Celui qui ne voulait pas vraiment partir en cavale
Adrian Lamo est dans le viseur du FBI. Reste cependant à l'arrêter. Plus simple à dire qu'à faire: le hacker est un sans-abri bohème.
Bonsoir,
Bienvenue pour la fin de cet épisode de Pwned sur Adrian Lamo. Mais tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
Comme je vous le racontais les semaines dernières (lire ici et là), jusqu’alors, le célèbre hacker Adrian Lamo n’avait jamais subi les foudres de la justice malgré des piratages spectaculaires. Enfin ça, c’était avant le hack du New-York Times. Plus d’un an plus tard, sa baraka semble avoir pris fin quand le FBI se décide finalement à l’arrêter.
Sauf qu’il y a un petit problème. Ce garçon androgyne né en 1981 dans le Massachusetts a un style de vie très particulier: il est surnommé le hacker sans abri. Vous l’avez compris, il n’a pas de logement fixe, erre des canapés d’amis à des paillasses dans des logements abandonnés, ou dort carrément à la belle étoile. L’hiver, on le retrouve du côté de San Francisco, pas très loin de chez ses parents qui vivent à Sacramento.
Après tout, il arrive à vivre avec 50 dollars par semaine, pourquoi s’embêter à gagner plus? Impliqué dans la défense des LGBT, il travaille un temps pour PlanetOut.com, un forum gay et lesbien financé notamment par AOL - une firme contre qui Lamo gardera une forte rancune. C’est une sorte de Minitel rose : le travail d’Adrian Lamo consiste à discuter pendant des heures avec les internautes pour les garder en ligne.
Au gré de ses pérégrinations, Adrian Lamo se connecte à Internet comme il le peut, dans des Kinko’s, les magasins qui ont réinventé la photocopie (enfin c’est ce qu’ils disent), ou en trifouillant des câbles. Comme le raconte Brian Krebs, le hacker réalise la plupart de ses piratages depuis des cybercafés ou via des connexions chapardées avec son vieil ordinateur portable Toshiba auquel il manque six ou sept touches.
“Je suis tout aussi susceptible d'errer autour d'un bâtiment abandonné ou de ramper dans un égout que de fouiller quelque chose en ligne”, précisait-il également. “Et je pense que les deux sont également valables. Je pense que me retrouver coincé dans un égout pluvial dans le New Jersey est tout aussi important que d'entrer par effraction dans le New-York Times.”
Outre les égouts, Adrian Lamo aime aussi explorer les mines abandonnées de Californie, ce qui en fait, avouons-le, une personnalité plutôt sympathique. “Si tout le monde devait marcher 20 minutes pour trouver une connexion Internet, le contenu sur le Web serait bien meilleur”, plaisantait-il enfin auprès d’un journaliste. Il n’avait pas tort.
Ce véritable Jack Kerouac 2.0 traverse ainsi plusieurs fois les Etats-Unis en bus avant de devenir une légende du hacking. Son goût pour le piratage commence très jeune, avec un jeu d'aventure sur Commodore 64 où Adrian Lamo se retrouve bloqué. Exaspéré, il fouine dans le code du programme et réécrit cette partie du jeu pour pouvoir progresser. “Tout depuis lors n'a été que des versions plus larges de cela, le refus d'accepter la réalité telle qu'elle m'est présentée, l'idée qu'il n'y a aucun moyen de contourner cela”, dit-il. Or, ajoute-t-il, “il y a toujours un moyen de contourner un problème”.
Même s’il n’est pas un génie du code, il a des bonnes notions. Mais surtout, il sait identifier et trouver des failles, comme les proxy ouverts, sa spécialité. Les conséquences de ses piratages ne lui échappent pas. “Je suis sûr que quelqu'un quelque part a été licencié à cause de ce que je fais”, disait-il avant d’expliquer : “je pense qu'il est important de créer un précédent”, pour montrer que finalement ce genre de choses est possible et qu’il faut donc y prendre garde.
Toutefois la belle histoire du hacker vagabond romantique cache aussi une face plus trouble. Adrian Lamo consomme beaucoup de drogues, notamment des amphétamines. Il a même fait une overdose en 2001. Dans une interview à Wired, il explique désormais s’en tenir aux anti-dépresseurs ou à des produits à effet dissociatifs - sans doute du genre de la kétamine, un dissociatif célèbre.
Adrian Lamo voyage également avec un pistolet Taser. Il assure l'utiliser pour crocheter les serrures électroniques ou les distributeurs. Sauf qu’une ancienne petite amie assure avoir été victime de tirs. Elle l’accuse d’ailleurs de l’avoir harcelé avec des e-mails anonymes, une façon pour lui de prouver qu’il sait où elle vient de déménager. Enfin, il sera des années plus tard diagnostiqué Asperger après avoir été interné en psychiatrie pendant quelques jours.
