Quand les hackers font la morale
Publié le 20 août 2015. Par La rédaction de Books.
L’équipe de pirates informatiques qui a révélé les données personnelles de millions d’utilisateurs du site de rencontre spécialisé dans l’adultère AshleyMadison.com justifie sa démarche par des arguments moraux. Les hackers sont-ils des chevaliers blancs ? La frontière entre les bons et les méchants est floue et mouvante chez les hackers, comme le décrit Sue Halpern dans cet article de la New York Review of Books, paru dans Books en avril 2015.
Le dernier jour de juin 2012, le site d’informations technologiques Redmond Pie publia coup sur coup deux articles qui n’avaient à première vue aucun rapport. Le premier, intitulé « Rebasculez la Nexus 7 sous Android 4.1 Jelly Bean, débloquez Boatloader et flashez ClockworkMod Recovery », expliquait comment prendre le contrôle du système d’exploitation de la toute nouvelle tablette de Google, la Nexus 7. Un appareil si récent que les premiers modèles commandés n’avaient pas encore été expédiés. Le second titre était un peu plus facile à déchiffrer pour le profane : « Un nouveau “malware” visant OS X est apparu au Tibet – il transfère les informations personnelles des utilisateurs sur un serveur à distance ». Cet article, annonçant la découverte d’un virus du type « cheval de Troie » sur certains ordinateurs tibétains, révélait que les machines Apple n’étaient plus aussi imperméables aux virus et aux vers informatiques malveillants. L’attaque, qui visait des opposants tibétains au régime chinois, ne devait rien au hasard et tout à la stratégie politique. Quand les militants téléchargeaient le fichier infecté, celui-ci connectait secrètement leur ordinateur à un serveur chinois désormais capable de surveiller leurs activités et de saisir le contenu de leur disque dur. L’auteur de l’article du Redmond Pie laissait entendre que cette attaque visait les ordinateurs Apple car la marque avait la préférence du dalaï-lama.
« Hacking » et « hackers» sont devenus des termes si fourre-tout et si génériques qu’on ne peut désormais comprendre leur sens qu’en fonction du contexte. Mais ces dernières années, après le scandale anglais du piratage des téléphones mobiles, après Anonymous et LulzSec, après Stuxnet (quand Américains et Israéliens se sont servis d’un virus informatique pour saboter des centrifugeuses et retarder le projet nucléaire iranien), après d’innombrables vols d’identité, le contexte tend à privilégier le côté destructeur du hacking.
En février 2012, avant l’entrée en bourse de Facebook, Mark Zuckerberg expliquait dans une lettre adressée aux investisseurs potentiels que le réseau social adhérait à une philosophie appelée « la Voie du hacker ». Ce n’était pas de la provocation. Il tentait ainsi de mettre en avant les côtés positifs du hacking, en reprenant la formule d’un vétéran des nouvelles technologies, le journaliste Steven Levy, dont le livre L’Éthique des hackers fut en 1984 la première vraie tentative pour comprendre la sous-culture à laquelle nous devons Steve Jobs, Steve Wozniak et Bill Gates. (1) « À vrai dire, écrivait Zuckerberg, “hacker” signifie simplement mettre au point quelque chose rapidement, ou tester les limites du faisable. Cette activité, comme presque toutes les autres, peut être au service du bien ou du mal ; mais la plupart des hackers que j’ai rencontrés sont plutôt des idéalistes qui veulent avoir un impact positif sur le monde… Ils croient que tout peut être amélioré, que rien n’est jamais parfait. Ils éprouvent le besoin de bricoler les choses par eux-mêmes. Souvent contre l’avis de ceux qui prétendent qu’on ne peut rien faire ou qui se satisfont du statu quo ».
