Portrait d'un hacker : Pirate de l'ère… informatique
Société

Portrait d’un hacker : Pirate de l’ère… informatique

À côté de lui, Mafiaboy est un lilliputien du piratage informatique. Seul hacker à avoir été condamné à la prison – avec sursis – au pays, CHRIS McKOY (un de ses noms fictifs) a défoncé des centaines de systèmes informatiques de compagnies, banques, armées, services secrets… Entrevue exclusive avec l’un des plus grands pirates-repentis de notre contrée et portrait d’un univers intangible.

Baptiste Ricard-Châtelain Photo : Pascal Teste

Chris McKoy

était un vrai hacker. Parmi ceux dont on entend peu parler, membres d’une communauté soudée et occulte oeuvrant en vase clos. Rien à voir avec les script kiddies, ces jeunes en manque d’attention capables du pire, ces mafiaboys du cyberespace détestés et dénigrés par les hackers.
Aujourd’hui, Chris est serein. La poussière est retombée, ses démêlés avec la justice sont terminés. Pour l’entrevue, il nous donne rendez-vous dans un resto de Sainte-Foy. Il ne veut parler qu’en tête-à-tête. Ponctuel, il arrive pile à l’heure au volant de sa voiture sport. La techno joue à fond. Bien calé dans la banquette, son café en main, il se raconte sans inhibition.
À ses débuts, à l’aube des années 1990, Chris était seul, dans le sous-sol de la maison familiale, face à son ordinateur. Rien de bien performant. Un Tandy 1000 de Radio Shack, acheté usagé pour 75 $. «Ce n’est pas la machine qui fait la compétence», lance-t-il, décelant bien notre étonnement.
Afin de meubler ses temps libres, l’autodidacte étudiant au secondaire pitonne sur son clavier et s’initie aux rudiments de la programmation. Oubliez l’Internet tel qu’on le définit maintenant. La Toile n’est pas encore accessible au grand public. Il se sent bien seul et veut dialoguer avec le vaste monde. Rien de plus simple pour le jeune «informaticomane». Il crée un babillard électronique sur son ordinateur. «C’est comme un mini-Internet… Un chat pas en temps réel», explique-t-il. Les gens laissaient des messages dans l’ordinateur de Chris, et d’autres pouvaient venir les consulter par la suite. Une messagerie électronique, en quelque sorte.
C’est à cette époque qu’il rencontre les futurs membres de son club – ils seront sept -, ayant tous un intérêt marqué pour l’informatique. Alors commence le piratage.
Nous sommes en 1995. Un seul groupe fait du hacking dans la région de la capitale: les Corruption Addicts. Un nom sorti tout droit de l’imaginaire des adolescents. Sans-le-sou, ils s’attaquent aux systèmes téléphoniques et informatques de compagnies ou universités pour naviguer gratuitement. Du wardial. «C’était juste pour le trip de rentrer… Une fois que c’était fait, on repartait content.» Telle est la philosophie qui les guidera tout au long de leur «carrière».

Internationalisation
Avec l’avènement d’Internet, les événements se bousculent. Chris et ses amis créent leur site et discutent avec leurs pairs du monde entier. On ne fait aucune publicité. Le bouche à oreille suffit à attirer leurs semblables. «Il n’y avait pas d’heure ou de date. On se rencontrait 24h/24.» Aussi, les cibles changent. «On pouvait se permettre d’être plus international!» s’exclame-t-il, la passion transpirant de tout son être.
En deux ou trois années, la troupe pénétrera dans des centaines de systèmes informatiques à travers le monde. «On se donnait des défis.» Dans son rapport, la GRC en dénombre environ 400, datant tous de 1997. Est-ce qu’il y en a eu plus? Sans doute beaucoup plus! Chris ne nous le dira pas. «Il y a beaucoup de sites gouvernementaux, d’universités, de banques, militaires…» Aucune préférence. Des noms? Les Services canadiens de renseignements de sécurité (SCRS), un de leurs premiers coups fumants!, US Departement of Commerce, US Army Information System Command, GRC, National High Magnetic Federal Labotary. De tout.

