Celui qui s'était trompé de chemin (2/3)
Ou comment un jeune et brillant codeur plonge dans le cybercrime.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned. Si vous n’êtes pas inscrit, voici le formulaire.
L’arrestation de Marcus Hutchins suscite énormément d’émotion dans la communauté de la cybersécurité, où le jeune anglais est déjà l’équivalent d’une rock star. Il faut rappeler le contexte. Il vient de sortir de la Defcon.
C’est un événement où les participants s’amusent à traquer la présence de policiers à travers un concours, “Spot the Fed” (en français, “Repère le flic”) à la suite d’arrestations ayant fait polémique. Pour ces hackers, le ministère de la justice américain vient (forcément) de faire une grosse erreur judiciaire. De nombreux donateurs soutiennent ainsi le jeune homme en finançant sa caution de 30000 dollars, finalement payée par un couple d'experts en cybersécurité, Tarah Wheeler, l’auteure de Women in Tech, et Deviant Ollam.
Mais c’est aussi le début d’une controverse sur son vrai rôle dans le blocage de WannaCry. Des esprits un peu retors se demandent si Marcus Hutchins n’avait pas lui-même programmé WannaCry pour ensuite pouvoir l’arrêter et se poser en sauveur.
Alors, on va arrêter tout de suite les spéculations, cette thèse va se révéler infondée. Mais n’allez pas croire que ce genre de comportement n’existe pas. J’ai vu il y a pas longtemps le cas d’un informaticien qui avait tout cassé en douce chez son ancien client, une façon de montrer qu’il était indispensable.
Quoiqu’il en soit, les poursuites lancées contre Marcus Hutchins ne concernent pas WannaCry. Et c’est ça qui est intéressant. Le jeune anglais vient de se faire rattraper par son passé trouble.
Selon l’acte d’accusation, deux-trois ans plus tôt, il a développé et vendu un malware bancaire, Kronos. Mis à prix à quelques milliers de dollars, ce programme malveillant ressemblait à Zeus ou à SpyEye, dont on a parlé en fin de saison dernière. D’ailleurs, certains s’interrogent alors sur les liens que pourraient entretenir ces différents programmes.
Le malware est vendu notamment sur le marché noir AlphaBay. Assez classiquement, le programme ciblait les banques (britanniques ici) et permettait de voler des identifiants bancaires en enregistrant les frappes de clavier. Et si vous n’étiez pas convaincus, vous aviez même droit à une semaine de test.
Mais comment Marcus Hutchins, ce brillant jeune britannique, s’est-il fourré dans ce mauvais coup? Comme le raconte dans un article très fouillé le journaliste Andy Greenberg sur Wired, tout a commencé par un sérieux problème pour celui qui n’était qu’un jeune adolescent. Comment installer Counter Strike, ce jeu de tir multijoueur à succès, sur les ordinateurs de l’école?
Et bien, tout simplement en écrivant des scripts en Visual Basic dans Microsoft Word pour installer tous les logiciels qu’il désire Facile à dire, mais pour un ado d’une dizaine d’années, c’est remarquable.
Si ses parents s’inquiètent de son obsession pour les ordinateurs, ils admettent également que leur enfant s'épanouit dans son domaine. Donc ils lui achètent un ordi pour ses 13 ans - enfin des pièces détachées - en misant sur le contrôle parental. Sans aucun succès, vous vous en doutez bien.
Car Marcus Hutchins n’a pas envie qu’on lui tienne la bride. Quel univers fascinant pour l’adolescent. Surtout quand on traîne sur des forums de pirates. Et donc lui aussi s’y met, en produisant un premier malware volant les mots de passe stockés par Internet explorer.
L’adolescent s’immerge de plus en plus dans les tréfonds du web. Il s’y perd clairement. Il se fait exclure deux semaines de son école, devient de plus en plus asocial, sèche les cours et sort de sa chambre juste pour réchauffer la pizza au micro-ondes.
A 15 ans, il se vante de gérer un botnet de 8000 ordinateurs. Et il a même mis sur pied un service d’hébergement de pages d’hameçonnage. Puis, l’année suivante, il se lasse et se lance un nouveau défi : perfectionner son logiciel malveillant, son malware voleur de mots de passe.
C’est alors qu’il rencontre Vinny (également connu sous une flopée d’autres pseudos: VinnyK, Gone with the Wind, Cocaine, Jack of All Trades, Aurora123, etc.). Sur l’un des forums où ils traînent tous les deux, il salue le niveau technique de Marcus Hutchins. D’ailleurs, ne pourrait-il pas l’aider à écrire un programme vérifiant si les antivirus détectent son malware?
Mieux, et s’il l’aidait à développer un rootkit, ces malwares qui misent d’abord sur la discrétion? Marcus Hutchins n’est pas seulement un développeur embauché au noir, ce sera un associé, dit-il en promettant de partager les bénéfices. Et Vinny sait comment stimuler ses partenaires de crime. Pour ses 17 ans, il lui envoie un colis rempli d’herbe, de champignons hallucinogènes et d'ecstasy.
A ses parents, Marcus Hutchins raconte qu’il fait de la programmation indépendante. Il quitte le lycée, s’achète une X-Box et se lance dans le trading de bitcoins. Vinny, lui, est très satisfait de son boulot. Ne pourrait-il pas d’ailleurs améliorer le rootkit en intégrant également un enregistreur de frappe et de l’injection web?
Ce genre de fonctionnalité permet par exemple de faire de la fraude bancaire. Et ça, Marcus Hutchins l’a très bien compris. On touche à sa ligne rouge. Les bas-fonds du net, c’est marrant cinq minutes, mais son projet dans la vie, ce n’était pas de ruiner les gens. Il envoie bouler Vinny.
Sauf que son associé commence à le faire chanter. Après tout, il connaît son adresse… Le jeune anglais alterne désormais entre euphorie sous amphétamines pour coder plus vite et dépression. Les mirages de la cybercriminalité sont bien loin.
Marcus Hutchins refuse finalement de coder la fonctionnalité d’injection web. Mais ça n'empêche pas Vinny de boucler son cheval de troie bancaire avec l’aide d’un autre codeur. Le rootkit s'appellera Kronos.
La suite la semaine prochaine,
Bonne soirée,
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
When the FBI Found Out About Def Con’s ‘Spot the Fed’ Contest
The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet