Un masque, deux visages
par Sue M. Halpern

Un masque, deux visages

Les hackers, ces rois de la bidouille reconvertis via Anonymous en défenseurs de la libre circulation de l’information, évoluent dans un univers aux frontières dangereusement floues. Où il n’y a jamais bien loin de la simple bricole au chantage, de la paix à la guerre, du goût de la justice au crime. Dans ce monde-là,il est souvent difficile de distinguer le « chapeau blanc » du « chapeau noir », le génie de la sécurité informatique de l’espion, le gendarme du voleur. Mais ainsi va le Web.

Publié dans le magazine Books, avril 2015. Par Sue M. Halpern
Le dernier jour de juin 2012, le site d’informations technologiques Redmond Pie publia coup sur coup deux articles qui n’avaient à première vue aucun rapport. Le premier, intitulé « Rebasculez la Nexus 7 sous Android 4.1 Jelly Bean, débloquez Boatloader et flashez ClockworkMod Recovery », expliquait comment prendre le contrôle du système d’exploitation de la toute nouvelle tablette de Google, la Nexus 7. Un appareil si récent que les premiers modèles commandés n’avaient pas encore été expédiés. Le second titre était un peu plus facile à déchiffrer pour le profane : « Un nouveau “malware” visant OS X est apparu au Tibet – il transfère les informations personnelles des utilisateurs sur un serveur à distance ». Cet article, annonçant la découverte d’un virus du type « cheval de Troie » sur certains ordinateurs tibétains, révélait que les machines Apple n’étaient plus aussi imperméables aux virus et aux vers informatiques malveillants. L’attaque, qui visait des opposants tibétains au régime chinois, ne devait rien au hasard et tout à la stratégie politique. Quand les militants téléchargeaient le fichier infecté, celui-ci connectait secrètement leur ordinateur à un serveur chinois désormais capable de surveiller leurs activités et de saisir le contenu de leur disque dur. L’auteur de l’article du Redmond Pie laissait entendre que cette attaque visait les ordinateurs Apple car la marque avait la préférence du dalaï-lama. « Hacking » et « hackers» sont devenus des termes si fourre-tout et si génériques qu’on ne peut désormais comprendre leur sens qu’en fonction du contexte. Mais ces dernières années, après le scandale anglais du piratage des téléphones mobiles, après Anonymous et LulzSec, après Stuxnet (quand Américains et Israéliens se sont servis d’un virus informatique pour saboter des centrifugeuses et retarder le projet nucléaire iranien), après d’innombrables vols d’identité, le contexte tend à privilégier le côté destructeur du hacking. En février 2012, avant l’entrée en bourse de Facebook, Mark Zuckerberg expliquait dans une lettre adressée aux investisseurs potentiels que le réseau social adhérait à une philosophie appelée « la Voie du hacker ». Ce n’était pas de la provocation. Il tentait ainsi de mettre en avant les côtés positifs du hacking, en reprenant la formule d’un vétéran des nouvelles technologies, le journaliste Steven Levy, dont le livre L’Éthique des hackers fut en 1984 la première vraie tentative pour comprendre la sous-culture à laquelle nous devons Steve Jobs, Steve Wozniak et Bill Gates. (1) « À vrai dire, écrivait Zuckerberg, “hacker” signifie simplement mettre au point quelque chose rapidement, ou tester les limites du faisable. Cette activité, comme presque toutes les autres, peut être au service du bien ou du mal ; mais la plupart des hackers que j’ai rencontrés sont plutôt des idéalistes qui veulent avoir un impact positif sur le monde… Ils croient que tout peut être amélioré, que rien n’est jamais parfait. Ils éprouvent le besoin de bricoler les choses par eux-mêmes. Souvent contre l’avis de ceux qui prétendent qu’on ne peut rien faire ou qui se satisfont du statu quo ». Le terme « bricoler » peut sembler neutre, mais il pose des problèmes d’interprétation. La tablette Nexus 7 de Google était-elle défectueuse avant même d’avoir été emballée et expédiée ? Pas pour l’entreprise, ni pour la grande majorité de ceux qui l’avaient commandée. Mais l’opinion des geeks qui avaient étudié ses caractéristiques techniques était tout autre. Observant que l’appareil disposait d’une mémoire interne relativement faible, ils voulaient compenser ce défaut en rendant la tablette compatible avec les périphériques de stockage. Le premier iPhone n’avait, lui non plus, rien de vraiment défectueux – il fonctionnait parfaitement. Sauf aux yeux des utilisateurs désireux de télécharger des applications ni fabriquées ni approuvées par Apple, ou rechignant à dépendre d’un opérateur spécifique (AT&T). Le produit ne convenait pas davantage aux amateurs de bidouillage persuadés d’être dans leur bon droit en tant que propriétaires du gadget. Or les différents outils de déblocage (« jailbreaks ») fournis par les hackers pour contourner ces restrictions répondaient précisément à ces doléances. Ils relevaient donc, selon l’expression de Zuckerberg, du « bricolage ».   