La Black Hat. C'est fini. A quelques centaines de mètres de là, au Rio Hotel, la Def Con ouvre ses portes. On quitte l'ambiance marketing de la Black Hat pour pénétrer dans la culture alternative du hacking. Plus de 15'000 pirates de tout bord retrouvent la communauté pour cet événement festif et démontrer leur savoir-faire.

Mehdi Atmani

Imaginez un monde dans lequel il serait possible de connaître instantanément votre numéro de sécurité sociale, hobby, adresse, profession uniquement à partir d'une photo postée sur Facebook ou plus simplement depuis n'importe quelles images prises par une caméra de surveillance installée dans votre ville. Vous frissonnez ? Vous faites bien, car ce monde n'est pas de la science-fiction. C'est le présent. Tout cela en recourant à des technologies de reconnaissance faciale. Alessandro Aquisti, professeur à l'Université de Carnegie Mellon vient d'en faire la démonstration. Il a beau multiplier les blagues, l'Italien d'origine ne parvient pas à rassurer le public de la Black Hat.

Devant une salle comble, Alessandro Aquisti démontre la simplicité avec laquelle il est possible de d'accéder en détail aux données privées d'un internaute par une simple photo. La technique consiste à associer les visages d'individus pris au hasard à des images contenus dans des bases de données qui recèlent d'autres informations à leurs sujets. Le professeur s'est fondé sur trois orientations de recherches, dont la principale a été de comparer l'image de profil Facebook d'un individu à d'autres images de cette personne contenues dans une base de données différente, grâce au logiciel de reconnaissance faciale PittPatt.

Les photos ont été prises au hasard, sans même recourir à l'inscription au réseau social. Preuve que ces données sont à la portée de n'importe quels internautes. Dans une proportion significative, Alessandro Aquisti est parvenu a reconstitué très précisément l'identité de la personne. « Ma tête est un véritable lien entre mon identité réelle et virtuelle, explique-t-il. Cela change profondément notre perception de la vie privée. Les gens n'ont pas encore anticipé le fait de pouvoir d'être identifiés dans la rue précisément et de manière automatique grâce à une simple image prise par une caméra de surveillance. »

Bientôt une réalité. Alessandro Aquisti attire déjà l'attention du gouvernement américain, qui verrait bien là, une technologie pour tracer chaque Américain.

Mehdi Atmani

Il y a dans la vie des poignées de main qui ne s’oublient pas. Comme celle échangée mercredi soir entre Steve et le recruteur d’Amazon dans la discrétion d’un salon feutré du Caesar Palace. Le hacker de 19 ans est connu dans le milieu pour ses prouesses enpentesting, la méthode pour évaluer la sécurité d’un système informatique ou d’un réseau en simulant une attaque depuis une source maligne. Après huit mois de tractations, il cède finalement aux sirènes de l’entreprise de commerce électronique américaine. Salaire annuel? Plus d’une centaine de milliers de dollars en moyenne, estiment les experts du secteur. Parfois dix fois plus. En contrepartie, il se dévouera exclusivement à la sécurité informatique du groupe basé à Seattle. Selon l’arrangement conclu, Steve vient de sceller son destin pour les deux prochaines années. Et de perdre sa liberté de pirate.

La scène se déroule à Las Vegas. La ville du vice accueillait cette semaine la Black Hat et le Def Con, deux conventions mondiales dédiées à la piraterie informatique. Parmi les 6500 participants de la Black Hat, les meilleurs hackers et experts en sécurité informatique du monde. Surtout, près de 80 grandes entreprises et multinationales américaines et le gouvernement américain venus recruter les derniers génies.

Ces sociétés actives dans le marché de la sécurité informatique ont toutes installé leur stand au troisième étage de l’hôtel. Parmi elles, IO Active, IBM, Microsoft, Cisco, McAfee et Symantec. Toutes sponsorisent la convention et organisent des soirées avec buffet et boissons alcoolisées à volonté. «Idéal pour le réseautage et le recrutement», souligne une responsable marketing de chez Qualys. La Black Hat est réputée pour son orientation commerciale.

Dans ce marché de la sécurité informatique, on ne parle jamais de hacker, mais de spécialistes. «C’est moins connoté», explique Bryta Schutz, responsable marketing chez IO Active. La multinationale, leader sur le marché de la sécurité, compte de prestigieux clients, mais Bryta ne dira pas lesquels. «Nous signons des contrats de confidentialité.» Dans le milieu fermé des hackers, on évoque Apple. Bryta marque un long silence.

