La «culture hacker» vit la
meilleure et la pire heure de son histoire. D'un côté, le ver informatique (le complexe
et très redouté «Stuxnet») vient de remporter une victoire sans précédent.
C'est là un bond en avant d'envergure dans le développement des «malwares»
(terme générique se rapportant aux logiciels trouble-fêtes que les virus
viennent installer dans nos ordinateurs via les réseaux numériques).
Stuxnet, prix nobel de la paix ?
Stuxnet
serait composé de 15.000 lignes de code. Il a fait toute la démonstration de
ses super-pouvoirs numérique à l'automne dernier, lorsqu'il a
pénétré, pris le contrôle, et provoqué l'autodestruction de quelque mille
centrifugeuses d'enrichissement d'uranium de l'usine nucléaire de Natanz en Iran.
Ce même automne, Stuxnet a changé
de nom et a revêtu un nouveau déguisement numérique (je le verrai bien dans un
long imper virtuel, à la Bogart), avant de se glisser à pas de loup dans le
réacteur nucléaire flambant neuf de la province iranienne de Bushehr. Ce réacteur
venait de recevoir une cargaison de combustible nucléaire russe (mais n'avait
pas encore été alimenté); un réacteur sensé n'être utilisé qu'à des fins
pacifiques, mais dont le plutonium à usage militaire était l'un des «produits
dérivés» potentiels.
Stuxnet a pris le contrôle du
panneau de commande du réacteur de Bushehr, a fait ce qu'il avait à faire ? et
a rendu cet immense complexe à un milliard de dollars complètement inopérant.
En un clin d'oeil. Même Mahmoud Ahmadinejad se trouva dans l'obligation de
reconnaître que le réacteur avait été à la source de quelques «problèmes»,
avant d'affirmer qu'ils avaient été «résolus». Deux mois plus tard, le réacteur
était toujours à l'arrêt. Certains analystes affirment que l'attaque à retardé
la capacité de l'Iran a créer ses premières bombes nucléaires d'au moins deux ans.
Il est possible que ces problèmes
soient permanents; le ver pourrait dissimuler d'autres programmes malveillants.
Et c'est bien ce qui rend Stuxnet à la fois impressionnant et potentiellement
inquiétant: impossible de savoir si le virus a dévoilé l'ensemble de ses
capacités; impossible de savoir s'il garde quelques cartes dans sa manche; impossible
enfin de savoir si les machines infectées pourront ou non être complètement
nettoyées. Ou de savoir si nous sommes les prochains sur sa liste. Tout ce que l'on
sait, c'est que c'est du grand art.
C'est un expert de la sécurité
informatique qui lui a sans doute rendu le plus bel hommage, en qualifiant
l'apparition du virus ? et la destruction qu'il a semé dans le programme
nucléaire iranien ? de «moment Oppenheimer» dans l'histoire
du hacking. Un moment qui a vu les virus malwares passer du statut de
trouble-fêtes malveillants mais maîtrisable à celui d'armes à part entière. Des
armes à la puissance incroyablement plus destructrice que celle qui les
précédaient; des armes potentiellement incontrôlables, capables de changer l'Histoire
? tout comme la première arme nucléaire élaborée par Oppenheimer à Los Alamos: succédant
à la simple TNT, avait fait planer la menace d'une destruction totale sur la
planète.
Les experts de la sécurité
informatique coutumiers des virus malwares les plus complexes ne
cachent pas leur émoi.
Comme l'explique Ralph
Langner, consultant en sécurité informatique basé en Allemagne, «les
Iraniens n'ont pas les connaissances nécessaires pour lutter contre le ver, ou pour
comprendre sa complexité.» Next Big Future, blog dédié aux «technologies perturbatrices»,
relaie cette déclaration de Langner:
«Voilà leur problème. Ils
devraient se débarrasser de tous les ordinateurs liés au programme
nucléaire, et repartir de zéro. Mais ça leur est impossible. En outre, la
maintenance et la construction de leurs sites nucléaires sont entièrement
dépendantes de sociétés extérieures. Il faudrait remplacer tous les ordinateurs
de ces dernières en prime. Mais ça leur est impossible. Résultat: ils vont
continuer de s'infecter les uns les autres.»
«S'ils disposaient des meilleurs
experts et du meilleur matériel possible, la remise en route des usines
prendrait au moins un an, parce qu'il est extrêmement difficile de nettoyer le
virus; il va même se loger dans les systèmes de sauvegarde. Mais ça leur est
impossible.»
