Marc Maiffret, la drôle de vie d'un hacker

Ancien utilisateur
Ancien utilisateur

Marc Maiffret, la drôle de vie d'un hacker "éthique"
LEMONDE.FR | 07.05.08 | 11h49 • Mis à jour le 08.05.08 | 08h43


Il y a souvent une bonne part de fantasme lorsque l'on imagine ce à quoi peut bien ressembler la vie d'un hacker de haut vol. Les films hollywoodiens comme Opération Espadon ou Takedown y ont fortement contribué. La réalité est souvent plus simple, moins glamour. Et pourtant, la vie de Marc Maiffret pourrait aisément être adaptée au cinéma et elle ferait sans doute un carton.

Tout commence le jour de ses 13 ans, en 1994. Marc se voit offrir son premier ordinateur. Mais sa famille ayant de modestes moyens, la machine n'est pas aussi puissante que celle de ses amis. L'adolescent ne peut pas faire marcher les jeux que ses copains utilisent. Il s'intéresse alors aux autres ressources de la "bécane". "J'ai appris à coder mes propres jeux, et donc, à coder des programmes tout court", se souvient-il. "J'ai toujours été d'un naturel curieux. L'étape d'après consistait donc à tester pour voir ce qui pouvait arriver lorsque l'on utilisait un programme d'une manière non prévue par ceux qui l'avaient créé."

DE RHINO9 À EEYE EN PASSANT PAR LA CASE FBI

Marc Maiffret entre dans le monde du piratage informatique par le "preaking", le piratage des réseaux téléphoniques. Avec déjà quelques "hacks" de sites prestigieux utilisant les logiciels de Microsoft à son actif, Marc Maiffret rencontre en 1996 les membres d'un groupe de hackers : Rhino9. "Ce n'était pas un collectif de pirates, mais bien des gens qui travaillaient sur la sécurité informatique, qui publiaient des alertes et des logiciels que l'on pouvait utiliser pour vérifier la présence éventuelle de failles sur un système. On était un peu comme le groupe L0pht, à la différence près que Rhino9 ne s'intéressait qu'à Windows", indique celui qui avait pris le surnom de Chameleon.

Pourquoi ce surnom ? "Je l'ai choisi à 16 ans. L'une des filles de ma classe m'avait dit qu'avec ma façon de pirater certains sites, j'étais 'comme un caméléon'. Vous savez comme les garçons aiment les filles à cet âge-là. J'ai donc choisi ce surnom...".

Peu après, il quitte le domicile familial où la vie n'est pas simple. Il prend un bus de la Californie jusqu'en Floride où il s'installe chez Neonsurge, l'un des leaders du groupe Rhino9. En un an, il passe du piratage pur et dur de sites d'entreprises prestigieuses ou gouvernementaux, aux publications de failles au sein du groupe auquel il s'est intégré. Neonsurge le prend sous son aile, lui expliquant qu'il y a "de meilleurs moyens d'utiliser [ses] compétences au lieu de pirater des réseaux et des serveurs".

Un drôle de concours de circonstances le fait passer définitivement de l'ombre à la lumière. Du bon côté de la force. Un an plus tard, de retour en Californie, Marc Maiffret discute avec l'un de ses amis qui a téléchargé un programme de localisation satellitaire de l'armée. Celui-ci lui demande de répondre à sa place à une interview de Dan Rather sur CBS. Quelques semaines après son passage à la télévision, il est approché sur l'IRC (Internet Relay Chat : système mondial de discussion en temps réel) par un certain "Ibrahim" qui souhaite lui acheter le logiciel de l'armée. Chameleon se prend au jeu, accepte et se fait envoyer 1 000 dollars en poste restante. "Je n'avais pas ce logiciel et même si je l'avais eu, je ne l'aurais jamais donné ou vendu", assure-t-il. Avec l'argent, il offre une console de jeux à sa sœur. Il ne donne pas suite aux demandes de plus en plus pressantes d'"Ibrahim". Mais ce dernier ne l'entend pas de cette oreille. Et promet à Chameleon quelque désagréable visite. "J'ai appris plus tard qu'il faisait partie d'une organisation terroriste liée à Al Qaida", explique aujourd'hui Marc Maiffret. "Le jeu était devenu un peu trop réel."

