Portrait d’un hacker : Pirate de l’ère… informatique
À côté de lui, Mafiaboy est un lilliputien du piratage informatique. Seul hacker à avoir été condamné à la prison – avec sursis – au Canada, CHRIS McKOY (un de ses noms fictifs) a défoncé des centaines de systèmes informatiques: entreprises, banques, armées, services secrets… Entrevue exclusive avec l’un des plus grands pirates-repentis de notre contrée.
Baptiste Ricard-Châtelain
Photo : Pascal Teste
Chris McKoy
était un vrai hacker. Parmi ceux dont on entend peu parler, membres d’une communauté soudée et occulte oeuvrant en vase clos. Rien à voir avec les script kiddies, ces jeunes en manque d’attention capables du pire, ces mafiaboys du cyberespace détestés et dénigrés par les hackers.
Aujourd’hui, Chris est serein. La poussière est retombée, ses démêlés avec la justice sont terminés. Pour l’entrevue, il nous donne rendez-vous dans un resto de Sainte-Foy. Il ne veut parler qu’en tête-à-tête. Ponctuel, il arrive pile à l’heure au volant de sa voiture sport. La techno joue à fond. Bien calé dans la banquette, son café en main, il se raconte sans inhibition.
À ses débuts, à l’aube des années 1990, Chris était seul, dans le sous-sol de la maison familiale, face à son ordinateur. Rien de bien performant. Un Tandy 1000 de Radio Shack, acheté usagé pour soixante-quinze dollars. «Ce n’est pas la machine qui fait la compétence», lance-t-il, décelant bien notre étonnement.
Afin de meubler ses temps libres, l’autodidacte étudiant au secondaire pitonne sur son clavier et s’initie aux rudiments de la programmation. Oubliez l’Internet tel qu’on le définit maintenant. La Toile n’est pas encore accessible au grand public. Il se sent bien seul et veut dialoguer avec le vaste monde. Rien de plus simple pour le jeune «informaticomane». Il crée un babillard électronique sur son ordinateur. «C’est comme un mini-Internet… Un chat pas en temps réel», explique-t-il. Les gens laissaient des messages dans l’ordinateur de Chris, et d’autres pouvaient venir les consulter par la suite. Une messagerie électronique, en quelque sorte.
C’est à cette époque qu’il rencontre les futurs membres de son club – ils seront sept -, ayant tous un intérêt marqué pour l’informatique. Alors commence le piratage.
Nous sommes en 1995. Un seul groupe fait du hacking dans la région de Québec: les Corruption addicts. Un nom sorti tout droit de l’imaginaire des adolescents. Sans-le-sou, ils s’attaquent aux systmes téléphoniques et informatiques de compagnies ou universités pour naviguer gratuitement. Du wardial. «C’était juste pour le trip de rentrer… Une fois que c’était fait, on repartait content.» Telle est la philosophie qui les guidera tout au long de leur «carrière».
Coups fumants
Avec l’avènement d’Internet, les événements se bousculent. Chris et ses amis créent leur site et discutent avec leurs pairs du monde entier. On ne fait aucune publicité. Le bouche à oreille suffit à attirer leurs semblables. «Il n’y avait pas d’heure ou de date. On se rencontrait vingt-quatre heures sur vingt-quatre» Aussi, les cibles changent. «On pouvait se permettre d’être plus international!» s’exclame-t-il.
En deux ou trois années, la troupe pénétrera dans des centaines de systèmes informatiques à travers le monde. «On se donnait des défis.» Dans son rapport, la GRC en dénombre environ quatre cents, datant tous de 1997. Est-ce qu’il y en a eu plus? Sans doute beaucoup plus, mais Chris ne nous le dira pas. «Nous avons percé beaucoup de sites gouvernementaux, d’universités, de banques, des sites militaires…» Des noms? Les Services canadiens de renseignements de sécurité (SCRS), un de leurs premiers coups fumants, US Departement of Commerce, US Army Information System Command, GRC, National High Magnetic Federal Labotary. Bref, de tout…
Privé d’Internet!
Chris ne regrette qu’une chose. D’avoir propagé ses exploits sur le Web. «Sur Internet, chaque groupe veut s’afficher. La meilleure façon, c’est de montrer ce qu’on a fait… On était le seul groupe à Québec dans le temps. C’était d’afficher nos exploits pour avoir de la notoriété… Il y a eu une grosse part d’irresponsabilité», raconte-t-il avec dépit.
À vingt-trois ans, Chris met le tout sur le dos de son insouciance de jeunesse. Certes, son groupe obéissait aux règles du hacking, soit trouver la faille, entrer, puis ressortir sans briser ou affecter les données. Mais lorsqu’on affiche les codes d’accès de sites d’envergure sur e Net, on ne sait pas ce que les autres en feront.
Quelques mois plus tard, c’est le choc. Le site est devenu un peu trop populaire au goût des cyberpirates. «On a eu une prise de conscience, se souvient Chris. On a décidé de se restructurer, de devenir plus légal, plus correct.» Leur nouveau dada? Dénoncer les problèmes de sécurité, rédiger des rapports pour que les compagnies en prennent conscience.