Mais un «moment Oppenheimer» représente
plus qu'une progression-éclair de la puissance et du caractère trompeur des
virus. Il implique des répercussions géopolitiques de grande ampleur. Le moment
Oppenheimer originel a permis de mettre un terme à la Seconde Guerre mondiale via
les terribles bombardements nucléaires d'Hiroshima et de Nagasaki. Celui de
Stuxnet pourrait bien nous avoir accordé un (inattendu) répit de dernière
minute alors que nous nous engagions sur la voie d'une guerre nucléaire
potentielle.
Imaginez: Stuxnet a paralysé les principaux sites nucléaires
d'Iran (et aurait infecté environ 60.000 de ses ordinateurs) au moment même où
les Israéliens donnaient
l'impression de se préparer à bombarder ces installations, et semblaient
disposés à employer tout l'armement jugé nécessaire pour empêcher l'Iran
d'avoir la bombe (inutile de rappeler qu'ils disposent d'un arsenal nucléaire
non déclaré). Quoi que vous pensiez des positions d'Israël, vous conviendrez
qu'ils n'hésiteraient pas à le faire s'ils n'existaient pas d'alternative. Une
attaque de cette ampleur pousserait certainement les Iraniens à riposter, et
ils seraient sans doute alors vite imités par leurs sympathisants au sein de
l'armée pakistanaise ? armée qui contrôle (tant bien que mal) la «Bombe islamique», arsenal
comptant entre soixante et cent ogives nucléaires.
Le monde était sur le point de
sombrer dans une guerre nucléaire régionale aux conséquences des plus incertaines.
Puis Stuxnet est entré en scène.
Oh, ne vous réjouissez pas trop
vite; elle arrivera bien tôt ou tard, cette guerre nucléaire régionale. Mais
Stuxnet a sans doute retardé le point de non-retour, et ce pour plusieurs
années. Notez que les
avis divergent sur le temps qu'a pu nous faire gagner le malware (entre
autres mesures).
Rien d'étonnant, donc, à ce qu'un
blog satirique ait fait de Stuxnet son «Homme de l'année»; j'ai pour ma part proposé de lui
décerner le prix Nobel de la paix. La suggestion était modeste et n'était qu'à
moitié sérieuse; elle a toutefois été relayée par d'autres blogs.
L'âge d'or des hackers
Les hackers et leur
culture nagent depuis peu en plein triomphe. Notez qu'un «hack» qualifie toute
sorte d'intrusion non autorisée dans les entrailles d'un ordinateur, qu'elle
soit le fait d'un hacker isolé ou des agents d'un gouvernement ennemi.
L'audacieuse
investigation récemment conduite par le New York Times quant aux origines
de Stuxnet pèche par son refus de considérer les créateurs du virus comme des
«hackers», dans la mesure où il aurait été élaboré par des agents du
gouvernement américain et/ou israélien.Un hacker reste un hacker, qu'il soit
fonctionnaire ou non. Pour prendre un exemple, il est de notoriété publique que
l'armée chinoise dispose
d'une division entière de spécialistes en guerre informatique; le sceau
officiel du gouvernement n'en fait pas moins des hackers.
Les derniers triomphes du hacking
dépassent celui de Stuxnet. Nous avons assisté à l'affaire WikiLeaks (moins
subtile, mais plus volumineuse), au piratage de Gawker, et à la contamination de
Facebook par un ver à l'automne dernier (les utilisateurs ont été victimes de
spam et d'hameçonnage). On commençait à se dire qu'aucune machine, qu'aucun
internaute n'était réellement à l'abri. A la une d'USA Today daté du 11 janvier 2011, on pouvait ainsi lire cet inquiétant gros
titre «L'avertissement des experts: les cyberspammers élaborent de
nouvelles formes d'attaques». L'article mentionnait la brusque diminution des traditionnels
réseaux pirates de type «botnet», qui peuvent infecter des milliers de PC et
les transformer en «ordinateurs zombies» pour servir leurs propres intérêts.
Selon le quotidien, l'abandon soudain de cette activité criminelle
particulièrement profitable pourrait laisser présager de l'apparition d'une
nouvelle et redoutable tactique de piratage.
Mais cet âge d'or des hackers, de
leurs vers et autres «malwares de guerre» a un côté particulièrement ironique:
la légendaire figure tutélaire du hacking, son «icône héroïque» (pour citer le
magazine Computerworld), fantôme dans la machine bien réel et mythique,
super-héros de plusieurs générations de nerds et de geeks (y
compris le créateur d'Apple), l'homme surnommé «Captain Crunch», souffre d'une
mystérieuse blessure; une lésion hautement handicapante ayant entraîné des
séquelles nerveuses et des douleurs atroces. L'homme se bat pour conserver
l'usage de ses mains ? des mains qui ont, presque à elles seules, donné
naissance à la «culture hacker».