Le terme « bricoler » peut sembler neutre, mais il pose des problèmes d’interprétation. La tablette Nexus 7 de Google était-elle défectueuse avant même d’avoir été emballée et expédiée ? Pas pour l’entreprise, ni pour la grande majorité de ceux qui l’avaient commandée. Mais l’opinion des geeks qui avaient étudié ses caractéristiques techniques était tout autre. Observant que l’appareil disposait d’une mémoire interne relativement faible, ils voulaient compenser ce défaut en rendant la tablette compatible avec les périphériques de stockage. Le premier iPhone n’avait, lui non plus, rien de vraiment défectueux – il fonctionnait parfaitement. Sauf aux yeux des utilisateurs désireux de télécharger des applications ni fabriquées ni approuvées par Apple, ou rechignant à dépendre d’un opérateur spécifique (AT&T). Le produit ne convenait pas davantage aux amateurs de bidouillage persuadés d’être dans leur bon droit en tant que propriétaires du gadget. Or les différents outils de déblocage (« jailbreaks ») fournis par les hackers pour contourner ces restrictions répondaient précisément à ces doléances. Ils relevaient donc, selon l’expression de Zuckerberg, du « bricolage ».
Opération Clic Fantôme
Le travail des hackers peut améliorer – et améliore souvent, de fait – les nouveaux produits : tel était l’argument saillant de l’hommage rendu à la communauté par le patron de Facebook, et la raison pour laquelle il voulait en informer les investisseurs potentiels. Ces jeunes geeks révèlent les défauts, suggèrent des innovations, mettent en évidence à la fois ce qui est faisable et ce dont les consommateurs ont envie ». Pour autant, comme Zuckerberg le laissait entendre, le hacking a aussi sa face sombre, qui occulte son côté défi, son esprit ludique et créatif, notamment aux yeux du grand public, et pour de bonnes raisons. Le piratage est en effet devenu l’outil privilégié d’un certain type de malfrats, qui siphonnent les comptes en banque électroniques ou revendent des informations personnelles (notamment relatives aux cartes de crédit et aux mots de passe) en exploitant un Internet clandestin en plein essor. Le hacking est aussi devenu un moyen de chantage, d’humiliation publique, d’entrave aux activités commerciales, de vol de propriété intellectuelle, d’espionnage, voire de guerre.
Deux récentes saisies du FBI montrent bien comment les malfaiteurs ont, en substance, « hacké le hacking ». La première, baptisée opération Clic Fantôme et menée en novembre 2011, a conduit à l’arrestation de six Estoniens qui avaient infecté plus de 4 millions d’ordinateurs dans une centaine de pays, empochant au passage 14 millions de dollars de commissions publicitaires illégales sur le Web. Le virus était transmis sous la forme d’un logiciel nécessaire au visionnage de vidéos en ligne. Une fois installé, il redirigeait subrepticement le moteur de recherche de l’ordinateur vers des sites contrôlés par les hackers. Dommage collatéral inattendu : après la fermeture des serveurs pirates par le FBI, des dizaines de milliers d’appareils que leurs propriétaires n’avaient pas « désinfectés » faute d’avoir détecté le virus perdirent leur connexion à Internet.
Le second coup de filet remonte à juin 2012. L’opération Card Shop [« carterie »] permit de harponner vingt-quatre personnes installées dans huit pays et sur quatre continents, qui volaient et revendaient des informations de cartes de crédit par le biais d’un forum Internet privé de « cartage », accessible uniquement sur invitation mais secrètement mis en place et administré par le FBI. Les visiteurs pouvaient vendre et acheter des numéros de carte volés et autres données personnelles, ou échanger des tuyaux pour dérober et utiliser ces informations. Selon l’agence fédérale, le dispositif a permis d’épargner à 400 000 victimes potentielles une perte de 205 millions de dollars.
