Aux premières heures du 20 janvier 2023, le compte utilisateur d'un médecin s'est connecté au système électronique d'enregistrement des décès d'Hawaï depuis l'extérieur de l'État pour certifier le décès d'un homme nommé Jesse Kipf. Le certificat de décès indiquait la cause comme un « syndrome de détresse respiratoire aiguë » dû au COVID-19 une semaine plus tôt. Et avec cela, Kipf a été sans cérémonie enregistré comme décédé dans plusieurs bases de données gouvernementales.
Le même jour, un hacker surnommé « FreeRadical » a publié le même acte de décès sur un forum de hacking pour tenter de monétiser l’accès dont ils disposaient au système. “Le niveau d'accès est celui d'un certificateur médical, ce qui signifie que vous pouvez créer et certifier un décès dans ce panneau”, a écrit le hacker.
Dans le message, le pirate informatique a inclus une capture d’écran partielle du faux certificat de décès, mais il a également commis une erreur critique. FreeRadical a oublié de caviarder le prétendu état de naissance de la personne dans le certificat de décès et a laissé une petite partie du sceau du gouvernement de l'État visible dans le coin de la capture d'écran.
De l'autre côté du pays, dans le Colorado, Austin Larsen, analyste principal des menaces chez Mandiant, la société de cybersécurité de Google, et ses collègues ont repéré la publication en ligne dans le cadre de leur collecte régulière de renseignements sur les menaces, qui comprend la surveillance des forums sur la cybercriminalité. En regardant la capture d'écran mal recadrée du faux certificat de décès, Larsen et ses collègues ont réalisé que le message du forum était la preuve que FreeRadical avait piraté le gouvernement de l'État américain d'Hawaï.
Trois jours après avoir découvert le message de piratage sur le forum, Larsen a informé les responsables de l'État d'Hawaï que ses systèmes gouvernementaux avaient été piratés.
“Il est probable que l'acteur ait compromis le compte d'un certificateur médical”, indique la notification, selon une capture d'écran du message de Larsen partagé avec Testeur Joe lors d'une interview plus tôt en septembre.
L'avertissement de Larsen a déclenché une enquête fédérale qui révélerait que le compte utilisateur du médecin utilisé pour déposer le certificat de décès avait été compromis par nul autre que Jesse Kipf lui-même, la personne qui était censée être décédée. Les procureurs allèguent plus tard dans un document judiciaire que Kipf a simulé sa propre mort pour éviter de payer à son ex-femme environ 116 000 dollars dus pour subvenir aux besoins de leur fille.
Kipf, que les procureurs ont ensuite qualifié de « hacker en série » possédant « de vastes connaissances techniques pour gagner sa vie en volant les autres », avait commis une série d'erreurs, notamment en utilisant son Internet domestique depuis Somerset, Kentucky, pour se connecter directement à la mort d'Hawaï. système d'enregistrement, qui a finalement conduit les agents fédéraux jusqu'à sa porte.
En conséquence, le ministère américain de la Justice a inculpé Kipf fin novembre 2023 d’une série de crimes de piratage informatique. Kipf, selon les procureurs, avait piraté des systèmes informatiques appartenant à trois États américains, ainsi que deux fournisseurs de grandes chaînes hôtelières. Le communiqué de presse du ministère de la Justice, ainsi que l'acte d'accusation publié au même moment, n'incluaient pas beaucoup de détails que les procureurs prétendaient avoir faits par Kipf. Forbes avait rapporté quelques jours plus tôt que Kipf aurait piraté le ministère de la Santé d'Hawaï.
Plus tôt en septembre, Larsen de Mandiant, ainsi que l'agent spécial du FBI Andrew Satornino et la procureure adjointe des États-Unis pour le district oriental du Kentucky, Kate Dieruf, se sont entretenus avec Testeur Joe pour révéler comment ils ont trouvé Kipf et l'ont traduit en justice. Les trois se sont entretenus avec Testeur Joe avant une conférence qu'ils ont donnée lors de la conférence Mandiant sur la cybersécurité, mWISE.
Kipf, selon Larsen, Satornino et Dieruf, ainsi que les documents judiciaires de son cas, était un hacker prolifique aux identités multiples.