Regrets
Chris ne regrette qu’une chose. D’avoir propagé ses exploits sur le Web. «Sur Internet, chaque groupe veut s’afficher. La meilleure façon, c’est de montrer ce qu’on a fait… On était le seul groupe à Québec dans le temps. C’était d’afficher nos exploits pour avoir de la notoriété… Il y a eu une grosse part d’irresponsabilité», raconte-t-il avec dépit.
À 23 ans, Chris met le tout sur le dos de son insouciance de jeunesse. Certes, son groupe obéissait aux règles du hacking, soit trouver la faille, entrer, puis ressortir sans briser ou affecter les données. Mais lorsqu’on affiche les codes d’accès de sites d’envergure sur le Net, on ne sait pas ce que les autres en feront.
Quelqes mois plus tard, c’est le choc. Le site est devenu un peu trop populaire au goût des cyberpirates. «On a eu une prise de conscience. On a trop pris ça à la légère, se souvient Chris. On avait décidé de devenir plus légal, plus correct.» Leur nouveau dada? Dénoncer les problèmes de sécurité, rédiger des rapports pour que les compagnies en prennent conscience. «On était en restructuration!»
C’était trop peu, trop tard. Les policiers avaient déjà un dossier bien étoffé. Le 13 mai 1998, Chris est arrêté. Les agents de la GRC fouillent sa demeure de fond en comble et saisissent tout son matériel. Deux ans plus tard, il sera condamné à un an de prison avec sursis et, c’est le plus difficile à digérer, privé d’accès à Internet durant deux ans, sauf pour son travail. Un bloc de béton lui tombe sur la tête.
L’interdiction d’accéder au Web lui a fait mal. Son rêve le plus cher doit être reporté. Mais, ce n’est que partie remise. Dans deux ans, il aimerait plus que tout fonder sa propre compagnie de sécurité informatique. Disons qu’il croit être compétent en la matière! Il pense d’ailleurs que les hackers sont essentiels et qu’ils peuvent être très utiles. «Si ce n’était pas des hackers, la sécurité ne serait pas très développée. C’est un mal nécessaire.»

Nuisances
Malheureusement, selon lui, la population a une bien mauvaise perception de ces pirates de l’ère informatique à cause des script kiddies qui ont mauvaise presse et font fi du code d’honneur des hackers. «Ce sont des nuisances. Au lieu de briser un banc de parc, ils vont passer leur crise d’adolescence [sur Internet]. C’est plus dommageable encore.»
Chris ne porte pas ces jeunes en haute estime. Lui devait passer des heures devant son écran. «C’était beaucoup de recherche.» Maintenant, c’est plus facile. Le Net regorge de logiciels servant au piratage. «N’importe quel p’tit kid peut s’amuser à faire du trouble… Dix ans, c’est en masse.»
«[La menace] est beaucoup plus grande qu’avant… Les jeunes n’ont plus la notion du mal.» Ils n s’arrêtent pas là. «C’est le genre de jeunes qui détruit l’image [des hackers]… Ces jeunes montrent le côté ravageur», renchérit-il, citant en exemple les présumés hackers que nous présentent régulièrement les médias, principalement la télévision. Tant qu’ils ne se font pas pincer, les «vrais» ne dévoileront pas leur identité.
Que devient Chris? Il teste le système informatique pour une grande entreprise, histoire d’accroître sa sécurité et d’éviter les intrusions! «Je nage comme un poisson dans l’eau… Je fais ce que j’ai toujours voulu faire.»y

Sur la ligne de faille

«Je suis un ex-hacker. Je n’utiliserais jamais, jamais, jamais ma carte de crédit sur Internet!»

