Celui qui s'était trompé de chemin (3/3)
Comment juger un ancien hacker malveillant qui s'est déjà repenti?
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned. Si vous n’êtes pas inscrit, voici le formulaire.
Alors, où on en était? Ah oui, Marcus Hutchins a joué un rôle clé dans la programmation d’un malware bancaire. Mais le jeune anglais n’est plus du tout à l’aise avec ce job, et alterne phases de dépression et de codage boulimique. Puis il s’enfonce dans le trading du bitcoin, ce qui n’est vraiment pas une bonne idée si vous êtes un peu dépressif, avant de binge-drinker des épisodes de Breaking bad.
Mais vous l’avez deviné, il y a heureusement de la lumière au bout du tunnel. Et pour Marcus Hutchins, cela va commencer par l’écriture d’articles sur son blog, Malwaretech. A défaut de savoir comment se dépatouiller de ce poisseux Vinny - il sortira de sa vie courant 2015 - , il recommence à s’investir dans son site, lancé deux ans plus tôt en 2013.
Sur ce site, on trouve alors des explications sur l’injection web, des considérations sur le business gris des accès d’administration à distance, les fondamentaux de l’attaque en déni de service, ou encore pourquoi coder des logiciels malveillants peut aussi être source de plaisir intellectuel.
Marcus Hutchins fait également de la rétro-ingénierie de haut niveau en s’attaquant aux botnets Kelihos, Necurs ou Mirai. Et que croyez-vous qu’il arriva? Après avoir échoué à rentrer au GCHQ, cet équivalent anglais de la NSA, le blogueur va taper dans l'œil du patron d’une boîte de cybersécurité, Kryptos Logic.
Le jeune anglais est approché pour une mission, le développement d’un tracker de Kelihos, puis pour une deuxième, avant finalement d’être embauché.
Comme le rappelle Andy Greenberg, Marcus Hutchins, qui a gagné au total 8000 dollars avec son travail sur Kronos, découvre une loi immuable : pour un hacker talentueux dans un pays occidental, le crime ne paie vraiment pas, mais alors, pas du tout. En réalité, quand on est un développeur très talentueux comme Marcus Hutchins, il y a tout simplement beaucoup plus d’argent à se faire en travaillant légalement.
Très investi, le jeune anglais va par exemple limiter les dégâts du botnetMirai. Il tente d’abord d’infiltrer le réseau, pour intercepter les attaques et les annoncer à l’avance. Puis il rentre en contact avec le pirate informatique qui louait via Mirai ses services d’attaques Ddos, pour lui faire prendre conscience, sans succès, des dégâts causés.
Même si la tentative paraît vaine, elle montre que Marcus Hutchins a bien changé. “Peu de gens sont réellement mauvais”, la plupart étant tout simplement déconnectés de la réalité, écrit-il alors, une façon sans doute de parler de lui. Puis arrive alors WannaCry, vous connaissez la suite.
Judiciairement, cette histoire est très intéressante. Le travail de la justice, cet idéal moral, cette idée de rééquilibrer les choses, ce n’est plus depuis longtemps la simple vengeance. Il s’agit de sanctionner des fautes ou encore de corriger des inégalités, en tenant compte de la personne poursuivie. Si vous allez voir un procès, vous entendrez peut-être parler de peines d’avertissement, par exemple: il s’agit de faire prendre conscience au condamné que la voie choisie ne mène nulle part.
Pour Marcus Hutchins, le procès pénal arrive bien longtemps après qu’il soit rentré de lui-même sur le droit chemin. Pour autant, les personnes qui ont été victimes du malware Kronos peuvent réclamer à raison réparation. On ne peut pas comme cela mettre la poussière sous le tapis.
La procédure va s’étaler sur deux ans. Avec son arrestation, la justice américaine espère d’abord en savoir plus sur Vinny, le fameux donneur d'ordre de Kronos. Mais peine perdue, Marcus Hutchins ne sait rien. Et il ne veut pas donner de biscuit aux magistrats contre d’autres hackers impliqués de façon mineure, juge-t-il. Cette tension, et le refus d’un premier accord de plaider coupable, explique pourquoi les charges s'alourdissent, au bout d’un an de procédure, avec un nouvel acte d’accusation renforcé.
Finalement, en avril 2019, la négociation judiciaire touche à sa fin. Marcus Hutchins accepte de plaider coupable de deux des dix chefs de prévention. “Je regrette ces actions et j'accepte l'entière responsabilité de mes erreurs, écrit-il dans une déclaration publique sur son blog. Ayant grandi, j'utilise depuis ces mêmes compétences à des fins constructives, pour “protéger les gens contre les logiciels malveillants”.
Reste désormais la question de la peine. Alors qu’il risque encore gros - dix ans de détention - , tout l’enjeu est de trouver la juste condamnation en adéquation avec sa rédemption. Pour l’accusation, la peine doit être suffisante, mais pas plus que nécessaire. Car le mauvais génie, le malware bancaire développé par le prévenu est déjà sorti de la bouteille, bien que le malware n’ait jamais vraiment réussi à percer chez les cybercriminels. Si Kronos a sans doute fait des victimes, l’acte d’accusation ne mentionne ainsi pas de préjudice précis.
Le 26 juillet 2019, Marcus Hutchins fait face à son juge. Le magistrat explique à Hutchins qu’il est le 2200e prévenu qui lui fait face en 32 ans de carrière. Mais, même si chaque affaire est unique, celle-ci est vraiment particulière, dit-il. De son errement de jeunesse à son rôle critique pour stopper WannaCry, le magistrat fait un long portrait du jeune hacker.
Avant enfin de donner sa décision : il est condamné à une peine purgée, assortie d’une période de liberté surveillée d’un an. En d’autres termes, le jeune anglais paye les 200 dollars de frais administratifs, puis il sort, libre. Marcus Hutchins s’est depuis installé aux Etats-Unis, poursuivant sa brillante carrière dans la sécurité informatique.
Bonne soirée,
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
Marcus Hutchins: A Controversial Hero
The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet
How to Accidentally Stop a Global Cyber Attacks
Kronos Malware 'Dealer' On WannaCry Killer Charges: What Charges?