Le profil des onze Américains arrêtés dans l’opération peut se lire comme une annexe du livre Cyber arnaque, l’inquiétant portrait que Misha Glenny fait des hackers criminels – aussi appelés crackers – mis en cause dans une précédente affaire de cartes de crédit gravitant elle aussi autour d’un forum où s’échangeaient des informations personnelles. (2) Comme les personnages du livre de Glenny, les hackers de Card Shop étaient tous des hommes, tous jeunes – le plus vieux avait 25 ans. Michael Hogue, 21 ans, habitant de Tucson, en Arizona, vendait des logiciels malveillants capables d’infecter l’ordinateur « capturé » puis de le contrôler à distance. Ces programmes permettaient de mettre en marche la webcam pour espionner l’utilisateur ; on pouvait aussi enregistrer chaque touche frappée par l’innocente victime, un moyen commode de voler les mots de passe pour accéder aux comptes en banque.
Christian Cangeopol, 19 ans, de Lawrenceville, en Géorgie, pratiquait pour sa part l’« instoring »[littéralement « aller dans un magasin »], consistant à acheter de coûteux équipements électroniques dans une vraie boutique au moyen de cartes de crédit volées en ligne, pour les revendre ensuite contre du liquide. Si ces jeunes hommes semblent du menu fretin dans le monde criminel, c’est peut-être à cause de la façon dont le FBI les a attrapés : en lançant un filet pour voir qui s’y laisserait prendre.
Un code pervers
À peu près au moment où l’agence rendait publique l’opération Card Shop, les sociétés de sécurité informatique McAfee et Guardian Analytics diffusaient un livre blanc décrivant en détail une technique de hacking très sophistiquée visant les gros comptes en banque d’entreprises et de particuliers. Les pirates étaient en mesure de se procurer les mots de passe de leurs cibles ainsi que leurs coordonnées bancaires, dont ils se servaient ensuite pour transférer de l’argent sur leurs propres comptes. Sous le nom de d’opération High Roller [« flambeur »], les vols commencèrent en Italie et se répandirent à travers l’Europe pour gagner ensuite l’Amérique latine puis l’Amérique du Nord, à la manière d’une ola faisant le tour d’un stade.
Chose remarquable, tout était orchestré à distance par soixante ordinateurs surpuissants installés en Russie. Une fois mis en place, le système fonctionnait tout seul. « Parce qu’aucune intervention humaine n’est nécessaire, chaque attaque s’effectue à toute vitesse et se développe facilement, écrivaient les auteurs du livre blanc. Cette opération conjugue une connaissance intime des systèmes de transactions bancaires et l’utilisation d’un code pervers, produit pour l’occasion ou bien récupéré tel quel ; elle semble donc relever du “crime organisé”. » Les auteurs estiment qu’au moins une douzaine de mafias étaient impliquées et que les vols ont causé environ 78 millions de dollars de pertes. D’après leurs calculs, si l’opération avait pu aller à son terme, les pertes auraient représenté jusqu’à 2 milliards d’euros.
En révélant ces sommes, McAfee et Guardian Analytics – tout le FBI et ses 205 millions si Card Shop avait été aux mains de hackers – entendaient sensibiliser le public à l’importance de la menace incarnée par les cybercriminels. Pourtant, il s’agit là de pures spéculations sur ce qui aurait pu se produire mais ne s’est pas produit.
Dans la même veine, l’éditeur de logiciels Norton, qui conçoit des programmes antivirus, a publié en 2011 un rapport sur la cybercriminalité évaluant les pertes subies par les consommateurs à environ 114 milliards de dollars par an. La presse s’est vite emparée de ce chiffre et l’a comparé à un autre : en termes financiers, la cybercriminalité rivalisait désormais avec le trafic mondial de drogue. Une révélation bien alarmante sur les dangers de l’ère du Web, qui incita sans doute d’innombrables internautes à sécuriser leurs mots de passe et à télécharger des antivirus. C’était d’ailleurs probablement l’objectif de Norton : les éditeurs d’antivirus et les sociétés de sécurité informatique ont un intérêt dans ce jeu. Les dépenses de cybersécurité des entreprises progressent aussi vite que la cyberescroquerie – de 10 % par an depuis 2006, selon une estimation, pour dépasser désormais 80 milliards de dollars par an.