Nous avons besoin de super héros du piratage
Cette nouvelle nous parvient au moment même où
nous semblons avoir le plus besoin d'un super-héros du piratage; d'un héros
capable de faire face aux défis insoupçonnés que peuvent représenter les
super-vers-informatiques. Le «moment Oppenheimer» de Los Alamos était à la fois
un triomphe scientifique et une tragédie humaine; de la même manière, Stuxnet
et ses équivalents pourraient bien recéler une inquiétante part d'ombre.
Je ne suis pas le seul à le
penser. J'avais déjà consacré un
article aux cinquante missiles nucléaires du Wyoming, dont on a perdu le
contrôle pendant une heure en octobre dernier. Les cinquante missiles Minutemen
stockés dans le centre de commande de tir de la base F.E. Warren ne répondaient
plus aux communications. Leur système de communication aurait été interrompu en
raison d'un dysfonctionnement matériel: ce dysfonctionnement aurait déphasé le
temps de réponse de missile à missile, le faisant accélérer et ralentir par intermittence;
les missiles se seraient alors déconnectés pour se prémunir de toute intrusion
potentielle.
Ce n'était probablement qu'un
accident ? mais dans les comptes-rendus de l'attaque de Stuxnet sur les sites
iraniens, on peut lire que le virus a pris le contrôle de leurs commandes afin
d'accélérer et de ralentir les cycles de vitesse des centrifugeuses, provoquant
dysfonctionnements et arrêts forcés. En faisant quelques recherches pour cet
article, je suis tombé sur un commentaire consacré à l'incident du Wyoming sur
Armscontrolwonk.com, blog particulièrement bien informé: «Et si c'était Stuxnet'»
Une hypothèse des plus
troublantes. Si un ver informatique de type Stuxnet peut rendre une usine
nucléaire iranienne incontrôlable, on peut craindre de voir un virus équivalent
ou plus perfectionné (et peut-être mis au point par la très redoutée division informatique
de l'armée chinoise) prendre le contrôle de nos systèmes de lancement de
missiles nucléaires. Ce n'est peut-être pas possible pour l'instant. Mais cette
menace potentielle ne peut être écartée.
Ce scénario de science-fiction
rappelle peut-être à certains celui des films «Terminator», dans lesquels
Skynet, système de contrôle de l'armement nucléaire, se retourne contre
ses créateurs et tente de détruire l'humanité.
Personne ne pense que les machines sont réellement capables de
déclencher l'Apocalypse par elles-mêmes. Mais pour ce qui est des hommes'
Il
semble non seulement prudent, mais surtout urgent, de recruter les meilleurs
hackers du pays pour mettre au point des systèmes permettant de nous défendre
contre les utilisations malveillantes des vers de type Stuxnet, qui pourraient
être employés dans l'intention de provoquer des guerres dévastatrices. A moins
que vous préfériez vous en remettre aux bureaucrates du Pentagone'
Cette équipe de super-geeks
serait menée par l'homme qui pourrait bien être à l'origine de toutes ces
péripéties: Captain Crunch lui-même.
Captain Crunch, l'ultime recours
C'est en écrivant «Secrets
of the Little Blue Box», reportage paru en 1971 dans le magazine Esquire,
que j'ai rencontré le Captain pour la première fois. L'article était consacré
aux «phreakers», proto-hackers téléphoniques; plusieurs d'entre eux étaient des
petits génies de l'électronique atteints de cécité, qui avaient découvert un
moyen de pirater les circuits à longue distance de l'opérateur AT&T, alors
en situation de monopole. C'est à cette époque que le Captain (John Draper, de
son vrai nom) s'est imposé; il a opéré la transition entre le phreaking
téléphonique (réalisé à l'aide d'une «blue box», dispositif capable de
reproduire les cycles de signaux internes de l'opérateur) et le hacking de
circuits informatiques par modem.
On le voyait faire le tour de la
région ? aujourd'hui connue sous le nom de Silicon Valley ? dans un van
Volkswagen équipé de ce qu'il appelait son «dispositif informatisé»; il
s'arrêtait prêt des cabines les plus isolées et se branchait sur les circuits
du monde entier. Le premier super-héros du hacking, équipé de sa fidèle cabine
téléphonique.