Revenons à la question de son arrestation. Cette vie de routard semble avoir un peu gêné le FBI. Début août, le bureau espère ainsi l’arrêter à la DefCon, la célèbre conférence annuelle des hackers qui se tient tous les ans à Las Vegas. Plusieurs agents du bureau de New-York doivent rejoindre “Sin City” (la ville du péché) pour l’arrêter là-bas. Mais ils font chou blanc.
Finalement, début septembre, des agents du FBI vont au plus simple. Ils sonnent à la porte du domicile familial près de Sacramento. Adrian Lamo n’est pas là. Le hacker est en train de tourner un documentaire sur le piratage informatique. Sa cavale va être brève: cinq jours. Après un week-end dans la nature, il se rend dans un Starbucks de Sacramento. Le choix du lieu vous étonne? C’est pourtant le genre de Lamo, on le verra dix ans plus tard dans une autre affaire.
Quoiqu’il en soit, Adrian Lamo est relâché contre une caution de 250 000 dollars. Entre-temps, le FBI a établi une liste de 225 personnes à interroger : ses contacts dans son téléphone, ses proches, des gens sur qui il a fait des recherches dans LexisNexis et les journalistes avec qui il était en contact.
Dans cette liste, il y a un interrogatoire assez inattendu qui va vous étonner. Les enquêteurs du FBI ont été voir Gary Gygax, le grand-père des geeks à l’origine du jeu de rôle Donjons et dragons ! On ne sait pas exactement pourquoi le FBI s'est intéressé à Gygax : était-il dans les contacts téléphoniques d’Adrian Lamo ou avait-il fait partie des recherches menées par Lamo via LexisNexis?
Je penche personnellement pour cette seconde hypothèse. Dans le procès verbal - page 47 du deuxième volet d’archives du Vault -, Gary Gygax indique ne pas connaître Adrian Lamo, mais explique supposer que c’était un fan qui aurait pu être intéressé par son background.
Au terme de l'enquête, la justice américaine accuse Adrian Lamo de plusieurs piratages en plus de celui du New York Times. Comme souvent aux Etats-Unis, les poursuites contre lui se terminent par un plaider-coupable. Il reconnaît l’intrusion illégale dans le réseau informatique du New-York Times, tout comme - il n'y a pas de suspens - les piratages d’Excite@Home, Yahoo!, Microsoft, Worldcom, Ameritech, et Cingular.
Cette procédure par reconnaissance de culpabilité va permettre de ramener l’affaire à une dimension plus juste. Alors que le communiqué judiciaire publié à son arrestation précise qu’il encourt une peine maximale de 15 ans de prison et une amende de 500 000 dollars, il est finalement condamné en juillet 2004 à six mois de détention à domicile, avec un accès restreint aux ordinateurs et à sa messagerie électronique. Une peine clémente assortie d’une grosse ardoise, 65 000 dollars de dommages et intérêts à payer au New-York Times, dont 18 500 dollars pour ses recherches sur LexisNexis.
Ces faits d'armes feront de lui l’une des personnalités américaines du hacking les plus connues. Sans que l’on ne le retrouve à nouveau impliqué dans un piratage. Il sera cependant quelques années plus tard au cœur d’une controverse. Il a en effet dénoncé Bradley Manning - devenu Chelsea Manning après sa transition de genre - qui lui avait confié avoir envoyé des documents à Wikileaks. Une autre histoire, on en parlera une prochaine fois. Après cette dernière apparition médiatique, il passe sous les radars avant de décéder à l'âge de 37 ans en mars 2018 dans le Kansas, visiblement d’une overdose de médicaments qu’il prenait contre l’anxiété.
Vous pouvez retrouver l’un des messages lui rendant hommage sur le forum de questions et réponses Quora. Et la nouvelle de son décès fut bien évidemment relayée par le New-York Times.
On se retrouve bientôt pour une nouvelle histoire de cybercrime,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Netnames whois Wednesday humour
Kinko's réinvente le photocopy shop
Adrian Lamo, ‘Homeless Hacker’ Who Turned in Chelsea Manning, Dead at 37
The Homeless Hacker v. The New York Times
Ex-Hacker Adrian Lamo Institutionalized, Diagnosed with Asperger's
Dungeon Master: The Life and Legacy of Gary Gygax
Donjons & Dragons : Gary Gygax, un inventeur sorti du fin fond des Etats-Unis
U.S. Charges Hacker with Illegally Accessing New York Times Computer Network
New York Times hacker Adrian Lamo gets home detention
Army Leak Suspect Is Turned In, by Ex-Hacker
The Mysterious Death Of The Hacker Who Turned In Chelsea Manning
Adrián Lamo, Hacker Who Reported Chelsea Manning to the F.B.I., Dies at 37