Satornino a déclaré que Kipf était un « courtier d’accès initial », c’est-à-dire un pirate informatique qui s’introduit dans les systèmes et tente ensuite de vendre l’accès à ces systèmes à d’autres cybercriminels. Dans des affidavits soutenant les mandats de perquisition contre Kipf, l’agent spécial du FBI a écrit que Kipf avait commis une fraude par carte de crédit pour acheter de la nourriture auprès de services de livraison de nourriture – et avait été arrêté pour cela en 2022 ; utilisé de faux numéros de sécurité sociale pour demander des prêts ; avait plus d'une douzaine de permis de conduire américains sur son ordinateur ; et avait piraté les vendeurs des hôtels Marriott.
Kipf a probablement obtenu les informations d'identification qu'il a utilisées lors du piratage d'Hawaï grâce à un logiciel malveillant voleur d'informations qui a infecté l'ordinateur du médecin anonyme, qui s'est ensuite retrouvé sur une chaîne Telegram pour les pirates. Kipf a utilisé le surnom de « GhostMarket09 » pour exploiter un service de vol d'informations d'identification, a déclaré Larsen.
Outre GhostMarket09, Larsen a déclaré que Mandiant avait identifié plusieurs autres surnoms que Kipf utilisait sur différents forums de piratage, ainsi que sur Telegram, notamment : « theelephantshow », « yelichanter » et « ayohulk ». Disposant de cette liste de surnoms, Larsen a déclaré avoir examiné manuellement des milliers de messages envoyés par Kipf sous ses différents personnages en ligne, en passant par une base de données créée par Mandiant en grattant les forums de piratage, les « discussions semi-publiques » et les chaînes Telegram.
Larsen a déclaré que Mandiant avait identifié les personnages de FreeRadical et GhostMarket09 comme étant connectés à ce que la société appelle UNC3944, ou Scattered Spider, un groupe prolifique de piratage et de cybercriminalité qui serait à l'origine du piratage de MGM Resorts et lié au monde criminel plus large derrière une série de crimes violents. connu sous le nom de « le Com ».
Selon Larsen, Kipf – sous le nom de GhostMarket09 – a fourni des informations d'identification volées pour le géant du transport UPS à un membre présumé de la Com qui utilise le surnom de « lopiu » ou « lolitleu ». Larsen a déclaré que Kipf ne faisait pas partie du Com, mais de l'écosystème cybercriminel qui le permettait.
«Je dirais que c'est un hacker ordinaire. C'était comme s'il n'avait pas non plus peur des conséquences », a déclaré Larsen. “Il était également impliqué dans d'autres secteurs de la communauté criminelle, mais en réalité, son rôle était de vendre des informations d'identification pour permettre d'autres intrusions.”
En parallèle, et à l'insu de Mandiant, le FBI avait reçu un rapport de la National Cyber Forensics Training Alliance, une organisation à but non lucratif qui surveille le dark web et collabore avec les forces de l'ordre et le secteur privé, qui comprenait une série de surnoms utilisés sur le dark web. par un hacker situé dans le Kentucky.
L'enquête a conduit au Kentucky parce que Kipf avait apparemment oublié d'utiliser un VPN au moins une fois lors de l'accès aux systèmes d'enregistrement des décès d'Hawaï, révélant ainsi son adresse IP personnelle à Somerset, Kentucky, selon Larsen et des documents judiciaires.
Puis, en mai 2023, le bureau du procureur général d'Hawaï, qui enquêtait sur le piratage de son registre des décès, a alerté le bureau du procureur général du Kentucky que quelqu'un dans l'État du sud-est avait utilisé les identifiants de connexion d'un vrai médecin, qui avait « des droits de saisie au niveau du système ». feuilles de travail sur la mort », pour accéder au système d'enregistrement des décès d'Hawaï et déposer un certificat de décès pour un homme nommé Jesse Kipf, selon un document judiciaire.
Le 13 juillet 2023, des agents fédéraux américains ont arrêté Kipf à son domicile du Somerset et l'ont placé en détention. Dans un entretien ultérieur avec les autorités, Kipf a avoué une série de cybercrimes qui, selon lui, lui ont permis de ne pas avoir d'emploi régulier pendant cinq ans.
« Comment avez-vous laissé filer votre adresse IP ? » » ont demandé les enquêteurs à Kipf, en faisant référence à l'adresse IP personnelle que Kipf utilisait pour se connecter au système d'Hawaï. “Juste de la paresse… Je m'en fichais”, a répondu Kipf, selon une transcription partielle de l'interview. Kipf a déclaré qu'il “avait arrêté de donner des…”.
En fait, plus tard au cours de l'enquête, les autorités ont appris que Kipf avait utilisé la même adresse IP de son domicile pour tenter de « visiter et extraire des données des domaines Internet et des serveurs internes de Marriott » entre le 9 février et le 22 mai 2023, soit un total de 1 423. fois. L'objectif, selon Satornino, était de vendre l'accès à ces réseaux à d'autres pirates sur des forums utilisés par les cybercriminels.
Kipf a également déclaré dans l'interview qu'il avait accédé aux systèmes d'enregistrement des décès de l'Arizona, du Connecticut, du Tennessee et du Vermont, juste pour voir à quel point cela serait facile, selon les documents judiciaires. Dans le système d'enregistrement des décès de l'Arizona, Kipf a déposé avec succès un certificat de décès dans lequel il a mis le nom « Crab Rangoon » – un type de wonton chinois croustillant fourré au fromage – comme nom du défunt, selon une capture d'écran du certificat vue par Testeur Joe.
Il avait cependant un semblant de plan. Kipf a déclaré aux intervieweurs qu'il avait créé un faux profil de crédit avec un faux numéro de sécurité sociale afin de l'utiliser après avoir simulé sa mort, selon des documents judiciaires.
Le pirate informatique a également avoué avoir vendu les informations personnelles des victimes du piratage informatique à des personnes en Algérie, en Ukraine et en Russie, et avoir fourni accéder aux informations d'un système de fournisseur Marriott aux Russes, selon des documents judiciaires.
Une fois que le FBI a pu examiner les appareils de Kipf, ils ont trouvé des recherches Google dans son historique de navigation, suggérant qu'il essayait de trouver des informations sur la façon d'éviter de payer une pension alimentaire pour enfants, a déclaré Satornino.
Enfin, Kipf a également été accusé d'avoir piraté GuestTek et Milestone, deux fournisseurs qui travaillaient avec les hôtels Marriott. Dans ces hacks également, Kipf a utilisé son adresse IP personnelle.
Peut-être grâce à toutes les preuves que Mandiant et le FBI avaient rassemblées sur les antécédents de cybercriminalité de Kipf et à ses aveux lors de l'entretien avec les autorités, le pirate informatique a conclu un accord de plaidoyer avec les procureurs. Kipf a officiellement admis avoir causé près de 80 000 $ de dommages aux réseaux gouvernementaux et d'entreprise qu'il a piratés, ainsi que 116 000 $ pour la pension alimentaire impayée de son ex-femme. Il a également admis avoir usurpé son identité, pour avoir utilisé les informations d'identification volées d'un médecin lors du piratage d'Hawaï pour créer le certificat de décès.
“L'accusé est un pirate informatique en série, volant des informations d'identification personnelle et infiltrant sans abandon les réseaux informatiques protégés d'entreprises et d'entités gouvernementales”, a écrit Dieruf dans un mémorandum demandant au tribunal de condamner Kipf à sept ans de prison. « Il a causé des dommages importants, à la fois monétaires et sous forme de réponses technologiques, à ses victimes commerciales et gouvernementales. »
Dieruf a ajouté : « En tentant de se suicider pour éviter les obligations alimentaires envers les enfants, [Kipf] continue de revictimiser sa fille et sa mère, à qui on doit plus de 116 000 $ en pension alimentaire pour enfants.
Dans le mémorandum de condamnation déposé par l'avocat de Kipf, Thomas Miceli, celui-ci a reconnu que Kipf « comprend et ne nie pas la gravité de sa conduite ». Miceli, qui n'a pas répondu à la demande de commentaires de Testeur Joe, a écrit à l'époque que Kipf avait reçu un diagnostic de délires paranoïaques et de tendances schizophréniques, et que sa « santé mentale s'était détériorée après la fin de son service militaire » en Irak, ce qui « avait augmenté sa consommation de drogue ». dépendance.”