Le FBI qui surveillait son activité sur Internet depuis un moment s'invite chez Marc Maiffret un peu moins d'un mois plus tard. Il n'est finalement pas inculpé parce qu'il "n'avait pas ce logiciel". "J'ai été très proche d'avoir de gros ennuis mais je n'échangerai ces expériences contre rien au monde. Ce sont elles qui m'ont fait tel que je suis et cela me va très bien", explique-t-il. "J'étais un ado qui recherchait une forme de vérité ultime. Je n'avais simplement pas conscience que l'on pouvait avoir ce genre de buts en tentant de les atteindre par des voies légales."

EEYE, LE TRUBLION DE LA SÉCURITÉ INFORMATIQUE

A 17 ans, quelques mois après la visite du FBI, Marc Maiffret se trouve un nouveau mentor, "un père en quelque sorte, ou un grand frère", en la personne de Firas Bushnaq. Avec lui, il fonde eEye. Cette société, nouvelle venue dans le monde de la sécurité informatique et dont Marc Maiffret est le "chief hacking officer", développe un nouveau scanner de vulnérabilités. Et se fait très rapidement remarquer. "Nous avons pu publier de nombreuses failles critiques liées aux produits Microsoft." A tel point que la plupart des virus et autres "vers" – Code Red, Sasser, etc. – qui vont secouer le Web naissant s'appuieront sur ces failles.

La presse ne manque pas de relayer les trouvailles de la jeune eEye, qui compte rapidement 80 salariés et engrange des revenus confortables, "plusieurs millions de dollars de chiffre d'affaires", confie Marc Maiffret.

"L'ÂGE D'OR DU HACKING EST RÉVOLU"

Les nombreux utilisateurs finaux victimes de virus ou les administrateurs de sites qui ont subi les effets de vers basés sur les failles trouvées par les équipes de Marc Maiffret ne lui disent pas merci. Pour autant, celui-ci se défend : "Les failles sont découvertes par les méchants, quoi que fassent des sociétés comme eEye." Ce qui est important, poursuit-il, c'est que "grâce à nous, Microsoft et consorts peuvent créer des correctifs avant que les méchants ne découvrent des failles". Et c'est heureux, car selon lui, "aujourd'hui, l'âge d'or du hacking est révolu, il n'y a plus beaucoup de gamins qui font ça 'pour le fun'. La plupart travaillent pour des organisations criminelles qui le font pour dérober des informations à de grandes entreprises ou des données personnelles de particuliers ".

Il ne craint pas pour autant pas les effets d'une cyberguerre tant annoncée. "Quelques bombes bien placées ou la destruction des câbles sous-marins seraient plus efficaces que ce que l'on nous décrit comme étant une cyberguerre. Ceci dit, notre dépendance croissante à la technologie est inquiétante. En soi. Car les exemples dans lesquels cette technologie nous fait défaut ne manquent pas. Les 'plantages' récurrents risquent bien de devenir terriblement dirimants à l'avenir."

De fait, les technologies deviennent de plus en plus complexes. En outre, la manière dont elles sont déployés, sur le Web notamment, ouvre de nouvelles perspectives aux pirates. Ainsi, les "web services", c'est-à-dire le fait de déléguer à des entreprises extérieures des "services" – comme la gestion de nos applications – créent de nouveaux risques pour nos données personnelles. C'est le cas par exemple de Google Apps, Microsoft Live ou tous les "réseaux sociaux" de type MySpace ou Facebook.

Les "hackers éthiques" qui œuvrent à une amélioration permanente du niveau de sécurité ont encore du travail pour longtemps. Après dix ans passés à eEye, Marc Maiffret a décidé de tourner la page. Il veut "explorer" d'autres voies. Il reste l'un des propriétaires de la société et continue d'apporter son aide en matière de stratégie, mais compte désormais s'investir principalement dans la formation. Sensibilisation à la sécurité, bien sûr, mais aussi méthodes de recherche de failles (ce qui a fait la réputation de eEye) font partie des missions de sa nouvelle entreprise : Invenio.

Antoine Champagne

Forums

partagez et débattez