Surnommé « The Darkside Hacker », Kevin Mitnick a été l’un des premiers grands hackers de l’histoire. Bête noire du FBI, il a, dans ses dernières années, mené une vie repentie de consultant. Retour sur une vie digne des plus grands blockbusters hollywoodiens, parsemés de cybercrimes et de cavales aussi habiles qu’impertinentes.

Kevin Mitnick. Pour beaucoup de geeks comme de néophytes, outre-Atlantique, l’homme est considéré comme « le plus célèbre pirate informatique du monde ». Excusez du peu, même si le « titre » reste officieux ! Décédé le 16 juillet 2023, il s’était reconverti dans la cybersécurité. L’Américain reste encore aujourd’hui l’une des plus grandes figures de proue du hacking. C’est qu’il a pu s’introduire avec aisance et agilité dans les systèmes de sociétés comme Motorola, Nokia ou encore Sun Microsystems. Devenant dès lors l’objet d’une chasse à l’homme surmédiatisée, puisque cible numéro 1 du FBI.

Kevin Mitnick
Kevin Mitnick, en 2015. // Source : CeBIT Australia

À la recherche d’adrénaline

C’est que Kevin Mitnick n’est pas un criminel ordinaire, et propose même une toute nouvelle vision du hacker à mille lieues du « profil type ». Enfant, Kevin est un amateur de tours de magie ainsi qu’un « nerd », un mordu d’informatique introverti. Adolescent, il construit seul des téléphones, le plus souvent pour organiser des traquenards avec lesquels il piège gentiment ses petits camarades, aussi geeks que lui. Un jour, l’un de ses amis geeks lui propose de faire un tour au laboratoire informatique du lycée. À eux deux, ils parviennent à créer un programme simulant l’accès au portail informatique d’une banque. Plus qu’une rébellion adolescente, il s’agit ici pour Kevin Mitnick d’une manière parmi tant d’autres de tuer l’ennui et échapper à une morne réalité. Dans le documentaire Pirates et geeks : la vie de Hacker de Kevin Mitnick (toujours trouvable sur YouTube), l’homme désormais apaisé dit : « J’avais beau enfreindre la loi, je ne me considérais pas comme un véritable criminel. À ce moment-là, j’ai compris que j’avais un problème. Le piratage me plaisait à cause de la montée d’adrénaline que l’on ressent quand on arrive à infiltrer un système. À trouver une faille de sécurité. Ou à accéder à des informations confidentielles. »

Premiers larcins

Les choses s’accélèrent en 1980, lorsque le hacker, alors âgé de 17 ans, commet son premier gros coup. Il pénètre, toujours avec des amis, le prestigieux central téléphonique COSMOS (COmputer System for Mainframe OperationS) de Pacific Bell à Los Angeles. Il s’agit d’un centre informatique qui archive, entre autres, tous les appels téléphoniques. Le hacking est possible grâce au vol de plusieurs manuels confidentiels d’utilisation de centraux téléphoniques.

Dénoncé à la police par une petite amie mal éconduite, accusé de dégradation de données, l’adolescent écope de trois mois de détention en centre de redressement et une année de mise à l’épreuve. Une sanction qui se veut surtout exemplaire – on craint de possibles récidives, au regard de son potentiel — et qui aurait dû étouffer de futures envies d’infiltration de Kevin Mitnick. À l’inverse, l’homme développe une obsession, pour ne pas dire une addiction au piratage et poursuit sur cette dangereuse lancée où il deviendra la bête noire du FBI.

L’homme développe une obsession, pour ne pas dire une addiction au piratage

Dans sa ligne de mire, le laboratoire de recherche de Digital Equipment Corporation (DEC) à Palo Alto et plus précisément le code source du système d’exploitation VMS pour sa gamme d’ordinateurs d’alors, les VAX. Pour mieux y arriver, il compte sur une source interne, Lenny DiCicco, ami et employé du laboratoire. Erreur fatale : le complice est du genre susceptible, et quand ce dernier est la cible d’un énième mauvais canular du hacker, il décide de vendre la mèche à ses employeurs et au FBI. Avant de donner un faux rendez-vous à Mitnick, où deux agents n’attendent que de le cueillir. Il est alors accusé d’avoir volé plusieurs millions de dollars en logiciels. L’intéressé plaide coupable, certes, mais uniquement pour fraude informatique et possession illégale de codes d’accès pour appels longue distance. Cette fois-ci, le pirate fait un arrêt d’un an à la case prison.

VAX 11 750
Un ordinateur VAX 11/750 de la fin des années 80. // Source : T T

Ambiance « Attrape-moi si tu peux ! »

À sa sortie, l’homme semble comme assagi, et se dégote même un poste de programmeur. Avant, quelques années plus tard, de changer de voie pour devenir… détective. Nous sommes alors en 1992, et le FBI apprend que son agence de détectives utilise illégalement une base de données commerciale possiblement issue du hack d’un ordinateur d’un opérateur télécom. Quelques mois plus tard, les autorités parviennent à obtenir un mandat d’arrêt, mais il est déjà trop tard : le pirate a mis les voiles. C’est alors le début d’une grande traque…

Ce remake en chair et en os du célèbre film Attrape-moi si tu peux galvanise les médias et le grand public. Et pour cause ! Le pirate, à présent fugitif, semble sans arrêt avoir un coup d’avance sur le FBI. Si bien qu’il est immédiatement soupçonné de contrôler à lui seul le réseau téléphonique californien, et donc de pouvoir suivre les moindres faits et gestes des agents fédéraux à sa poursuite.