Kipf a été condamné à 81 mois de prison, soit un peu moins de sept ans. Selon le communiqué de presse du ministère de la Justice annonçant sa condamnation en août, Kipf doit purger au moins 85 % de sa peine de prison, soit plus de cinq ans, en vertu de la loi fédérale.
rewrite this content and keep HTML tags
Aux premières heures du 20 janvier 2023, le compte utilisateur d'un médecin s'est connecté au système électronique d'enregistrement des décès d'Hawaï depuis l'extérieur de l'État pour certifier le décès d'un homme nommé Jesse Kipf. Le certificat de décès indiquait la cause comme un « syndrome de détresse respiratoire aiguë » dû au COVID-19 une semaine plus tôt. Et avec cela, Kipf a été sans cérémonie enregistré comme décédé dans plusieurs bases de données gouvernementales.
Le même jour, un hacker surnommé « FreeRadical » a publié le même acte de décès sur un forum de hacking pour tenter de monétiser l’accès dont ils disposaient au système. “Le niveau d'accès est celui d'un certificateur médical, ce qui signifie que vous pouvez créer et certifier un décès dans ce panneau”, a écrit le hacker.
Dans le message, le pirate informatique a inclus une capture d’écran partielle du faux certificat de décès, mais il a également commis une erreur critique. FreeRadical a oublié de caviarder le prétendu état de naissance de la personne dans le certificat de décès et a laissé une petite partie du sceau du gouvernement de l'État visible dans le coin de la capture d'écran.
De l'autre côté du pays, dans le Colorado, Austin Larsen, analyste principal des menaces chez Mandiant, la société de cybersécurité de Google, et ses collègues ont repéré la publication en ligne dans le cadre de leur collecte régulière de renseignements sur les menaces, qui comprend la surveillance des forums sur la cybercriminalité. En regardant la capture d'écran mal recadrée du faux certificat de décès, Larsen et ses collègues ont réalisé que le message du forum était la preuve que FreeRadical avait piraté le gouvernement de l'État américain d'Hawaï.
Trois jours après avoir découvert le message de piratage sur le forum, Larsen a informé les responsables de l'État d'Hawaï que ses systèmes gouvernementaux avaient été piratés.
“Il est probable que l'acteur ait compromis le compte d'un certificateur médical”, indique la notification, selon une capture d'écran du message de Larsen partagé avec Testeur Joe lors d'une interview plus tôt en septembre.
L'avertissement de Larsen a déclenché une enquête fédérale qui révélerait que le compte utilisateur du médecin utilisé pour déposer le certificat de décès avait été compromis par nul autre que Jesse Kipf lui-même, la personne qui était censée être décédée. Les procureurs allèguent plus tard dans un document judiciaire que Kipf a simulé sa propre mort pour éviter de payer à son ex-femme environ 116 000 dollars dus pour subvenir aux besoins de leur fille.
Kipf, que les procureurs ont ensuite qualifié de « hacker en série » possédant « de vastes connaissances techniques pour gagner sa vie en volant les autres », avait commis une série d'erreurs, notamment en utilisant son Internet domestique depuis Somerset, Kentucky, pour se connecter directement à la mort d'Hawaï. système d'enregistrement, qui a finalement conduit les agents fédéraux jusqu'à sa porte.
En conséquence, le ministère américain de la Justice a inculpé Kipf fin novembre 2023 d’une série de crimes de piratage informatique. Kipf, selon les procureurs, avait piraté des systèmes informatiques appartenant à trois États américains, ainsi que deux fournisseurs de grandes chaînes hôtelières. Le communiqué de presse du ministère de la Justice, ainsi que l'acte d'accusation publié au même moment, n'incluaient pas beaucoup de détails que les procureurs prétendaient avoir faits par Kipf. Forbes avait rapporté quelques jours plus tôt que Kipf aurait piraté le ministère de la Santé d'Hawaï.
Plus tôt en septembre, Larsen de Mandiant, ainsi que l'agent spécial du FBI Andrew Satornino et la procureure adjointe des États-Unis pour le district oriental du Kentucky, Kate Dieruf, se sont entretenus avec Testeur Joe pour révéler comment ils ont trouvé Kipf et l'ont traduit en justice. Les trois se sont entretenus avec Testeur Joe avant une conférence qu'ils ont donnée lors de la conférence Mandiant sur la cybersécurité, mWISE.
Kipf, selon Larsen, Satornino et Dieruf, ainsi que les documents judiciaires de son cas, était un hacker prolifique aux identités multiples.