Mais c’était trop peu, trop tard. Les policiers avaient déjà un dossier bien étoffé. Le 13 mai 1998, Chris est arrêté. Les agents de la GRC fouillent sa demeure de fond en comble et saisissent tout son matériel. Deux ans plus tard, il sera condamné à un an de prison avec sursis et – c’est le plus difficile à digérer – privé d’accès à Internet durant deux ans, sauf pour son travail. Un bloc de béton lui tombe sur la tête.
L’interdiction d’accéder au Web lui a fait mal. Son rêve le plus cher doit être reporté. Mais, ce n’est que partie remise. Dans deux ans, il aimerait plus que tout fonder sa propre compagnie de sécurité informatique. Disons qu’il croit être compétent en la matière! Il pense d’ailleurs que les hackers sont essentiels et qu’ils peuvent être très utiles. «Si ce n’était pas des hackers, la sécurité ne serait pas très développée. C’est un mal nécessaire.»
Mal nécessaire
Malheureusement, selon lui, la population a une bien mauvaise perception de ces pirates de l’ère informatique à cause des script kiddies qui ont mauvaise presse et font fi du code d’honneur des hackers. «Ce sont des nuisances. Au lieu de briser un banc de parc, ils vont passer leur crise d’adolescence [sur Internet]. C’est plus dommageable encore.»
Chris ne porte pas ces jeunes en haute estime. Lui devait passer des heures devant son écran. «C’était beaucoup de recherche.» Maintenant, c’est plus facile. Le Net regorge de logiciels servant au piratage. «N’importe quel p’tit kid peut s’amuser à faire du trouble… Dix ans, c’est en masse.»
«[La menace] est beaucoup plus grande qu’avant… Les jeues n’ont plus la notion du mal.» Ils ne s’arrêtent pas là. «C’est le genre de jeunes qui détruit l’image [des hackers]… Ces jeunes montrent le côté ravageur», renchérit-il, citant en exemple les présumés hackers que nous présentent régulièrement les médias, principalement la télévision. Tant qu’ils ne se font pas pincer, les «vrais» ne dévoileront pas leur identité.
Que devient Chris? Il teste le système informatique pour une grande entreprise, histoire d’accroître sa sécurité et d’éviter les intrusions! «Je nage comme un poisson dans l’eau… Je fais ce que j’ai toujours voulu faire.»
Le sevrage d’un ex-addict
par Baptiste Ricard Châtelain
«Je suis un ex-hacker. Je n’utiliserais jamais, jamais, jamais ma carte de crédit sur Internet!»
Celui qui s’exclame ainsi, c’est l’ancien ami de Chris et ex-membre des Corruption addicts, Stéphane Boivin. C’était le graphiste du groupe, le webmaker, le responsable de la fabrication du site Internet. Selon lui, il y a toujours un moyen d’amasser des numéros de cartes de crédit sur la Toile. Très peu de sites Web, voire aucun, sont vraiment sûrs. Et les invasions sont difficiles à détecter. «Pour une entreprise, c’est quasi impossible de prouver qu’un serveur a été piraté.»
À présent, Stéphane Boivin n’est plus actif dans le milieu du hacking. Arrêté à la même époque que Chris McKoy, il a été absous inconditionnellement. Seule restriction, ne plus parler à son bon ami. Cela lui a donné une très bonne leçon, insiste-t-il.
Facile de se trouver un emploi quand on a été hacker? Pas aussi facile que le veut la croyance populaire. Devenu travailleur autonome, Stéphane se bute à la détermination des plus vieux. «Ils te barrent le chemin parce qu’ils ont peur de perdre leur place. Or, il faut faire de la place pour les jeunes en informatique. Les jeunes sont forts et dépassent de beaucoup les adultes. Ça avance tellement vite. L’informatique, c’est la place des jeunes.» Stéphane Boivin est désabusé devant les mbûches. Spécialisé en multimédia, il déplore le peu d’emplois disponibles dans le domaine, du moins à Québec. Un jour, s’il amasse assez d’argent, il fondera sa propre compagnie de jeux.
Pourtant, poursuit-il, le Québec regorge de talents qui ne demandent qu’à être exploités. La province est d’ailleurs réputée pour ses hackers. Pas étonnant: «Les meilleurs programmeurs viennent du Québec, explique Boivin. Le nombre important de nos compatriotes embauchés à Silicon Valley en témoigne.»
Les gardes de sécurité du Net
par Baptiste Ricard Châtelain
Les entreprises ou institutions en quête de confidentialité investissent de petites fortunes afin de sécuriser leurs systèmes informatiques. Malgré cela, rien ne leur garantit à 100 % la quiétude puisqu’on ne peut fermer toutes les issues.