Le coût exorbitant de la cybercriminalité tient peut-être également au fait que ces chiffres sont faux. Ceux du rapport Norton avaient été obtenus par extrapolation à partir d’un unique sondage. Mais si les estimations exagérées font mentir les données, l’absence d’estimations ne vaut guère mieux. Il est désormais avéré que les entreprises et autres organisations répugnent à reconnaître les pertes subies ou à admettre des failles de sécurité, par peur de perdre leurs clients, de voir chuter le cours de l’action ou d’encourager les victimes à attaquer en justice. Après que des hackers eurent infiltré par trois fois en l’espace de quatre ans le système informatique de la chaîne hôtelière Wyndham, subtilisant des centaines de milliers de numéros de carte, la société décida de ne pas en informer ses actionnaires dans son rapport annuel. De même, Amazon n’a pas voulu faire état du détournement massif des données personnelles des clients de ses divisions confection Zappos et 6pm. (3)
En dépit – ou peut-être à cause – de la réticence des entreprises, les tribunaux se sont retrouvés impliqués. Lorsqu’une mafia russe s’empara de 6,5 millions de mots de passe sur LinkedIn, l’une des victimes lança une action de groupe. Ses raisons : non seulement le réseau social professionnel n’avait pas convenablement protégé les informations personnelles, mais il avait aussi sciemment refusé de mettre au courant les membres dont les données avaient été compromises. Or les mots de passe LinkedIn permettaient d’accéder aux données privées des utilisateurs, y compris à leur numéro de téléphone, leur adresse, leur historique de carrière. Et aussi, dans bien des cas, à d’autres espaces personnels en ligne (boîtes e-mail, comptes en banque), car nombreux sont les internautes qui n’utilisent qu’un seul mot de passe pour la quasi-totalité de leurs activités en ligne.
90 % des entreprises attaquées
De son côté, la FTC, l’agence fédérale américaine chargée de la défense des consommateurs, a intenté une action contre Wyndham, alléguant que la chaîne hôtelière n’avait pas convenablement protégé ses clients, et demandé aux tribunaux de lui « ordonner d’arrêter de tromper ses clients sur ses moyens de protection de l’information, et de leur rembourser les sommes perdues ».
Les entreprises ont certes l’habitude de dissimuler les cyberattaques qu’elles essuient ; mais il est vrai que ces agressions sont devenues si nombreuses et si sophistiquées que les organisations ignorent bien souvent que leur système a été piraté. Une étude de la société Juniper Networks explique que, « en 2011, 90 % des entreprises ont subi au moins une brèche dans leur sécurité informatique ». Richard Bejtlich, chef de la sécurité dans l’entreprise américaine de protection numérique Mandiant, a lui aussi mené son enquête. Ses collègues et lui ont réalisé que 94 % des clients de sa société ne s’étaient rendu compte de rien – en l’espèce, elles avaient été apparemment victimes de hackers chinois à la recherche de secrets commerciaux ou d’autres informations susceptibles de leur conférer quelque avantage économique. « Dans bien des cas, le savoir-faire des intrus est tel qu’ils se contentent de sauter par-dessus les barrières, sans déclencher la moindre alarme », confia Shawn Henry, du FBI, au Wall Street Journal.