Satornino a déclaré que Kipf était un « courtier d’accès initial », c’est-à-dire un pirate informatique qui s’introduit dans les systèmes et tente ensuite de vendre l’accès à ces systèmes à d’autres cybercriminels. Dans des affidavits soutenant les mandats de perquisition contre Kipf, l’agent spécial du FBI a écrit que Kipf avait commis une fraude par carte de crédit pour acheter de la nourriture auprès de services de livraison de nourriture – et avait été arrêté pour cela en 2022 ; utilisé de faux numéros de sécurité sociale pour demander des prêts ; avait plus d'une douzaine de permis de conduire américains sur son ordinateur ; et avait piraté les vendeurs des hôtels Marriott.
Kipf a probablement obtenu les informations d'identification qu'il a utilisées lors du piratage d'Hawaï grâce à un logiciel malveillant voleur d'informations qui a infecté l'ordinateur du médecin anonyme, qui s'est ensuite retrouvé sur une chaîne Telegram pour les pirates. Kipf a utilisé le surnom de « GhostMarket09 » pour exploiter un service de vol d'informations d'identification, a déclaré Larsen.
Outre GhostMarket09, Larsen a déclaré que Mandiant avait identifié plusieurs autres surnoms que Kipf utilisait sur différents forums de piratage, ainsi que sur Telegram, notamment : « theelephantshow », « yelichanter » et « ayohulk ». Disposant de cette liste de surnoms, Larsen a déclaré avoir examiné manuellement des milliers de messages envoyés par Kipf sous ses différents personnages en ligne, en passant par une base de données créée par Mandiant en grattant les forums de piratage, les « discussions semi-publiques » et les chaînes Telegram.
Larsen a déclaré que Mandiant avait identifié les personnages de FreeRadical et GhostMarket09 comme étant connectés à ce que la société appelle UNC3944, ou Scattered Spider, un groupe prolifique de piratage et de cybercriminalité qui serait à l'origine du piratage de MGM Resorts et lié au monde criminel plus large derrière une série de crimes violents. connu sous le nom de « le Com ».
Selon Larsen, Kipf – sous le nom de GhostMarket09 – a fourni des informations d'identification volées pour le géant du transport UPS à un membre présumé de la Com qui utilise le surnom de « lopiu » ou « lolitleu ». Larsen a déclaré que Kipf ne faisait pas partie du Com, mais de l'écosystème cybercriminel qui le permettait.
«Je dirais que c'est un hacker ordinaire. C'était comme s'il n'avait pas non plus peur des conséquences », a déclaré Larsen. “Il était également impliqué dans d'autres secteurs de la communauté criminelle, mais en réalité, son rôle était de vendre des informations d'identification pour permettre d'autres intrusions.”
En parallèle, et à l'insu de Mandiant, le FBI avait reçu un rapport de la National Cyber Forensics Training Alliance, une organisation à but non lucratif qui surveille le dark web et collabore avec les forces de l'ordre et le secteur privé, qui comprenait une série de surnoms utilisés sur le dark web. par un hacker situé dans le Kentucky.
L'enquête a conduit au Kentucky parce que Kipf avait apparemment oublié d'utiliser un VPN au moins une fois lors de l'accès aux systèmes d'enregistrement des décès d'Hawaï, révélant ainsi son adresse IP personnelle à Somerset, Kentucky, selon Larsen et des documents judiciaires.
Puis, en mai 2023, le bureau du procureur général d'Hawaï, qui enquêtait sur le piratage de son registre des décès, a alerté le bureau du procureur général du Kentucky que quelqu'un dans l'État du sud-est avait utilisé les identifiants de connexion d'un vrai médecin, qui avait « des droits de saisie au niveau du système ». feuilles de travail sur la mort », pour accéder au système d'enregistrement des décès d'Hawaï et déposer un certificat de décès pour un homme nommé Jesse Kipf, selon un document judiciaire.
Le 13 juillet 2023, des agents fédéraux américains ont arrêté Kipf à son domicile du Somerset et l'ont placé en détention. Dans un entretien ultérieur avec les autorités, Kipf a avoué une série de cybercrimes qui, selon lui, lui ont permis de ne pas avoir d'emploi régulier pendant cinq ans.
« Comment avez-vous laissé filer votre adresse IP ? » » ont demandé les enquêteurs à Kipf, en faisant référence à l'adresse IP personnelle que Kipf utilisait pour se connecter au système d'Hawaï. “Juste de la paresse… Je m'en fichais”, a répondu Kipf, selon une transcription partielle de l'interview. Kipf a déclaré qu'il “avait arrêté de donner des…”.
