'il est basé en Irak, en Arabie saoudite ou en Afrique orientale. Ce n'est pas le fuseau horaire utilisé en Libye, même si Joe Stewart, de Secureworks, pense que cela est aussi modifiable. Il explique que le réseau 3 a été associé à un programme cheval de Troie pour installer un Backdoor et distribuer ainsi le ver, mais il doute que le pirate soit situé au Royaume-Uni, qui a signé des traités d'extradition avec les États-Unis. « Cela serait risqué pour lui » conclut-il.