Opération Clic Fantôme Le travail des hackers peut améliorer – et améliore souvent, de fait – les nouveaux produits : tel était l’argument saillant de l’hommage rendu à la communauté par le patron de Facebook, et la raison pour laquelle il voulait en informer les investisseurs potentiels. Ces jeunes geeks révèlent les défauts, suggèrent des innovations, mettent en évidence à la fois ce qui est faisable et ce dont les consommateurs ont envie » [lire : « Je ne suis pas Anonymous » ci-dessous]. Pour autant, comme Zuckerberg le laissait entendre, le hacking a aussi sa face sombre, qui occulte son côté défi, son esprit ludique et créatif, notamment aux yeux du grand public, et pour de bonnes raisons. Le piratage est en effet devenu l’outil privilégié d’un certain type de malfrats, qui siphonnent les comptes en banque électroniques ou revendent des informations personnelles (notamment relatives aux cartes de crédit et aux mots de passe) en exploitant un Internet clandestin en plein essor. Le hacking est aussi devenu un moyen de chantage, d’humiliation publique, d’entrave aux activités commerciales, de vol de propriété intellectuelle, d’espionnage, voire de guerre. Deux récentes saisies du FBI montrent bien comment les malfaiteurs ont, en substance, « hacké le hacking ». La première, baptisée opération Clic Fantôme  et menée en novembre 2011, a conduit à l’arrestation de six Estoniens qui avaient infecté plus de 4 millions d’ordinateurs dans une centaine de pays, empochant au passage 14 millions de dollars de commissions publicitaires illégales sur le Web. Le virus était transmis sous la forme d’un logiciel nécessaire au visionnage de vidéos en ligne. Une fois installé, il redirigeait subrepticement le moteur de recherche de l’ordinateur vers des sites contrôlés par les hackers. Dommage collatéral inattendu : après la fermeture des serveurs pirates par le FBI, des dizaines de milliers d’appareils que leurs propriétaires n’avaient pas « désinfectés » faute d’avoir détecté le virus perdirent leur connexion à Internet. Le second coup de filet remonte à juin 2012. L’opération Card Shop [« carterie »] permit de harponner vingt-quatre personnes installées dans huit pays et sur quatre continents, qui volaient et revendaient des informations de cartes de crédit par le biais d’un forum Internet privé de « cartage », accessible uniquement sur invitation mais secrètement mis en place et administré par le FBI. Les visiteurs pouvaient vendre et acheter des numéros de carte volés et autres données personnelles, ou échanger des tuyaux pour dérober et utiliser ces informations. Selon l’agence fédérale, le dispositif a permis d’épargner à 400 000 victimes potentielles une perte de 205 millions de dollars. Le profil des onze Américains arrêtés dans l’opération peut se lire comme une annexe du livre Cyber arnaque, l’inquiétant portrait que Misha Glenny fait des hackers criminels – aussi appelés crackers – mis en cause dans une précédente affaire de cartes de crédit gravitant elle aussi autour d’un forum où s’échangeaient des informations personnelles. (2) Comme les personnages du livre de Glenny, les hackers de Card Shop étaient tous des hommes, tous jeunes – le plus vieux avait 25 ans. Michael Hogue, 21 ans, habitant de Tucson, en Arizona, vendait des logiciels malveillants capables d’infecter l’ordinateur « capturé » puis de le contrôler à distance. Ces programmes permettaient de mettre en marche la webcam pour espionner l’utilisateur ; on pouvait aussi enregistrer chaque touche frappée par l’innocente victime, un moyen commode de voler les mots de passe pour accéder aux comptes en banque. Christian Cangeopol, 19 ans, de Lawrenceville, en Géorgie, pratiquait pour sa part l’« instoring » [littéralement « aller dans un magasin »], consistant à acheter de coûteux équipements électroniques dans une vraie boutique au moyen de cartes de crédit volées en ligne, pour les revendre ensuite contre du liquide. Si ces jeunes hommes semblent du menu fretin dans le monde criminel, c’est peut-être à cause de la façon dont le FBI les a attrapés : en lançant un filet pour voir qui s’y laisserait prendre.   Un code pervers À peu près au moment où l’agence rendait publique l’opération Card Shop, les sociétés de sécurité informatique McAfee et Guardian Analytics diffusaient un livre blanc décrivant en détail une technique de hacking très sophistiquée visant les gros comptes en banque d’entreprises et de particuliers. Les pirates étaient en mesure de se procurer les mots de passe de leurs cibles ainsi que leurs coordonnées bancaires, dont ils se servaient ensuite pour transférer de l’argent sur leurs propres comptes. Sous le nom de d’opération High Roller [« flambeur »], les vols commencèrent en Italie et se répandirent à travers l’Europe pour gagner ensuite l’Amérique latine puis l’Amérique du Nord, à la manière d’une ola faisant le tour d’un stade. Chose remarquable, tout était orchestré à distance par soixante ordinateurs surpuissants installés en Russie. Une