En fait, plus tard au cours de l'enquête, les autorités ont appris que Kipf avait utilisé la même adresse IP de son domicile pour tenter de « visiter et extraire des données des domaines Internet et des serveurs internes de Marriott » entre le 9 février et le 22 mai 2023, soit un total de 1 423. fois. L'objectif, selon Satornino, était de vendre l'accès à ces réseaux à d'autres pirates sur des forums utilisés par les cybercriminels.
Kipf a également déclaré dans l'interview qu'il avait accédé aux systèmes d'enregistrement des décès de l'Arizona, du Connecticut, du Tennessee et du Vermont, juste pour voir à quel point cela serait facile, selon les documents judiciaires. Dans le système d'enregistrement des décès de l'Arizona, Kipf a déposé avec succès un certificat de décès dans lequel il a mis le nom « Crab Rangoon » – un type de wonton chinois croustillant fourré au fromage – comme nom du défunt, selon une capture d'écran du certificat vue par Testeur Joe.
Il avait cependant un semblant de plan. Kipf a déclaré aux intervieweurs qu'il avait créé un faux profil de crédit avec un faux numéro de sécurité sociale afin de l'utiliser après avoir simulé sa mort, selon des documents judiciaires.
Le pirate informatique a également avoué avoir vendu les informations personnelles des victimes du piratage informatique à des personnes en Algérie, en Ukraine et en Russie, et avoir fourni accéder aux informations d'un système de fournisseur Marriott aux Russes, selon des documents judiciaires.
Une fois que le FBI a pu examiner les appareils de Kipf, ils ont trouvé des recherches Google dans son historique de navigation, suggérant qu'il essayait de trouver des informations sur la façon d'éviter de payer une pension alimentaire pour enfants, a déclaré Satornino.
Enfin, Kipf a également été accusé d'avoir piraté GuestTek et Milestone, deux fournisseurs qui travaillaient avec les hôtels Marriott. Dans ces hacks également, Kipf a utilisé son adresse IP personnelle.
Peut-être grâce à toutes les preuves que Mandiant et le FBI avaient rassemblées sur les antécédents de cybercriminalité de Kipf et à ses aveux lors de l'entretien avec les autorités, le pirate informatique a conclu un accord de plaidoyer avec les procureurs. Kipf a officiellement admis avoir causé près de 80 000 $ de dommages aux réseaux gouvernementaux et d'entreprise qu'il a piratés, ainsi que 116 000 $ pour la pension alimentaire impayée de son ex-femme. Il a également admis avoir usurpé son identité, pour avoir utilisé les informations d'identification volées d'un médecin lors du piratage d'Hawaï pour créer le certificat de décès.
“L'accusé est un pirate informatique en série, volant des informations d'identification personnelle et infiltrant sans abandon les réseaux informatiques protégés d'entreprises et d'entités gouvernementales”, a écrit Dieruf dans un mémorandum demandant au tribunal de condamner Kipf à sept ans de prison. « Il a causé des dommages importants, à la fois monétaires et sous forme de réponses technologiques, à ses victimes commerciales et gouvernementales. »
Dieruf a ajouté : « En tentant de se suicider pour éviter les obligations alimentaires envers les enfants, [Kipf] continue de revictimiser sa fille et sa mère, à qui on doit plus de 116 000 $ en pension alimentaire pour enfants.
Dans le mémorandum de condamnation déposé par l'avocat de Kipf, Thomas Miceli, celui-ci a reconnu que Kipf « comprend et ne nie pas la gravité de sa conduite ». Miceli, qui n'a pas répondu à la demande de commentaires de Testeur Joe, a écrit à l'époque que Kipf avait reçu un diagnostic de délires paranoïaques et de tendances schizophréniques, et que sa « santé mentale s'était détériorée après la fin de son service militaire » en Irak, ce qui « avait augmenté sa consommation de drogue ». dépendance.”
Kipf a été condamné à 81 mois de prison, soit un peu moins de sept ans. Selon le communiqué de presse du ministère de la Justice annonçant sa condamnation en août, Kipf doit purger au moins 85 % de sa peine de prison, soit plus de cinq ans, en vertu de la loi fédérale.