Dans le monde du piratage, Richard Bejtlich et sa société sont ce qu’on appelle des « chapeaux blancs », ou encore des « hackers éthiques ». Ils utilisent les mêmes instruments que les pirates pour infiltrer les systèmes informatiques, détecter leurs failles et, si possible, y remédier. Les gentils en chapeau blanc craignent tellement qu’on les confonde avec les méchants en chapeau noir que le Conseil international des consultants en e-commerce propose désormais un cours destiné à certifier le caractère éthique de leurs activités. Cela vient sans doute en partie de ce que beaucoup de « chapeaux blancs » sont d’anciens « chapeaux noirs ». Ils ont suivi l’exemple de Kevin Mitnick, le plus célèbre « chapeau noir » de la planète il y a de cela une génération. Fléau du FBI, il fut condamné à cinq ans de prison pour avoir piraté des sociétés de télécommunication, des administrations (y compris peut-être la NSA) et des universités. Mitnick dirige désormais sa propre entreprise de sécurité informatique. Il se fait grassement payer pour effectuer ce qu’il faisait naguère pour s’amuser – au risque de se retrouver en prison. (4)
Le dernier livre de souvenirs de Kevin Mitnick, Ghost in the Wires (« Fantôme dans les circuits »), s’ouvre sur la description haletante du piratage du réseau informatique d’une entreprise, digne deMission Impossible. (5) Pour ce faire, il s’introduit clandestinement dans les locaux muni d’une fausse carte puis, avec l’aide d’un complice passé à travers un plafond, il se fait ouvrir les bureaux de l’administrateur du réseau, dont il pirate ensuite l’ordinateur. Il prend tout son temps avant de révéler au lecteur que ces frasques trépidantes sont désormais loin derrière lui. Mais ce genre de démenti ne contribue guère à dissiper le sentiment général que tous les hackers sont de la même étoffe.
L’une des raisons pour lesquelles il est si difficile de distinguer, mettons, les hackers d’Anonymous, ceux de l’armée chinoise et un garçon de 19 ans vivant en Géorgie, c’est que les pirates préfèrent qu’il en soit ainsi. Attachés au grand principe des randonneurs, « ne rien laisser derrière soi », ils opèrent à l’abri de serveurs proxy – des ordinateurs intermédiaires disposés entre eux et leur cible – dissimulant l’identité de leur propre machine, rendant pratiquement impossible leur localisation précise. Ils se cachent aussi derrière une personnalité virtuelle qui tient généralement du fantasme et prennent des surnoms conçus pour tromper (l’un des membres les plus actifs du groupe Anonymous, qui se faisait appeler Kayla et disait être une adolescente américaine, était en fait un Britannique d’une vingtaine d’années ayant servi quatre ans dans l’armée). Comme le fait remarquer Parmy Olson dans sa chronique très détaillée et d’une amusante noirceur We Are Anonymous, « des personnalités individuelles pouvaient émerger, mais les gens n’avaient quand même aucune identité réelle ».
Ses propres recherches ont amené Misha Glenny à conclure qu’il était « impossible de comprendre tout à fait ce qui se passe réellement entre les acteurs, et avec qui ils sont effectivement en cheville ». Même les Anons d’Anonymous ne savent pas vraiment avec qui ils travaillent, explique Olson. La confiance est toujours conditionnelle et éphémère. Quand le hacker connu sous le nom de Sabu se mit à divulguer des informations personnelles, notamment son vrai nom et la ville où il habitait, l’un de ses camarades d’Anonymous, un certain Topiary, commença à se méfier de lui. Attitude paradoxale, mais qui s’est révélée parfaitement fondée. Lorsque le FBI annonça en mars 2012 qu’il avait arrêté Sabu, il précisa en outre que celui-ci avait joué le rôle d’informateur pendant les huit mois précédents et avait balancé toute sa bande. (6)
1 million de dollars pour la Croix-Rouge
À la façon dont Parmy Olson raconte l’histoire, Sabu – qui s’appelait en réalité Hector Monsegur et occupait un appartement au sixième étage de la cité Jacob Riis, dans le Lower East Side, à New York – s’était si bien identifié à son double rôle qu’il alla jusqu’à se présenter à un policier comme un agent fédéral, ce qui lui valut une peine de prison plus lourde.