Aucune entreprise ne dira combien elle investit dans ses opérations de recrutement, ni le nombre de contrats d’engagement qu’elle signera. George, consultant pour l’armée américaine, sourit. «Personne ne parlera. Mais c’est un business très lucratif.» C’est la loi du marché.

Les entreprises ont besoin des hackers pour assurer leur sécurité. Les pirates pour gagner de l’argent. Ils sont dépendants l’un de l’autre, mais ne se comprennent pas. «La philosophie du hacker se base sur les compétences informatiques. Celle des entreprises sur le profit», ajoute George.

Pirates et entreprises entretiennent une relation ambiguë basée sur la confiance, car l’entreprise s’expose au danger que les pirates se retournent contre elles ou vendent des données sensibles à la concurrence. Le milieu des pirates recense plusieurs cas d’agents doubles. L’activité est risquée. «Si un hacker ne joue pas les règles du jeu, il est mort. Ces entreprises sont très puissantes. Elles ont les moyens de nuire à celui qui ne respecterait pas les termes du contrat.» Aujourd’hui, un nombre croissant de hackers cèdent aux appels des sociétés. Ils pourraient gagner plus illégalement, mais ne prennent plus le risque.

Au comptoir, Sean paie la tournée. C’est sa 15e Black Hat et sa sixième Budweiser light. Ce père de famille de 33 ans est un ex-chapeau noir de l’Indiana, un hacker malveillant qui chasse aujourd’hui «sous couverture» les cybercriminels pour le «challenge» et quelques dizaines de milliers de dollars. Tout dépend des mandats. Ce soir il fête. Après neuf mois d’investigation, puis d’infiltration, il est parvenu à mettre la main sur un pirate criminel russe. «Je serai là dans trois jours lorsque les flics lui passeront les menottes.» Il jubile. Sean empochera 50 000 dollars pour sa chasse.

Sean connaît bien les méthodes de travail des entreprises privées et celles du gouvernement. Il a été contraint d’y travailler pendant neuf ans, après avoir infiltré en 1996 les fichiers du gouvernement américain. «Ma mère ne voulait pas de problème, alors elle a appelé la police.» Sean est arrêté et passe deux ans en probation. «Tous des c***s au gouvernement», mais le prix de sa liberté. A quelques mètres de là, Steve en profite pour quitter le recruteur d’Amazon et rejoindre sa chambre. Il a la nuit pour réfléchir. Demain il sera trop tard. Notre pirate pourra dire au revoir à sa liberté.

Mehdi Atmani

Le hacking? Une passion, un jeu, un business. Surtout un look. Bref tour d'horizon en images dans les couloirs de la Black Hat.

Roamer

41 ans

Pentester professionnel (méthode pour évaluer la sécurité d'un système informatique ou d'un réseau en simulant une attaque depuis une source maligne)

Voir la suite

Mehdi Atmani

Mercredi. Beaucoup de hackers écoutent d'une oreille la conférence sur le cyber terrorisme. Ils ont les yeux rivés sur leurs téléphones portables en quête d'informations.La société informatique McAfee vient de révéler que des hackers ont infiltré 72 organisations mondiales, dont 49 sont basées aux Etats-Unis.

Qui se cache derrière cette attaque ? Le rapport de McAfee ne blâme aucun pays. Mais tous les soupçons portent à croire que la Chine a commandité la vaste opération de cyber espionnage. Pékin dément avec véhémence.

Le détail de l'attaque fait froid aux yeux. Des dizaines pays, des entreprises et des organisations internationales allant du gouvernement américain à l'ONU en passant par le CIO ont vu leur parc informatique systématiquement hacké durant les cinq dernières années, selon McAfee.

La société américaine trace dans son rapport la propagation d'un logiciel espion malveillant particulier, qui se diffuse généralement dans des emails phishés (la technique du phishing consiste à faire croire à la victime du courrier électronique qu'elle s'adresse à un tiers de confiance pour lui soutirer des informations personnelles : mots de passe, données bancaires). A l'ouverture de ces emails, un petit programme espion s'infiltre dans le réseau de l'ordinateur. McAfee a tracé ce logiciel espion. Elle est ensuite parvenue à prendre le contrôle du serveur de l'ordinateur utilisé par les hackers pour identifier les victimes de l'attaque.

Pékin n'en est pas à son premier coup d'essai. En 2009, la cyber armée chinoise avait orchestré l'attaque de Google et mené plusieurs tentatives pour arracher les secrets des ordinateurs du ministère des Affaires étrangères. A l'époque, la secrétaire d'Etat américaine Hillary Clinton avait demander des explications à Pékin.