Celui qui s’exclame ainsi, c’est l’ancien ami de Chris et ex-membre des Corruption addicts, Stéphane Boivin. C’était le graphiste du groupe, le webmaker, le responsable de la fabrication du site Internet. Selon lui, il y a toujours un moyen d’amasser des numéros de cartes de crédit sur la Toile.
«Il ne faut pas trop badtriper, quand même», s’empresse-t-il d’ajouter. Mais après un avertissement si clair, vous comprenez que rien n’est entièrement protégé. Ainsi, s’il advenait que votre numéro soit découvert par une âme malveillante, il servirait probablement à l’achat de logiciels, parfois fort coûteux, disponibles sur Internet.
Le vol de numéros de cartes de crédit n’est qu’un exemple pour démontrer que très peu de sites Web, voire aucun, sont vraiment sûrs. Et les invasions sont difficiles à détecter. «Pour une entreprise, c’est quasi impossible de prouver qu’un serveur a été piraté.»
Le danger vient d’où? De qui? Stéphane Boivin dénonce lui aussi les script kiddies, ces jeunes dont les pratiques sont décriées par les hackers parce qu’ils ne sont pas considérés comme ayant les compétences nécessaires pour pirater un système informatique. Ils ne font qu’utiliser les informations fournies par les hackers qui ne cherchent qu’à dénoncer des failles sans les exploiter.
Mais il ajoute qu des hackers malhonnêtes peuvent également causer bien du tort. Ce sont ceux qui ne craignent pas d’endommager un réseau informatique. Dans le milieu, on les nomme black hats ou dirty hackers. Ils sont opposés aux white hats, les pirates qui travaillent en sécurité informatique, qui détectent les problèmes de sécurité, jugés plus honnêtes.
Ce n’est pas tout. Décidément, l’univers des pirates informatiques compte de nombreuses castes. Ainsi, on y retrouve également les newbies, des débutants qui sont regardés de haut par les professionnels du piratage, mais qui ont un certain potentiel. Par contre, le titre de wannabies n’est pas enviable. «Ils veulent, mais ils ne l’ont pas. Ils veulent se trouver hot, explique M. Boivin. Ils n’ont pas ce qu’il faut pour être hacker.» Aucune capacité à assimiler le fonctionnement des systèmes d’exploitation, donc. Un message pour eux? «Il y a d’autres choses à faire pour se défouler!»
À présent, M. Boivin n’est plus du tout actif dans le milieu du hacking. Arrêté à la même époque que Chris McKoy, il a été absous inconditionnellement. Seule restriction, ne plus parler à son bon ami. Cela lui a donné une très bonne leçon, insiste-t-il.
Facile de se trouver un emploi quand on a été hacker? Pas aussi facile que le veut la croyance populaire. Devenu travailleur autonome, M. Boivin se bute à la détermination des plus vieux à rester en selle. «Le problème, c’est quand ils pensent que tu es trop compétent. Ils ont peur de perdre leur place.»
«Il faut faire de la place pour les jeunes en informatique. Les jeunes sont forts et dépassent de beaucoup les adultes. Ça avance tellement vite. L’informatique, c’est la place des jeunes.» Un véritable cri du coeur. M. Boivin est désabusé devant les embûches. Spécialisé en multimédia, il ne peut que constater le peu d’emplois disponibles dans le domaine, du moins à Québec. Un jour, s’il amasse assez d’argent, il fondera sa propre compagnie de jeux.
Pourtant, poursuit-il, le Québec regorge de talents qui ne demandent qu’à être exploités C’est aussi parce que les jeunes, et parfois moins jeunes, Québécois aiment l’informatique que la province est réputée pour ses hackers. «Le Québec a une place assez intéressante au niveau du piratage parce que les meilleurs programmeurs viennent du Québec», fait-il valoir. Le nombre important de nos compatriotes embauchés à Silicon Valley en témoigne, selon lui.

Périmètre d’insécurité

Les entreprises ou institutions en quête de confidentialité investissent de petites fortunes afin de sécuriser leurs systèmes informatiques. Malgré cela, rien ne leur garantit à 100 % la quiétude puisqu’on ne peut fermer toutes les issues.
«On dit que le site est sécurisé, on dit qu’il est conforme aux normes… On est »sécure » jusqu’à ce qu’on découvre une porte!» Gilles, nom fictif, est architecte de réseaux informatiques d’entreprises depuis plus de 15 ans. Il nous a demandé de taire son identité pour éviter des représailles de son employeur et ne pas donner d’idées aux pirates informatiques à la recherche d’une cible.
Tout réseau informatique, même le mieux construit, pourra être envahi, certifie-t-il. La raison est bien simple et paraît presque anodine. «Si je le ferme trop, il ne sera plus utilisable.» Comment voulez-vous que les utilisateurs puissent y entrer s’il n’y a aucune ouverture? Ce constat fait, Gilles, comme tous les autres architectes du genre, doit s’engager dans un travail de moine afin de cacher ces brèches et tenter de contrer de possibles intrusions. «Il faut une grande érudition d’un système d’exploitation… Il y a un nombre incroyable de petites ouvertures.»
Dans son cas, l’entrée d’un hacker pourrait avoir des répercussions importantes. Gilles travaille avec des données nominatives, même des dossiers médicaux. «Ce sont des informations sensibles et hautement confidentielles.» Imaginez le grabuge si quelqu’un mettait la main dessus.
Gilles a donc acquis, au fil des ans, une certaine connaissance des tactiques employées par les pirates du cyberespace afi, espère-t-il, de pouvoir les déjouer. La plus simple, voire banale, c’est le social engineering. Un appel suffit. On prétend réparer le système pour le compte de la compagnie et avoir besoin d’un mot de passe. Généralement, l’employé offrira son code sur un plateau d’argent!
Voilà pourquoi sécuriser un réseau coûte si cher. «C’est 80 % d’éducation du personnel et 20 % de sécurité.» Il faut donc embaucher un officier de sécurité avec deux ou trois assistants. Mais il faut surtout investir dans l’implantation d’une politique de sécurité.
«Il y a trop de choses qui traînent partout.» Surtout dans les poubelles. Les hackers y fouillent parfois afin de dénicher quelques informations utiles. C’est le dumpster diving. Mais, que font les pirates lorsque le site à attaquer est à l’étranger? Du sniffing! Ils vont regarder les informations échangées entre les gens sur les réseaux internes, lire les courriers électroniques, etc.
Enfin, dernière tactique dévoilée par notre interlocuteur: le spoofing. Très difficile à démasquer. «L’information dans un ordinateur sort par des trames… Le pirate va insérer un wagon supplémentaire qui a la même apparence que les autres.» Le voici qui file à toute allure dans le système.
Dès qu’ils trouveront un moyen pour entrer dans un réseau, les corsaires du Net se lanceront en quête de droits et privilèges toujours plus importants afin d’accéder au système principal. Une fois arrivé à leur fin, que font-ils? «La plupart font l’équivalent d’entrer dans une maison, regarder les meubles et repartir, illustre Gilles. Mais ils peuvent faire du mal sans le vouloir.» Par exemple, s’ils affichent le code d’accès sur Internet, la compagnie doit payer afin de changer tout le système.
Quelle est la meilleure façon, selon Gilles, de se débarrasser des plus nuisibles, ceux qui attaquent vraiment pour causer des pertes? «Quand un système va mal, le meilleur, c’est de le fermer et de le repartir… Le hacker est débranché.»

