Lève-toi et code : confessions d’un hacker

Né dans une banlieue de la région parisienne, décrocheur scolaire, un jeune trouve refuge derrière son écran. Il finit par hacker les bases de données de Science Po.

Par Farid Gueham.
Un article de Trop Libre

« Il a hacké les bases de données de Science Po pour montrer à tous les failles de leurs systèmes. Il est devenu Rabbin des bois, l’un des hackers les plus reconnus du public français ». Né dans une banlieue de la région parisienne, décrocheur scolaire, un jeune trouve refuge derrière son écran.

Très vite, il s’illustre dans le marché parallèle des données volées. Rapidement, il gagne très bien sa vie, mais ce qu’il veut, c’est de la reconnaissance. Celle que l’establishment parisien se refuse à lui témoigner. En atteste une garde à vue, au début de l’année 2017, pour avoir piraté les données de près de 4000 étudiants de Sciences Po. Un message à peine caché, une tentative de s’illustrer comme lanceur d’alerte, révélateur de failles et de vulnérabilités qui lui auraient certainement valu d’intégrer une université prestigieuse outre-Atlantique. En France, il sera simplement montré du doigt.

Un parcours atypique qui met en lumière le retard français dans le domaine de la protection des données personnelles, sur un ton volontaire frondeur. « Je me souviens du temps où tout ce qui m’importait était de capturer des Roucools, de choisir entre Herbizarre, Salamèche et Carapuce. Maintenant, tout ce que j’aime dans la vie, c’est hacker l’État, vendre de la data et observer le cours du bitcoin ». 

Rabbin des bois nous tend le miroir grossissant d’une jeunesse dépressive, anxieuse et précaire, sans nuance ni demi-mesure. Le monde est binaire, fait de 1 et de 0. Derrière les espoirs et les potentialités de nouvelles technologies, beaucoup de désillusions, de fatalisme aussi. « Au fond, je me demande s’il est vraiment possible de choisir le prochain 1 ou 0, ou bien n’est-ce qu’une illusion ? ».

1= euro

Chevilly-Larue, dans le 94, le « neuf-quat’ » pour les intimes. C’est le commencement, l’ouverture du code autour duquel devait s’organiser la vie du jeune hacker. Pas besoin de transcender ou d’édulcorer les clichés, ils sont là, bien réels ; « Grandir dans un bloc, c’est une ambiance presque familiale. C’est croiser les mêmes visages, reconnaître les mêmes voix, l’alternance d’odeur de shit, de friture et de jasmin ». Sortir de l’ennui, de la galère, fuir, et trouver refuge… derrière un clavier.

Les arnaques se mettent en place : avec l’aide d’un voisin de palier complice, beau parleur et fin psychologue, Rabbin de bois met en vente des objets sur Leboncoin, exige un paiement via PayPal, promettant qu’un colissimo serait vite arrivé. Abus de confiance nouvelle génération.

Un premier compte fictif virait de l’argent vers des comptes légitimes, rendant le remboursement impossible. « PayPal tenait pour responsable l’utilisateur du premier compte qui avait reçu l’argent, l’avantage était qu’il n’existait pas. À moins qu’ils ne réussissent à retrouver Anne Naunime, cinquante-quatre ans, 13, rue du Porcasher, 75006 Paris ».

2+2=5 : se formater pour une nouvelle réalité

« La data est le nerf de cette guerre, avec l’argent, partiellement, donc en 2017 ta vie vaut moins que les données que tu produis, faut s’y faire, Lucifer vocifère, à chaque clic et à chaque frappe de clavier que tu effectues, tu leur donnes un coup d’avance sur toi – pour mieux te manger, mon enfant ». 

Plus qu’une nouvelle aptitude, le code devenait pour Rabbin des bois un des traits substantiels de l’évolution, et une fois maîtrisée, la compétence devenait le sésame, la formule magique pour devenir un roi Midas 2.0, « un afflux de possibilités au potentiel infini au bout de tes doigts ». 

Libre à chacun de choisir sa voie et l’auteur assume son choix :  « je n’ai pas honte de dire que j’ai choisi le côté obscur de la force, je ne fais aucune différence entre mon virus et une application qui récolte tes données en permanence, tes fréquentations, tes envies, tes peurs, tes besoins, à tel point qu’ils peuvent prédire ton prochain comportement, ta prochaine clope, ton prochain mec, ton prochain swipe, jusqu’à pouvoir te cloner digitalement, comme Tinder 🙂 ».

Database : changement d’échelle

Dans son voyage initiatique, Rabbin des bois devait trouver son mentor : elle s’appellerait « K», son guide dans le monde des hackers. Chaque mois, elle lui donnait un test sous forme de hack  : les cibles étaient des comptes Instagram ou PayPal.

Vint le temps de la fin du patronage, mais au lieu de transmettre les « dix commandemorts »à son protégé, « K » n’en donnerait que trois : « tout le monde est flic, tout le monde hacke, tout le monde ment ». Libéré du jugement de son mentor, Rabbin des bois décide de changer son fusil d’épaule, ou presque : s’il continue à hacker, il ne visera plus des individus, mais des entreprises, s’attaquant d’emblée au géant américain Blackberry.

L’entreprise venait de lancer sa première tablette tactile pour concurrencer l’Ipad. Grâce à un vide dans le protocole de gestion de réparation de la tablette, notre apprenti devenu riche, décide de revendre la méthode à sa marraine « K » au prix de deux mille dollars la copie, et un honnête 50/50 sur les recettes. « Pour cinq cents dollars de plus, le client pouvait acheter le bonus de la méthode qui, grosso modo, permettait d’obtenir une tablette 32Go ou 64Go au lieu des 12 Go de la tablette de base, ce qui augmentait la valeur du produit à la revente ». Le hacker accédera par la suite aux databases d’universités, d’assurances, de mutuelles, de sites de collectivités et même, celui de Sciences Po Paris.

Anabase

Le hack du site de Sciences Po aura duré deux jours. « Après quarante-huit heures interminables donc, l’avalanche de lignes vertes sur mon écran s’est enfin arrêtée, et après avoir cliqué sur le dossier scpo_database, j’ai enfin pu jeter un œil aux données dérobées, retranscrites en une dizaine de fichiers ». 

Dans les dossiers, tous les inscrits dans l’établissement depuis 2010, toutes les conférences, les événements, les noms, les prénoms, les carnets d’adresses de 220 752 personnes. Les contacts sont aussi ceux des enseignants, de l’équipe de direction. « Je tape sur mon infâme clavier Logitech à 9,80 euros le premier mot qui me passe par l’esprit – ambassade (…) Le nombre résonne encore dans mon putain de crâne tellement le choc a été gigantesque (…) j’ai touché le gros lot, au total une liste de dix mille représentants diplomatiques de tous les continents – ambassadeurs, députés, sénateurs, ministres, attachés parlementaires, et même un ancien président ». 

Ne lui parlez par de moraliser le système, les brèches sont là, partout. Elles attendent simplement qu’on les découvre, les exploite. Conclusions apocalyptiques d’un génie désabusé, il ne reste plus grand chose à faire ou à espérer, sauf peut-être lutter, pour s’arroger un fin moins pénible et violente : « Donc, désolé, mais je vais m’en tenir à mon plan, tel Néron qui regardait Rome rôtir, je me régalerai du choc générationnel des ancêtres s’accrochant encore à leur soupçon de réalité, luttant pour la survie de leur espèce devant l’avènement de l’écran ».

Pour aller plus loin :

–       « Lève toi et code », éditions de la Martinière.

–       « L’étonnant parcours du hackeur de sciences po »lemonde.fr

–       « Faux PayPal et vraie arnaque », ladepeche.fr

–       « Maîtriser le code informatique : une compétence incontournable », ouest-France.fr

–       « Un hacker repenti prédit un cyber 11 septembre d’ici cinq ans »leparisien.fr

 

Sur le web