Tout en fournissant des informations au FBI, Monsegur-Sabu continuait de frayer avec les autres Anons, organisant des raids qui permirent aux policiers fédéraux de réunir les preuves pour inculper ses « amis ». Sous le regard vigilant du FBI, Anonymous put se livrer librement à ses opérations de piratage, la plus célèbre étant un raid contre Stratfor, une « société de renseignement ayant son siège à Austin » et qui, selon Olson, « gagne de l’argent en vendant une newsletter à des clients parmi lesquels figure le département de la Sécurité intérieure ». Toujours sous le regard de la police, les hackers subtilisèrent 60 000 cartes de crédit et leurs codes, dont ils se servirent ensuite pour faire des dons d’une valeur de près de 1 million de dollars à la Croix-Rouge, à Save the Children et à d’autres organisations caritatives. Ils s’emparèrent aussi de 5 millions d’e-mails de Stratfor dont ils firent « cadeau » à WikiLeaks.
Ces courriels ont notamment révélé des déclarations d’employés de la société de renseignement attestant que les autorités fédérales espionnaient des citoyens américains ; on y apprenait aussi que des entreprises épiaient des représentants syndicaux et d’autres militants. Ces e-mails semblaient aussi indiquer que les États-Unis se préparaient à lancer une action judiciaire secrète contre le fondateur de WikiLeaks, Julian Assange. Ce qui soulève la question suivante : quels hackers portaient un chapeau blanc et lesquels un chapeau noir ?
Au nombre des différentes opérations d’Anonymous ou de ses ramifications, on compte la mise hors service des sites Web de Sony à deux reprises : une fois pour se venger du procès intenté par la firme contre le jeune hacker qui avait débloqué sa console de jeux PlayStation ; une autre fois parce que l’entreprise japonaise avait apporté son soutien au Stop Online Piracy Act [« Loi contre la piraterie en ligne »] que le Congrès était en train d’examiner. Il y eut aussi l’interruption temporaire des opérations en ligne de MasterCard et de PayPal, quand ces sociétés eurent annulé tous les transferts en faveur de WikiLeaks et de Julian Assange. Sans oublier, enfin, le blocage du site de l’Église de scientologie pour tenter de « l’expulser du Net ». Si ces opérations répondent à un principe directeur, c’est celui-ci : « L’information doit être libre. » Ce n’est pas tant la liberté de l’information qui est en jeu que le fait de libérer l’information des organisations qui la contrôlent.
Il n’est pas seulement idiot de vouloir attribuer une philosophie politique cohérente à un groupe d’individus qui rejettent obstinément la cohérence en s’associant à une organisation qui n’existe pas (puisqu’on ne peut pas la contacter et qu’elle n’a pas de membres) : c’est aussi refuser de voir le nihilisme qui irrigue Anonymous. Sa motivation principale, du moins à ses débuts, c’étaient les lulz – la rigolade, le jeu, les blagues, peu importe aux dépens de qui. Pourquoi se traiter mutuellement de « pédés » et de « nègres » ? Pourquoi obliger des internautes à se livrer à des actes sexuels devant leur webcam, en les menaçant de divulguer des informations sur eux ou de « révéler leur véritable identité, leur envoyer des menaces sur Facebook ou retrouver des membres de leur famille pour les harceler à leur tour » ? Pourquoi ? Parce qu’ils trouvent ça drôle de choquer et d’humilier.
Pourtant, parmi les individus qui commettent ce genre d’actes, on trouve ceux qui ont « libéré » les e-mails de Stratfor. Y figurent également ceux qui ont hacké les comptes Internet de HB Gary (une entreprise de travaux publics corrompue travaillant pour le gouvernement fédéral), révélant notamment que cette société et d’autres avaient approché la Bank of America pour lui suggérer des plans visant à frapper et à discréditer WikiLeaks. C’est aussi un membre d’Anonymous qui a conçu le programme ayant permis aux Tunisiens d’accéder à Internet en échappant à la surveillance des autorités – quelques lignes de code qui ont, presque par inadvertance, servi de catalyseur au Printemps arabe.