Se faire du sursis

Chris McKoy a éé l’une des plus grosses prises, sinon la plus grosse, de la Gendarmerie royale du Canada en matière de crimes électroniques. Il n’a jamais mis les pieds en prison et travaille aujourd’hui avec un ordinateur. Une commotion pour nos policiers.
Caporal enquêteur à la Division des crimes électroniques, Robert Castonguay connaît bien Chris. Il l’a traqué. Malgré notre insistance, il ne veut pas se prononcer sur la sentence sinon pour dire qu’il trouve cela «paradoxal».
Selon lui, les hackers représentent une véritable menace et tous doivent en prendre conscience. «Il y en a toujours un plus fort que l’autre qui trouve une faille.» En plus, les moyens d’enquête sont limités étant donné l’étendue du «territoire» à couvrir. «C’est similaire à la drogue. On en pogne 10 %.»
Son collègue enquêteur, John Keuper, est un peu plus loquace. «Comme jurisprudence, ce n’est pas fort», admet-il. Il ne dirait toutefois pas que la déception a été extrême. Les policiers ne savaient trop à quoi s’attendre, le cas étant une première.
M. Keuper reconnaît également que les citoyens ont de la difficulté à bien cerner le problème et condamner les fautifs. «Ce n’est pas un crime avec violence. Mais quand ça va nous toucher plus à notre niveau, les gens vont s’en rendre compte.»
Devant ces prédictions d’expansion, la Division des crimes électroniques se refait une beauté et s’agrandit. On espère faire le poids. D’autant plus que de nombreux groupes de manifestants utilisent maintenant le Net. Comment? Par exemple, vous ne voulez pas des OGM, les organismes génétiquement modifiés. Vous orchestrez des cyberattaques contre les compagnies productrices afin de les paralyser.
Le Canada commence à avoir une «expertise» en la matière. Les Américains se plaisent d’ailleurs à nous le rappeler. Mais que nos pirates ne se gonflent pas trop l’ego. «Il y a des pays bien plus forts pour le hacking… Les Pays-Bas et Israël, par exemple.»

La machine à voyager d’antan

Avant que les Chris McKoy dece monde s’en donnent à coeur joie sur l’Internet accessible à tous, il y a eu la préhistoire du piratage.
À Québec, à la fin des années 1980, le groupe le plus réputé se nommait NPC, pour Nothern Phun Co. L’Internet n’était accessible qu’au milieu éducationnel et scientifique. «Il n’y avait pas de Web à l’époque», expose Mario Cantin, expert en sécurité chez Uunet, un fournisseur d’accès à la Toile, qui a très bien connu les membres de NPC.
Tout le défi était alors de se brancher au réseau. Ensuite, on tentait de contacter des babillards électroniques situés dans d’autres régions tout en refilant la facture d’interurbains à quelqu’un d’autre. «Ces deux raisons sont caduques, maintenant», fait-il remarquer, un peu nostalgique. À présent, déplore M. Cantin, tout est trop facile et cela laisse présager le pire. «Il va y avoir de plus en plus de jeunes qui vont hacker et se sentir comme dans un film.»