Après la parution de mon article,
la vie du Captain a connu des hauts et des bas. Côté positif, les
deux Steve (Jobs et Wozniak) ont fait appel à lui. La première fois, ils
voulaient qu'il les aide à construire des «blue boxes» dans le garage de leurs
parents. La seconde, c'était après la création d'Apple; il est devenu l'un de
leurs techniciens qualifié, et les a aidés à concevoir l'un de leurs premiers
programmes de traitement de texte, EZ Writer. Certains disent même qu'il a joué
un rôle clé dans l'élaboration des premiers PC. Côté négatif, il avait la
mauvaise habitude de s'étendre sur ses exploits illégaux; les fédéraux l'ont
arrêté, et il a passé quelque temps derrière les barreaux.
Ceci dit, il n'est jamais devenu
un «black hat», comme on dit aujourd'hui; il n'a jamais utilisé ses talents de
hackers à des fins criminelles. Il appartenait plutôt à la catégorie des
hackers «look-at-me»; ces magiciens surdoués qui n'aiment rien tant qu'à
contourner les pare-feux, les anti-virus et tout autre système de protection sophistiqué
élaborés par les professionnels de la sécurité informatique.
Ces hackers rétorqueraient qu'ils
ne piratent pas simplement pour la frime, mais aussi par esprit civique, pour
«faire la démonstration des faiblesses» des systèmes informatiques qui les entourent.
Et Captain Crunch est encore plus important d'un point de vue culturel :
sans lui, le hacking ne serait pas devenu «cool». Il a inspiré tous les geeks
surdoués qui, frustrés par la vie de bureau, désiraient vivre un grand frisson à
la James Bond.
Crunch est le père de cette
sensibilité joyeusement anarchique, de cette attitude de hors-la-loi à la Robin
des Bois qui a amené les esprits les plus non-conformistes et les plus
brillants à rejoindre le monde de la technologie; une grande partie d'entre eux
ont ensuite pu tirer parti de leur connaissance de l'insécurité informatique
pour devenir des experts' de la sécurité
informatique.
Imaginez donc ma surprise et ma
tristesse lorsque j'ai découvert, lors d'une recherche Google consacrée aux
dernières formes de la culture hacker et à Stuxnet, un site nommé «Saving Captain Crunch», qui donnait
quelques détails sur sa situation; j'ai découvert le reste de l'affaire
sur d'autres sites solidaires.
Selon PC World, l'incident s'est
déroulé lors d'une conférence sur l'informatique à laquelle assistait l'icône héroïque du hacking;
ce dernier vaquait à ses occupations, quand soudain, un fan débordant d'enthousiasme
lui aurait donné une accolade quelque brutale, tordant plusieurs vertèbres ?
fragilisées par une opération récente ? au point de rompre la communication
nerveuse dans ses bras et ses mains. La blessure le faisait terriblement
souffrir, et il perdait le contrôle de ses mains à une vitesse effrayante.
L'incident est survenu en octobre
dernier; le Captain et ses amis ont lancé un appel à soutien; il n'avait pas
les moyens de payer l'opération (lourde, et particulièrement onéreuse), et ce même
avec l'appui de Medicaid.
Mais PC World nous donne une
bonne nouvelle: Captain Crunch a été opéré, et annonce (dans un commentaire
posté suite de la publication de cet article) qu'il se remet peu à peu
de ses blessures.
L'attaque de Stuxnet a paralysé
le système nerveux d'un site nucléaire au moment même où les mains talentueuses
de Captain Crunch étaient paralysées par une lésion nerveuse. Il y a quelque
chose de terrible et de profondément perturbant dans cette coïncidence.
Je pense que nous sommes aux
portes d'une nouvelle époque; une époque pleine d'angoisse quant à la
«solidité» des cyber-structures qui sont devenues les fondations invisibles de
notre existence personnelle et géopolitique. Le mystérieux hacker anonyme,
qu'il soit «black hat» ou «white hat», pourrait avoir plus d'impact sur nos
vies que Zuckerberg, Jobs, Brin et compagnie, et ce en dépit de tous leurs
milliards.
En un sens, je suis heureux de ne
pas avoir entendu parler des mésaventures de Captain Crunch avant qu'il ait été
opéré (semble-t-il avec succès). L'ironie de la situation aurait été bien trop
cruelle. Mais puisqu'on annonce que certaines versions de Stuxnet sont
désormais disponibles sur le marché noir (ou qu'elles pourraient être améliorées
afin de permettre à des nations hostiles de s'accaparer nos ogives nucléaires),
je suis heureux de savoir le Captain de retour. Captain Crunch est, sinon un
trésor national, du moins une source inépuisable de connaissances et de ruses
pour vaincre les machines. Il incarne, à lui seul, la victoire de l'infinie créativité
sournoise de l'homme sur les circuits de silicium.
Captain, je vous souhaite un
prompt rétablissement.
Ron Rosenbaum
Traduit par Jean-Clément Nau