Néanmoins, c’était aussi pour les lulz qu’Anonymous, à peu près à la même époque, dérobait les données personnelles d’innocents chanteurs en herbe espérant concourir dans l’émission télévisée « The X Factor » et prenait le contrôle du site Web de la chaîne PBS parce qu’il désapprouvait le documentaire que celle-ci avait diffusé sur Assange (et voilà pour la libre circulation de l’information !). Au cours de cette attaque, les pirates avaient également inséré une fausse nouvelle sur le site officiel de PBS annonçant que le défunt rappeur Tupac Shakur était en fait vivant et que la star habitait en Nouvelle-Zélande ; et ils avaient changé la page d’accueil pour y mettre le dessin d’un homme obèse en train de manger un énorme hamburger avec la légende « Mdr – Salut – Je mange les enfants » [« LOL HI I EAT CHILDRENS » (sic)].
Si cela paraît grossier et puéril, c’est peut-être parce que tant de membres d’Anonymous se sont révélés être à peine plus âgés que des enfants. Jake Davis – alias Topiary – avait 18 ans quand on l’a arrêté ; T-Flow, celui qui a écrit le programme pour les Tunisiens, avait 16 ans. Du haut de ses 28 ans, Hector Monsegur était presque d’une autre génération. Quand on découvrit sa complicité, la presse se hâta de le présenter comme le leader du groupe, une allégation probablement aussi vraie que fausse. Bien que les membres d’Anonymous agissent à dessein hors de toute structure ou hiérarchie, et se prétendent exclusivement soumis aux diktats de l’intelligence collective, comme les abeilles au sein d’une ruche, il faut bien admettre que les vraies ruches – celles qui nous donnent du miel – travaillent en réalité sous la houlette d’un souverain éclairé, la reine. Le leadership chez Anonymous est plus fluide : un ou plusieurs Anons émettent l’idée d’une opération, et les autres décident de s’y associer ou non ; mais, du temps de Monsegur, c’était lui qui orientait apparemment ses compères dans une direction plus politique.
L’avantage de n’avoir ni véritable leader, ni structure officielle, ni objectifs prédéterminés éclata au grand jour quand, avec l’aide d’autres institutions policières mondiales, le FBI arrêta Monsegur et vingt-quatre autres Anons : Anonymous ne disparut pas avec eux. Le groupe n’a pas cessé d’agir, parfois sous son propre nom, parfois sous d’autres : LulzSecReborn, MalSec, SpexSec… Autant de masques sous lesquels n’importe qui est libre d’opérer, et n’importe où. Comme un membre anonyme de LulzSecReborn est censé l’avoir confié à un intervieweur anonyme dans un entretien mis en ligne par le site roumain Softpedia, « nous reprenons les choses là où le vieux LulzSec les avaient laissées, pour hacker les sites de l’armée et du gouvernement et divulguer leurs bases de données bourrées d’informations sensibles ». Eux et leurs semblables ont su tenir leurs engagements : « Nous sommes Anonymous. Nous sommes Légion. Nous ne pardonnons pas. Nous n’oublions pas. Redoutez-nous ».
En lisant tout ce qui concerne Anonymous, LulzSec, AntiSec, MalSec, DarkMarket, l’opération Card Shop, l’opération High Roller, mais aussi les hackers chinois qui ont infiltré il y a deux ans (7) le centre informatique de la marine indienne, les Anons islamistes qui ont volé et publié les informations personnelles de citoyens israéliens, les hackers indiens qui ont changé la page d’accueil de deux sites officiels du gouvernement pakistanais pour commémorer la mort de leurs compatriotes dans les attentats de 2011 à Bombay, les nouvelles révélations par WikiLeaks, à partir du raid d’Anonymous sur Stratfor, de millions de documents syriens, et ainsi de suite – on en vient à penser au virus Stuxnet. L’histoire de Stuxnet – le concept top secret, sa réalisation top secret par des programmeurs israéliens et américains, son déploiement top secret dans une usine iranienne d’enrichissement nucléaire et enfin son infection très publique d’ordinateurs du monde entier – a été retracée par David Sanger dans ses articles pour le New York Times puis dans son remarquable livre Obama, Guerres et secrets. (8) Stuxnet est une arme dans une guerre menée de façon si furtive que les cibles, selon Sanger, ignorèrent longtemps ce qui les avait frappées, et même qu’ils l’avaient été. Maintenant que tout cela n’a plus rien de secret, que l’architecture et les codes du programme sont accessibles à tous, Stuxnet est susceptible de propulser le piratage à un niveau supérieur.