Vu l'ampleur des données volées, l'attaque révélée par McAfee est parmi les plus importantes. Elle souligne également la montée en puissance du cyber espionnage chinois. Depuis les cinq dernières années, les Etats-Unis assiste en effet au développement rapide des cyber attaques chinoises.

Un expert en sécurité informatique à la Black Hat, travaillant pour le gouvernement américain : «la croissance de la Chine est tellement fulgurante qu'elle n'a pas le temps ni les moyens suffisants de se doter d'une cyber armée aussi compétente qu'en Europe ou aux Etats-Unis, explique-t-il. Le pays est donc contraint de mener des cyber attaques pour voler les connaissances technologiques à des pays et des organisations étrangers. Croyez-moi, ces opérations de cyber espionnage vont se multiplier à l'avenir.» La lutte contre le terrorisme de demain a commencé.

crédit photo: (Reuters)

Mehdi Atmani

L'œil est vif. Le ton est grave. Cofer Black, ancien agent de la CIA, semble tout droit sorti d'une série américaine. Celui qui a vécu les attaques du World Trade Center en 2001 depuis la «Situation Room» impose le respect. Cet expert de la lutte contre le terrorisme a passé 28 ans au service de la centrale de renseignements américaine. A l'ouverture de cette 15e Black Hat, il livre son bilan d'une décennie de lutte contre le terrorisme et les défis du futur. «Nous avons vécu la Guerre froide, la guerre contre le terrorisme. Mais la cyberguerre qui se prépare sera encore plus dévastatrice.»

Cofer Black revient sur l'infiltration du cyberespace par Al-Qaida et les menaces de type Stuxnet, ce ver malicieux informatique qui détruit physiquement des infrastructures industrielles. Le virus a déjà fait flancher plus d'un millier de centrifugeuses nucléaires iraniennes en 2009 et 2010. Il peut faire bien pire.

Alors que Cofer Black parle, la société informatique McAfee révèle au même moment que plus de 70 organisations et gouvernements, dont l'ONU, ont été les cibles d'une vaste opération de cyberespionnage, commanditée probablement par la Chine. Cofer Black marque une pause. «Ce qui est arrivé aujourd'hui n'est que le signe annonciateur de ce qui se prépare.» L'auditoire observe un silence religieux mêlé à de l'inquiétude.

Soudainement, l'alarme incendie de l'«Augustus Room» du Caesar Palace s'actionne violemment. Les sirènes retentissent. La voix informatique sicle : «Stay calm.» L'audience s'agite. Cofer Black ne bouge pas un sourcil et prend sa voix d'ex-agent de la CIA. «Remain sitted. The situation is under control.» Quel pro ce Cofer Black.

 Mehdi Atmani

Difficile de la louper avec son 95F, sa bouche de poisson et ses fesses bombées. Elle s'est stratégiquement postée dans l'arène du Caesar Palace, toute illuminée par les projecteurs du club de salsa d'à côté. De sa large bouche siliconée, elle accueille les hackers par des «Welcome to Black Hat. Do you wanna know how much I paid for my surgery?»

Nous l'appellerons Dolly, car Dolly est un cliché qui ressemble à Dolly Parton (photo). La belle ne veut pas divulguer son identité. Que des approximations. Comme son âge. Elle dit avoir la quarantaine. Sous le maquillage, je crois bien que Dolly en a vingt de plus.

Le choc de la rencontre passé, Dolly en vient aux faits. «How much for the surgery? Pfff... 50'000 dollars», peut-être moins si elle s'est fait opérer à l'étranger. Elle sourit (c'est impressionnant). «15'000 dollars dans une clinique californienne pour les fesses, les seins, la bouche.»

Dolly me raconte fièrement comment, il y a dix ans, elle s'est procurée illégalement de faux numéros de cartes de crédit sur des forums cryptés pour 15'000 dollars. Un achat qui lui a permis de financer ses opérations.

Un homme qui écoute la conversation l'interrompt. «Ne crois pas tout ce qu'elle dit. Dolly raconte les mêmes choses chaque année. Elle veut juste attirer l'attention.» C'est réussi! 

Mehdi Atmani

Veille de la Black Hat. Je traîne dans le lobby du Caesar Palace. Entre les machines à sous et la réception, les voilà au Galleria Bar dans leur QG. Une soixantaine de hackers, de responsables marketing et de chefs d'entreprise. Les cartes de visite s'échangent. Certains pirates ont déjà plusieurs propositions de jobs très très bien payés. A eux de choisir entre leur liberté ou travailler pour la sécurité informatique d'une compagnie.

