Hieu Minh Ngo

Jeunesse et entrée dans le hacking

Ngo Minh Hieu est né le 8 octobre 1989 à Gia Lai, au Vietnam. Vers la fin de son adolescence, il s'est rendu en Nouvelle-Zélande avec l'objectif de devenir expert en réseaux. À cette époque, il était déjà administrateur de plusieurs forums hackers du dark web. Pendant ses études en Nouvelle-Zélande, il a découvert une vulnérabilité dans le réseau de son école qui pouvait être exploitée pour voler des informations de cartes bancaires et de comptes en banque. Après avoir signalé la faille aux équipes IT sans recevoir de réponse, il l'a exploitée lui-même, puis a utilisé la même technique contre d'autres sites web. Il a utilisé des données de cartes volées pour acheter des billets sur Ticketmaster et les revendre sur TradeMe. Lorsque l'université a découvert ses activités et que la police d'Auckland s'en est mêlée, son visa n'a pas été renouvelé ; en réaction, il a attaqué le site de l'université, le mettant hors ligne pendant au moins deux jours.

Dispositif criminel et arrestation

De 2007 à 2013, Ngo Minh Hieu a exploité ce que les autorités américaines ont décrit comme un dispositif international massif de piratage et d'usurpation d'identité, mené depuis son domicile au Vietnam. Au cours de cette période, il a volé des données personnellement identifiables — y compris noms, numéros de sécurité sociale et coordonnées bancaires — appartenant à environ 200 millions de citoyens américains. Il obtenait ces données en piratant des bases de données d'entreprise, puis mettait les enregistrements volés en vente à d'autres cybercriminels via deux sites web qu'il exploitait. Il a également obtenu des données de Court Ventures, filiale d'Experian, en se faisant passer pour un enquêteur privé basé à Singapour.

Hieu a tiré près de 2 millions de dollars de ce dispositif. Les autorités américaines ont estimé que ses services avaient permis environ 1,1 milliard de dollars de fraudes par ouvertures de nouveaux comptes auprès de banques et de commerçants à travers les États-Unis, et environ 65 millions de dollars de dépôts de déclarations frauduleuses pour des remboursements d'impôts. L'IRS a confirmé que 13 673 citoyens américains dont les informations ont été vendues via ses sites ont été victimes de 65 millions de dollars de déclarations frauduleuses d'impôts sur le revenu.

En février 2013, les enquêteurs des US Secret Services ont attiré Hieu à Guam, sous prétexte d'un accord commercial portant sur de grands volumes de données financières de consommateurs. Il a été arrêté à son entrée sur le territoire américain. Il a par la suite plaidé coupable de fraude électronique, fraude à l'identité, fraude aux moyens d'accès et quatre chefs de fraude et abus informatiques.

Condamnation et incarcération

En juillet 2015, le juge fédéral américain Paul Barbadoro a condamné Hieu à 13 ans de prison fédérale. Il encourait potentiellement plus de 42 ans, mais sa coopération avec les enquêteurs — qui a contribué à l'arrestation d'au moins une douzaine de ses clients basés aux États-Unis — a abouti à une peine réduite. Le gouvernement américain l'a décrit comme « l'un des voleurs les plus notoires à avoir jamais honoré une prison fédérale ». Durant les derniers mois de sa détention, Hieu a étudié intensivement la sécurité informatique et Internet et a rédigé un guide à destination des internautes pour se prémunir du piratage et de l'usurpation d'identité. Il a été libéré de manière anticipée en 2020.

Retour au Vietnam et activité en cybersécurité

Après son retour au Vietnam, Hieu a été recruté par le National Cyber Security Centre (NCSC), placé sous l'autorité du ministère de l'Information et des Communications, comme expert technique, fonction confirmée publiquement en décembre 2020. Peu après son arrivée au NCSC, il a publiquement identifié et fait fermer deux sites web frauduleux usurpant les services de réservation de Vietnam Airlines et de Vietjet Air.

Hieu est depuis devenu une figure visible de la cybersécurité vietnamienne, participant régulièrement à des campagnes de sensibilisation contre le phishing, les arnaques par usurpation, les malwares et le trading illégal de cryptomonnaies. En décembre 2021, Meta a collaboré avec lui pour publier une série de vidéos sur la prévention de la fraude à l'attention des internautes vietnamiens. Il a été reconnu par Apple Inc. pour avoir identifié des vulnérabilités de sécurité sur les serveurs web d'Apple, et a reçu en février 2023 un certificat de Verizon pour avoir mis au jour deux vulnérabilités liées aux données et deux failles de systèmes de gestion web. En mars 2023, il a été invité à intervenir lors du Gulf Information Security Expo & Conference (GISEC) à Dubaï.

ChongLuaDao et projets sociaux

En février 2021, Hieu a cofondé l'initiative à but non lucratif ChongLuaDao (en vietnamien « Combattants des arnaques »), accompagnée d'un site web et d'une extension de navigateur destinés à alerter les utilisateurs sur les sites de phishing, les malwares et les contenus frauduleux. En une journée après son lancement, l'extension a été téléchargée plus de 3 500 fois et a signalé plus de 1 000 sites de phishing. En novembre 2021, il a annoncé la création de la société ChongLuaDao Company, une société à responsabilité limitée d'entreprise sociale, comme prolongement du projet. ChongLuaDao a noué des partenariats avec des organisations comme Kaspersky, Cisco, Google Chrome, l'Anti-Phishing Working Group et la Global Anti-Scam Alliance. L'organisation a été reconnue comme Cyber Security Awareness Champion Organization par la National Cybersecurity Alliance en 2022 et en 2023, et a reçu les distinctions Made in Vietnam 2022 et Vietnam Talent Awards 2023. Pour son troisième anniversaire, les communautés de ChongLuaDao avaient atteint 500 000 membres sur Facebook et 25 000 membres sur Telegram, contribuant collectivement à identifier et à traiter plus de 20 000 sites web malveillants.

En mai 2021, Hieu s'est associé à Coc Coc pour lancer la Green Shield Campaign, qui a abouti au signalement de plus de 24 000 sites web dangereux et au flag de plus de 12 000 sites de phishing en quatre semaines. Il a également exercé comme consultant professionnel pour CyberKid Vietnam, une ONG axée sur la protection des enfants dans le cyberespace.

CyPeace et projets en cours

En 2022, Hieu a fondé le projet CyPeace aux côtés de l'expert en cybersécurité Pham Tien Manh. En 2023, les deux ont formellement créé la Cyberspace Peace Company Limited (CyPeace), avec Manh Pham comme PDG et Hieu comme cofondateur. La société aide les particuliers et les organisations à vérifier la sécurité des sites web et des applications. CyPeace a collaboré avec le National Innovation Center du ministère vietnamien du Plan et de l'Investissement et a été représentée lors d'événements internationaux comme GISEC Dubai 2023 et Gitex Global Dubai 2023. Hieu est également membre du conseil sécurité de l'information de la Vietnam Blockchain Association et dirige le projet anti-fraude Chaintracer, initiative basée sur la blockchain visant à lutter contre le blanchiment d'argent et le financement du terrorisme.