Dans ses formes premières, le hacking consistait à traficoter du hardware, puis à bidouiller le software contrôlant le hardware – le genre d’activité qui ne peut guère se produire que dans un univers clos. (9) Mais en migrant sur le Net, le piratage est devenu une composante de notre vie, ou du moins de cette partie de notre existence qui se déroule en ligne – travail, correspondance personnelle, activités bancaires, achats et ainsi de suite. Quel que soit le nombre réel de personnes touchées par la cybercriminalité, nous sommes tous vulnérables, et peu importe le nombre de caractères spéciaux, de chiffres et d’expressions idiotes que nous ajoutons à nos mots de passe. Or nous ne sommes pas seulement exposés en tant qu’individus. Ce sont les infrastructures fondamentales de notre société qui sont menacées, y compris les stations d’épuration, le réseau électrique, les raffineries, les centrales électriques et les systèmes de transport.
« Bricoler » avec le monde
Et tout cela n’est encore rien rapporté au pouvoir destructeur exponentiel de Stuxnet ou des virus de tous ordres qu’il engendre et qui s’inspirent de lui. Ralph Langner, l’expert en sécurité informatique allemand qui fut le premier à craquer le code de Stuxnet, a précisé dans le New York Times les risques dont celui-ci était porteur. Ce virus pourrait selon lui muter et devenir une arme bon marché, accessible au crime organisé, aux États voyous, aux terroristes, aux jeunes pirates ayant du temps à perdre. Ou même à toute personne désireuse de « bricoler » avec le monde. « N’importe quelle centrale électrique américaine, y compris nucléaire, est bien plus exposée à une cyberattaque que les installations iraniennes, très protégées », écrivait-il.
Le général Keith Alexander, chef du Cyber Command américain, en est convaincu : ce n’est qu’une question de temps avant qu’une cyberattaque ne provoque des dégâts matériels sur des systèmes essentiels. Nous continuons donc à cheminer, advienne que pourra, sur la voie des hackers.
New York Review of Books, 27 septembre 2012
Traduction : Jean-Louis de Montesquiou
Notes
1| Traduit chez Globe en 2013.
2| Ouvrage traduit chez Denoël en 2013.
3| En janvier 2015, à la suite du piratage spectaculaire de Sony, le président Obama a annoncé une proposition de loi visant à imposer aux entreprises victimes d’un hacking de le révéler dans les trente jours.
4| Lire Kevin Mitnick, L’Art de la supercherie : les révélations du plus célèbre hacker de la planète, Campus Press, 2003.
5| Back Bay Books, 2012.
6| Sabu était l’un des fondateurs de LulzSec, un groupe de hackers qui avait pénétré les comptes d’utilisateurs de Sony Pictures en 2011, paralysé le site de la CIA et pris possession de la page d’accueil de journaux de News Corporation, y annonçant la fausse nouvelle de la mort de Rupert Murdoch.
7| En juillet 2012, des hackers ont placé des centaines d’adresses e-mail avec mot de passe de citoyens israéliens sur le site Anonymous Arab.
8| Belin, 2012.
9| Sur la persistance de ce courant, voir le livre du sociologue Michel Lallement, L’Âge du faire, Seuil, 2015.