Assis au comptoir du bar, Sean crie sur le serveur. «Five more beers for my mates!» C'est sa 15e Black Hat et sa sixième bière. Sean est un ex chapeau noir de l'Indiana de 33 ans, un hacker malveillant qui chasse aujourd'hui «sous couverture» les cybercriminels pour le «fun» et quelques dizaines de milliers de dollars, selon les mandats du gouvernement américain ou des entreprises privées. Ce soir il fête. Après 9 mois d'investigation, puis d'infiltration, il est parvenu à mettre la main sur un pirate criminel russe. «Je serai là dans 3 jours lorsque les flics lui passeront les menottes.» Il jubile. Sean empochera 50'000 dollars pour sa chasse.

Sean est un hacker-né. A 11 ans, il pirate ses premiers systèmes informatiques. A 16, il infiltre les fichiers du gouvernement américain. «Ma mère ne voulait surtout pas de problème. Elle a appelé la police.» Sean est arrêté. S'en suivent deux ans de probation. A 18 ans, il est contraint de travailler pendant neuf ans pour le gouvernement américain. «Tous des c***s.» Mais le prix de sa liberté.

Il aimerait bien se venger, mais ne prend pas le risque. Pour sa femme et ses deux enfants. Alors il donne des conférences privées à la Black Hat, comme il en existe beaucoup. De petites réunions parallèles dans les salons du Caesar Palace ouvertes uniquement aux professionnels et aux membres du gouvernement américain. «On discute de sujets qu'il n'est pas bon de rendre publics.»

Pas toujours facile pour Sean de rester du bon côté de la force. Il se lève, me montre ses deux tatouages sur l'intérieur de ses deux avant-bras (je ne suis pas autorisé à les photographier). Comme un nom de code inscrit en cyrillique, on y lit, «hacker for life».

Mehdi Atmani

Certains hackers du Def Con font dans le serviciel. Sur le forum de discussion de l'événement, plusieurs distillent des techniques de piratage toutes bêtes, mais qui rendent la vie des autres à Las Vegas encore plus agréable que ce qu'elle n'est déjà.

Un rapide surf sur les techniques proposées et je contacte une certaine Nicole. Elle me promet l'Internet gratuit pour le reste de mon séjour grâce à un tour de passe-passe qui détourne le réseau très sécurisé - et payant (13.99$ par jour) de l'hôtel. La pirate préfère rester discrète et demande à me rencontrer dans la demi-heure pour me configurer tout ça.

Une heure plus tard, j'attends toujours et m'apprête à jeter l'éponge quand un petit bonhomme d'un mètre 55 me tape sur l'épaule. «C'est pour la connexion ? Je suis Dennis, mais appelle-moi Blue Warrior. Nice to meet you.»

Il me faut une petite minute pour réaliser que Nicole s'appelle Dennis, jeune écolier de douze ans et demi de l'Oregon, qui usurpe en ligne l'identité de sa soeur aînée par discrétion pour tester ses premières techniques de hacking. Dennis va pour la première fois démontrer tout son savoir -faire au Def Con. C'est une première, le grand raout du piratage s'ouvre cette année aux 8-16 ans.

Dennis me parle de ses prouesses techniques alors que je reste bluffé à l'idée de me faire configurer ma machine par un enfant. Peu importe, je lui apporte l'ordinateur. Il bidouille trois minutes.... «Done », s'exclame-t-il d'un air qui en dit long sur son état de satisfaction. Je teste. Ça marche.

Je lui serre la main, le remercie. Il me rattrape. «Ça fera 15 dollars». Petit malin !

Mehdi Atmani

Il a l'air de rien sous son chapeau, ses lunettes noires et sa petite moustache grise. Dans un coin peu fréquenté du Caesar Palace, je l'observe qui déambule d'une machine à sous à une autre avec décontraction tout en répétant minutieusement les mêmes gestes. Vu d'ici, je n'y vois que du feu. De plus près, je découvre que Fernando, 76 ans, extirpe quelques dollars des machines grâce à une subtile technique de piratage qu'il a lue sur un forum internet. Je ne connaîtrai pas les détails de l'opération. Je saurai juste que Fernando est un grand-père plutôt sympathique, qui voyage seul une fois par année depuis le Nouveau-Mexique pour hacker quelques machines à Las Vegas. Il dépensera son butin volé en allant voir les filles de Fremont Street, "moins chères que sur le Strip", sourit-il. Et ajoute: "Je ne suis pas un criminel vous savez. Je suis juste un papy qui aime s'amuser. Vous trouverez bien pire à Las Vegas." Je veux bien le croire. 

Mehdi Atmani

Ceux qui l'ont fait diront qu'une semaine dans la débauche de Las Vegas c'est risqué. C'est du suicide si vous y passez 7 jours entouré d'une dizaine de milliers de hackers. Je fais référence notamment au risque d'utiliser le réseau Wi-Fi piraté de hôtel, au fait que mon téléphone portable puisse être sur écoute, que mes e-mails soient lus à distance, au danger que les données de ma carte de crédit soient volées. Ou pire, que mon identité numérique soit usurpée. Dans cette configuration qui est la mienne, mieux vaut être préparé. Conscient du danger, j'ai donc installé et testé avec succès sur mon ordinateur un serveur crypté. Un programme lourd constitué de multiples mots de passe pour garantir la sécurité de l'ensemble de mes activités en ligne lors de mon séjour dans la ville du vice.

C'est donc avec une certaine décontraction à mon arrivée à Las Vegas que je parcours la route de l'aéroport pour gagner l'hôtel. La chambre offre une vue splendide sur les casinos illuminés du Strip. La connexion internet me surprend par sa rapidité. 

La nuit passe et plusieurs faits étranges viennent troubler la quiétude de la veille. Au moment d'allumer mon ordinateur, je constate que trois e-mails envoyés pendant mon sommeil ont été lus. Mes multiples demandes d'explications à la réception sont vaines. Puis le téléphone de la chambre sonne. Une employée du service de sécurité de l'hôtel m'informe que ma connexion internet a été piratée. Mon stratagème aura donc tenu 6 heures. "Nous allons faire tout notre possible pour garantir la sécurité de vos communications pendant ces prochains jours", ajoute-t-elle. Depuis, je limite mon activité en ligne au strict minimum et paie tous mes achats en liquide. Il y a des jours où l'on se sent très vulnérable.  

Mehdi Atmani

Vegas, son Strip, sa débauche et ses hackers. Chaque année au mois d'août, la plus grande ville du Nevada accueille deux conventions mondiales qui réunissent les professionnels de la sécurité informatique et les plus fins connaisseurs du cyberespace: la Black Hat et le Def Con. Portrait-robot.

Nom: Def Con, en référence au programme de défense de l'armée américaine en cas d'attaque (U.S. Armed defense readiness condition).

Description: Evénement qui réunit les meilleurs pirates et les professionnels de la sécurité informatique: gouvernement (FBI), entreprises, banques, réseaux sociaux.

Année de naissance: 1992.

Lieu d'origine: Las Vegas.

Fondateur: Jeff Moss, hacker repenti aussi connu sous le nom de "Dark Tangent". Il fut engagé comme conseiller en sécurité pour le Département américain de la sécurité intérieure. Jeff Moss est aujourd'hui le chef sécurité de l'ICANN (Internet Corporation for Assigned Names and Numbers), la société pour l'attribution des noms de domaine et des numéros sur Internet.

Participants: 10'000 à 15'000 personnes.

Lieu de résidence: Rio Hotel.

Signes distinctifs: Le point d'orgue de l'événement est "Capture the flag", le challenge de sécurité informatique dans lequel les meilleures équipes de hackers au monde (Chine, Russie, Etats-Unis…) s'affrontent dans une cyberguerre virtuelle. La Suisse est vice-championne du monde.

Nom: Black Hat, en référence aux chapeaux noirs, appellation qui désigne traditionnellement les hackers malveillants.

Description: Evénement qui réunit les meilleurs pirates et les professionnels de la sécurité informatique: gouvernement (FBI), entreprises, banques, réseaux sociaux.

Année de naissance: 1997.

Lieu d'origine: Las Vegas.

Fondateur: Jeff Moss, hacker repenti aussi connu sous le nom de "Dark Tangent". Il fut engagé comme conseiller en sécurité pour le Département américain de la sécurité intérieure. Jeff Moss est aujourd'hui le chef sécurité de l'ICANN (Internet Corporation for Assigned Names and Numbers), la société pour l'attribution des noms de domaine et des numéros sur Internet.

Participants: 4000 à 5000 personnes.

Lieu de résidence: Caesar Palace.

Signes distinctifs: La Black Hat fait converger les meilleurs pirates informatiques. Et pas que des gentils. Attaques du réseau Internet des hôtels et casinos, vols de mots de passe de cartes de crédit, lecture des e-mails, virus informatiques. L'histoire recèle d'anecdotes à propos de hackers piratant les systèmes informatiques quelques jours avant la Black Hat. Ils révèlent ensuite les dessous des attaques pendant la conférence tout en se gardant de mentionner si des données sensibles ont été volées.

Mehdi Atmani