fois mis en place, le système fonctionnait tout seul. « Parce qu’aucune intervention humaine n’est nécessaire, chaque attaque s’effectue à toute vitesse et se développe facilement, écrivaient les auteurs du livre blanc. Cette opération conjugue une connaissance intime des systèmes de transactions bancaires et l’utilisation d’un code pervers, produit pour l’occasion ou bien récupéré tel quel ; elle semble donc relever du “crime organisé”. » Les auteurs estiment qu’au moins une douzaine de mafias étaient impliquées et que les vols ont causé environ 78 millions de dollars de pertes. D’après leurs calculs, si l’opération avait pu aller à son terme, les pertes auraient représenté jusqu’à 2 milliards d’euros. En révélant ces sommes, McAfee et Guardian Analytics – tout le FBI et ses 205 millions si Card Shop avait été aux mains de hackers – entendaient sensibiliser le public à l’importance de la menace incarnée par les cybercriminels. Pourtant, il s’agit là de pures spéculations sur ce qui aurait pu se produire mais ne s’est pas produit. Dans la même veine, l’éditeur de logiciels Norton, qui conçoit des programmes antivirus, a publié en 2011 un rapport sur la cybercriminalité évaluant les pertes subies par les consommateurs à environ 114 milliards de dollars par an. La presse s’est vite emparée de ce chiffre et l’a comparé à un autre : en termes financiers, la cybercriminalité rivalisait désormais avec le trafic mondial de drogue. Une révélation bien alarmante sur les dangers de l’ère du Web, qui incita sans doute d’innombrables internautes à sécuriser leurs mots de passe et à télécharger des antivirus. C’était d’ailleurs probablement l’objectif de Norton : les éditeurs d’antivirus et les sociétés de sécurité informatique ont un intérêt dans ce jeu. Les dépenses de cybersécurité des entreprises progressent aussi vite que la cyberescroquerie – de 10 % par an depuis 2006, selon une estimation, pour dépasser désormais 80 milliards de dollars par an. Le coût exorbitant de la cybercriminalité tient peut-être également au fait que ces chiffres sont faux. Ceux du rapport Norton avaient été obtenus par extrapolation à partir d’un unique sondage. Mais si les estimations exagérées font mentir les données, l’absence d’estimations ne vaut guère mieux. Il est désormais avéré que les entreprises et autres organisations répugnent à reconnaître les pertes subies ou à admettre des failles de sécurité, par peur de perdre leurs clients, de voir chuter le cours de l’action ou d’encourager les victimes à attaquer en justice. Après que des hackers eurent infiltré par trois fois en l’espace de quatre ans le système informatique de la chaîne hôtelière Wyndham, subtilisant des centaines de milliers de numéros de carte, la société décida de ne pas en informer ses actionnaires dans son rapport annuel. De même, Amazon n’a pas voulu faire état du détournement massif des données personnelles des clients de ses divisions confection Zappos et 6pm. (3) En dépit – ou peut-être à cause – de la réticence des entreprises, les tribunaux se sont retrouvés impliqués. Lorsqu’une mafia russe s’empara de 6,5 millions de mots de passe sur LinkedIn, l’une des victimes lança une action de groupe. Ses raisons : non seulement le réseau social professionnel n’avait pas convenablement protégé les informations personnelles, mais il avait aussi sciemment refusé de mettre au courant les membres dont les données avaient été compromises. Or les mots de passe LinkedIn permettaient d’accéder aux données privées des utilisateurs, y compris à leur numéro de téléphone, leur adresse, leur historique de carrière. Et aussi, dans bien des cas, à d’autres espaces personnels en ligne (boîtes e-mail, comptes en banque), car nombreux sont les internautes qui n’utilisent qu’un seul mot de passe pour la quasi-totalité de leurs activités en ligne.   90 % des entreprises attaquées De son côté, la FTC, l’agence fédérale américaine chargée de la défense des consommateurs, a intenté une action contre Wyndham, alléguant que la chaîne hôtelière n’avait pas convenablement protégé ses clients, et demandé aux tribunaux de lui « ordonner d’arrêter de tromper ses clients sur ses moyens de protection de l’information, et de leur rembourser les sommes perdues ». Les entreprises ont certes l’habitude de dissimuler les cyberattaques qu’elles essuient ; mais il est vrai que ces agressions sont devenues si nombreuses et si sophistiquées que les organisations ignorent bien souvent que leur système a été piraté. Une étude de la société Juniper Networks explique que, « en 2011, 90 % des entreprises ont subi au moins une brèche dans leur sécurité informatique ». Richard Bejtlich, chef de la sécurité dans l’entreprise américaine de protection numérique…
Pour lire la suite de cet article, JE M'ABONNE, et j'accède à l'intégralité des archives de Books.
Déjà abonné(e) ? Je me connecte.
Imprimer cet article
1
Commentaire

écrire un commentaire

  1. Laurent Kretz dit :

    Très instructif !