«On dit que le site est sécurisé, on dit qu’il est conforme aux normes… On est »sécure » jusqu’à ce qu’on découvre une porte!» Gilles, nom fictif, est architecte de réseaux informatiques d’entreprises depuis plus de quinze ans. Il nous a demandé de taire son identité pour éviter des représailles de son employeur et ne pas donner d’idées aux pirates informatiques à la recherche d’une cible.
Tout réseau informatique, même le mieux construit, pourra être envahi, certifie-t-il. La raison est bien simple: «Si je le rend trop étanche, il ne sera plus utilisable.» Gilles, comme tous les autres architectes de réseaux, doit s’engager dans un travail de moine afin de cacher ces brèches et tenter de contrer de possibles intrusions. «Il faut connaître à fond le système d’exploitation… Il y a un nombre incroyable de petites ouvertures.»
Dans son cas, l’entrée d’un hacker pourrait avoir des répercussions importantes. Gilles travaille avec des données nominatives, même des dossiers médicaux. «Ce sont des informations sensibles et hautement confidentielles.» Imaginez le grabuge si quelqu’un mettait la main dessus.
Gilles a donc acquis, au fil des ans, une certain connaissance des tactiques employées par les pirates du cyberespace afin, espère-t-il, de pouvoir les déjouer. La plus simple, voire banale, c’est le social engineering. Un appel suffit. On prétend réparer le système pour le compte de la compagnie et avoir besoin d’un mot de passe. Généralement, l’employé offrira son code sur un plateau d’argent!
Voilà pourquoi sécuriser un réseau coûte si cher. «C’est 80 % d’éducation du personnel et 20 % de sécurité.» Il faut donc embaucher un officier de sécurité avec deux ou trois assistants. Mais il faut surtout investir dans l’implantation d’une politique de sécurité.
«Il y a trop de choses qui traînent partout.» Surtout dans les poubelles. Les hackers y fouillent parfois afin de dénicher quelques informations utiles. C’est le dumpster diving. Mais, que font les pirates lorsque le site à attaquer est à l’étranger? Du sniffing! Ils vont regarder les informations échangées entre les gens sur les réseaux internes, lire les courriers électroniques, etc.
Enfin, dernière tactique dévoilée par notre interlocuteur: le spoofing. Très difficile à démasquer. «L’information dans un ordinateur sort par des trames. Le pirate va insérer un wagon supplémentaire qui a la même apparence que les autres.» Le voici qui file à toute allure dans le système.
Dès qu’ils trouveront un moyen pour entrer dans un réseau, les corsaires du Net se lanceront en quête de droits et privilèges toujours plus importants afin d’accéder au système principal. Une fois arrivé à leur fin, que font-ils? «La plupart font l’équivalent d’entrer dans une maison, regarder les meubles et repartir, illustre Gilles. Mais ils peuvent faire du mal sans le vouloir.» Par exemple, s’ils affichent le code d’accès sur Internet, la compagnie doit payer afin de changer tout le système.
Quelle est la meilleure façon, selon Gilles, de se débarrasser des plus nuisibles, ceux qui attaquent vraiment pour causer des pertes? «Quand un système va mal, le meilleur, c’est de le fermer et de le repartir… Le haker est débranché.»
Se faire du sursis
par Baptiste Ricard Châtelain
Chris McKoy a été l’une des plus grosses prises, sinon la plus grosse, de la Gendarmerie royale du Canada en matière de crimes électroniques. Malgré cela, il n’a jamais mis les pieds en prison et travaille aujourd’hui avec un ordinateur. Une commotion pour nos policiers.
Caporal enquêteur à la Division des crimes électroniques, Robert Castonguay connaît bien Chris. Il l’a traqué. Malgré notre insistance, il ne veut pas se prononcer sur la sentence sinon pour dire qu’il trouve cela «paradoxal».
Selon lui, les hackers représentent une véritable menace et tous doivent en prendre conscience. «Il y en a toujours un plus fort que l’autre qui trouve une faille.» En plus, les moyens d’enquête sont limités étant donné l’étendue du «territoire» à couvrir. «C’est similaire à la drogue. On en pogne 10 %.»
Son collègue enquêteur, John Keuper, est un peu plus loquace quant à la sentence qu’a reçue Chris. «Comme jurisprudence, ce n’est pas fort», lance-t-il. Selon lui, les citoyens ont de la difficulté à bien cerner le problème et condamner les fautifs. «Ce n’est pas un crime avec violence. Mais quand ça va nous toucher plus à notre niveau, les gens vont s’en rendre compte.»
C’est pour parer les coups que la Division des crimes électroniques se refait une beauté et s’agrandit. On espère faire le poids. D’autant plus que de nombreux groupes de manifestants utilisent maintenant le Net. Comment? Par exemple, vous ne voulez pas des OGM, les organismes génétiquement modifiés? Eh bien, vous orchestrez des cyberattaques contre les compagnies productrices afin de les paralyser.
Selon les Américains, le Canada est devenu le paradis des hackers. Mais que nos pirates ne se gonflent pas trop l’ego. «Il y a des pays européens bien plus forts pour le hacking… Les Pays-Bas et Israël, par exemple.»