Au début des années 2000 sort le film Takedown (Cybertraque en France), retraçant la traque de Mitnick au milieu des années 90. Un film au demeurant assez mauvais.

Fait le plus intriguant de cette chasse à l’homme : pas un instant, Mitnick ne songe à cesser ses activités, de se rendre ou de se concentrer sur sa fuite. C’est que l’individu est bien trop passionné pour s’autoriser un break ! Aussi, en 1994, le jour de Noël, il s’attaque aux données d’un expert en sécurité informatique japonais, Tsutomu Shimomura, stockée sur son serveur. Une attaque entrée dans les annales de l’informatique du fait de son élégance et de sa simplicité, et désormais connue sous le nom « d’Attaque de Mitnick ». Il déniche des centaines de documents et de logiciels (des documents sur les téléphones cellulaires qui lui serviront plus tard à brouiller sa piste), mais se fait aussi un nouvel ennemi redoutable, puisqu’après ce piratage, qu’il a pris personnellement, le Nippon ciblé décide de grossir les rangs du FBI.

« Salut Tsutomu ! Félicitations ! »

La tâche n’est guère facile et Mitnick continue d’infiltrer les pare-feu des différents réseaux à l’instar de celui de Motorola. Mais la patience du FBI et de Shimomura finissent par payer. Ils parviennent après des mois de recherches et de fausses pistes à localiser l’appartement du pirate, son QG dont il effectue tous ses crimes ou presque. Le 15 février 1995, ils se rendent à deux heures du matin à son domicile et interpellent le hacker. Qui, selon la légende, n’aurait pas protesté, cherché à s’enfuir ou se défendre. A contrario, il aurait même déclaré, comme enchanté : « Salut Tsutomu ! Félicitations ! »

Jamais une peine aussi lourde pour un délit informatique n’avait encore été infligée

Il plaide coupable pour sept chefs d’accusation, dont intrusion de systèmes et vols de logiciels protégés contre les sociétés Motorola, Fujitsu et Sun Microsystems. Il est ainsi condamné à cinq années derrière les barreaux. Une grande première dans l’histoire judiciaire, puisque jamais une peine aussi lourde pour un délit informatique n’avait encore été infligée.

Désintoxication forcée

En 2000, il sort de prison, où il a été confiné à l’isolement pratiquement tout du long. Le sevrage est complexe pour ce passionné qui n’a pas pu accéder à internet depuis cinq ans. Cette peine est suivie d’une mise à l’épreuve restée célèbre car il n’avait initialement pas le droit de toucher un ordinateur ou tout autre objet lui permettant d’accéder à un réseau informatique comme un téléphone portable (chose rare à l’époque, mais d’ores et déjà possible) durant deux ans. Une désintoxication web forcée qui, au fil des années, l’entraîne vers une paisible reconversion dans la cybersécurité, où il exerce comme consultant, mais également conférencier et auteur (L’Art de la Supercherie, c’est lui). Il effectue aujourd’hui des tests de piratage pour le compte des plus grandes sociétés du monde et donne également de nombreux cours aux organismes gouvernementaux.

art-supercherie-k-mitnick
L’art de la supercherie est le premier livre de Mitnick. Il y est essentiellement question ingénierie sociale, ou comment persuader et manipuler des hommes pour leur soutirer des informations.

Nouvelle lutte contre la négligence des utilisateurs

Depuis totalement repenti et désireux de partager ses connaissances au plus grand nombre, voici d’ailleurs quelques petits conseils donnés par l’expert lors de ses conférences. Pour lui, en dépit des progrès informatiques, l’homme reste un loup pour… lui-même. Et bien souvent, c’est sa propre négligence qui le trahit. « Vous pouvez avoir la meilleure technologie, des ordinateurs dans le monde, mais si vos utilisateurs sont dupes, la partie est finie » a-t-il déclaré lors d’un discours repris par le site rappler.com. Il a, par exemple, souvent détaillé la fameuse technique du « clonage de site web » au cœur du phishing.

« Vous pouvez avoir la meilleure technologie, des ordinateurs dans le monde, mais si vos utilisateurs sont dupes, la partie est finie »

Imaginons qu’une personne se rende régulièrement sur « numerama.com » où elle se connecte à l’aide d’informations d’identification. Alors, le hacker peut aisément cloner le site Web à l’aide d’une URL confondante, à l’instar de « numerama.co ». Ainsi, le pirate informatique recevra facilement et rapidement toutes les données de l’individu berné… Un peu évident ? Sachez pourtant qu’aujourd’hui, la méthode fonctionne toujours aussi bien.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !