EXTRAIT DU LIVRE "L'INTRUS"

 

Matin du 20 janvier 1995

-- Donc, apparemment, quelqu'un s'est introduit dans sa station de travail.

 

Au téléphone, Kevin Mitnick rit tout bas, m'informe de ce qui ressemble à l'effraction informatique de l'année. Quelqu'un a visité l'ordinateur domestique de Tsutomu Shimomura, le spécialiste de la sécurité sur Internet qui, Mitnick en est convaincu, serait un espion de la NSA décidé à l'envoyer derrière les barreaux.

 

Nous sommes dans la matinée du 20 janvier 1995. Et vous ne trouverez pas cette nouvelle dans vos journaux.

 

-- Il est assez vexé, glousse Mitnick. Ils sont carrément en train de mettre sur pied un grand comité consultatif du CERT.

 

-- Un comité consultatif du CERT?

 

CERT signifie Computer Emergency Response Team Voir note 1; financé par le gouvernement, c'est un groupe d'experts en protection informatique qui tient son quartier général à l'université Carnegie Mellon.

 

Mitnick est surexcité, sa voix épousant la même tonalité suraiguë qu'après son intrusion dans le système de Mark Lottor, l'ami de Shimomura. Mais cette fois, Mitnick se dépeint comme un simple spectateur.

 

-- Ça veut dire qu'ils sont allés jusqu'à organiser une conférence de presse, car l'attaque qu'il a subie était si sophistiquée qu'il est impossible de s'en prémunir sur Internet, dit Mitnick sur un ton proche de la fierté.

 

Voilà qui est curieux. Je n'ai pas eu vent de la moindre conférence de presse. De qui, ou de quoi Mitnick est-il en train de parler?

 

-- Mais personne n'est encore au courant pour le CERT, m'avise-t-il. Ça ne sortira pas avant demain. Et il n'est pas exactement le plus heureux des hommes.

 

Il y a quelque chose qui cloche. Le CERT ne publie jamais d'informations préalables sur ses comités consultatifs sécuritaires. Même lorsqu'il contacte ses groupes internationaux par E-Mail, il crypte ses messages.

 

Alors, comment Mitnick a-t-il pu en prendre connaissance à l'avance? En furetant dans le courrier électronique de Shimomura ou de Markoff? Ou en plaçant leurs lignes sur écoute?

 

-- Qu'est-ce qu'elle avait de si sophistiqué?

 

-- Ils ont utilisé un paquet de prédiction TCP/IP.

 

-- Un paquet de prédiction TCP/IP? demandé-je sans avoir la moindre idée de ce qu'il raconte.

 

-- Chaque paquet est doté d'un numéro séquentiel, explique Mitnick en ralentissant à mon intention. Si vous pouvez le prédire, ça vous donne le moyen d'imiter un paquet provenant de n'importe quel hôte. Vous faites en sorte que le paquet semble provenir de votre réseau interne ou d'un hôte de confiance.

Le type [l'intrus] s'est aperçu qu'on l'enregistrait. En d'autres termes, il [Shimomura] répertoriait tous ses mouvements TCP/IP [ceux de l'intrus] via un vidage TCP/IP, mais il [l'intrus] ne s'est rendu compte que très récemment qu'il [Shimomura] envoyait ponctuellement à un autre site des E-Mails contenant le journal des connexions. Et c'est comme ça qu'il [Shimomura] a pu déterminer de quelle manière l'offensive avait eu lieu.

 

Mitnick semble avoir une excellente connaissance des détails complexes de l'assaut.

 

-- Vous avez dit qu'ils avaient tenu une conférence de presse. Quand? Ce matin?

 

-- Je ne sais pas, répond vaguement Mitnick. Au cours des derniers jours.

 

Mais le CERT n'en a donné aucune. Se pourrait-il qu'il fasse état d'une réunion d'information médiatique "privée"?

 

 

 

--------------------------------------------------------------------------------

 

 

Trois jours plus tard, le 23 janvier, Shimomura décrira la fameuse attaque dans un article de newsgroup largement diffusé sur Internet. "Contrefaçon d'adresse source IP" et "prévision du numéro séquentiel TCP/IP" sont les termes employés par Shimomura pour la dépeindre, ce qui rappelle beaucoup la description de Mitnick. Mais son analyse est extrêmement technique, et certains spécialistes de la sécurité sur UNIX la trouvent eux-mêmes difficile à suivre.

 

Ce même jour vers 14 h 00, le CERT expédie en fanfare un bulletin de renseignements aux 12000 sites Internet inscrits dans son fichier de publipostage international, direction les États-Unis, l'Allemagne, l'Australie, le Royaume-Uni, le Japon et d'autres pays. Rédigé dans un vocabulaire vague, le rapport est bien moins précis que la minute d'explication téléphonique de Mitnick. Il est fort vraisemblable que le CERT essaie de fournir suffisamment de détails pour que les sites Internet puissent se protéger contre toute agression future, mais pas assez pour encourager des offensives du même genre. D'un certain point de vue, l'intrusion est simple, un assaut intelligemment dirigé contre une des faiblesses fondamentales d'Internet. Les stations présentes sur le Réseau sont souvent programmées pour se fier aux autres ordinateurs. Le Net a été créé pour partager des informations, et l'attaque subie par Shimomura, à l'instar du ver que Robert Morris a lâché sept ans plus tôt, exploite cette confiance.

 

Internet a une façon bien personnelle d'envoyer du courrier électronique ou des fichiers. Les messages ou fichiers sont divisés en paquets et fragments numériques de petite taille qui, tous, sont pourvus de leurs propres enveloppe et adresse. Quand ils ont été expédiés, c'est comme un vol d'oiseaux qui migre vers un endroit prédéterminé et se rassemble une fois arrivé à bon port. Les ordinateurs reliés à Internet se comportent souvent comme de grands vols d'oiseaux se vouant une confiance réciproque. Il suffit donc qu'un volatile ennemi s'infiltre dans le groupe.

 

 

 

--------------------------------------------------------------------------------

 

 

Le jour de Noël 1994, l'assaut est donné.

 

Pour commencer, l'intrus pénètre dans un site Internet californien qui porte le nom énigmatique de toad.com Voir note 2. Opérant depuis cette bécane, l'intrus lance sept instructions pour voir qui s'est connecté à la station de travail de Shimomura, et s'il partage des fichiers avec d'autres machines.

 

Finger est l'une des commandes UNIX ordinaires que l'intrus utilise pour sonder l'ordinateur de Shimomura. Etant un professionnel de la sécurité, Shimomura aurait dû désactiver cette caractéristique. Les hackers se servent si souvent de finger en début d'attaque que soixante-quinze pour cent des sites Internet, soit près de 15 des plus de 20 millions d'internautes, neutralisent sa fonction pour accroître la protection.

 

En douce, l'intrus passe des appels estimatifs dont les instructions l'aideront à découvrir à quel type de bécanes la station de travail de Shimomura est susceptible de se fier. Il travaille vite. En six minutes, il déduit le schéma de confiance unissant la plate-forme UNIX de Shimomura à un serveur Internet inconnu.

 

Alors survient l'attaque de contrefaçon automatique. Tout sera fini en seize secondes. Le programme d'assaut prédictif lâche une rafale de paquets pour occuper le serveur Internet de confiance et, ainsi, l'empêcher de répondre. Ensuite, le programme envoie vingt paquets supplémentaires à la station UNIX de Shimomura. Le logiciel cherche des récurrences dans les numéros séquentiels initiaux -- ceux-là même qui servent à accuser réception des données lors d'une communication. Il déchiffre les paquets réexpédiés en soustrayant chaque numéro séquentiel du précédent. Il remarque que chaque nouveau numéro initial a augmenté d'un montant très précis de 128000 unités. Il a déverrouillé leur clé.

 

La machine de Shimomura doit rester inactive pour que l'offensive réussisse. Les nouvelles connexions Internet modifieraient le numéro séquentiel initial et rendraient la prédiction de la clé plus difficile. C'est pourquoi le hacker frappe le jour de Noël. Le programme agresseur envoie des paquets qui semblent provenir de l'ordinateur de confiance. L'adresse source ou de retour du paquet correspond à l'adresse Internet dudit ordinateur. En même temps que son numéro séquentiel initial, la station de travail de Shimomura renvoie un paquet à la bécane de confiance. Mais, inondée par la rafale précédente, cette dernière essaie toujours de traiter le trafic antérieur. Elle s'embrouille. Profitant de cette asphyxie, le logiciel d'assaut envoie un faux accusé de réception. Il semble réel car il possède et l'adresse source de la machine de confiance et le bon numéro séquentiel initial. La station de travail de Shimomura se laisse duper. Elle croit communiquer avec un serveur de confiance. A présent, le programme agresseur ordonne à la station obéissante de Shimomura de se fier à tout le monde. Il lance la simple commande UNIX echo pour enjoindre l'ordinateur de Shimomura à se fier à tout Internet. A ce moment-là, les fichiers personnels et gouvernementaux de Shimomura sont ouverts à la planète entière.

 

Il s'agit de bien autre chose que d'une simple humiliation visant l'expert en sécurité. En rendant la machine de Shimomura accessible depuis tous les sites Internet, l'intrus a masqué son propre emplacement. Il peut reparaître de n'importe où.

 

Le hacker n'en revient pas de sa bonne fortune. L'attaque réussit uniquement parce que Shimomura n'a pas désactivé les commandes R, trois instructions élémentaires qui permettent aux utilisateurs de se connecter à distance ou d'exécuter des programmes sans mot de passe. Des dizaines de milliers de sites Internet conscients des problèmes de sûreté, ce qui représente bien plus d'un million d'abonnés, ont pour habitude de bloquer l'accès aux commandes R afin d'éviter l'abus bien connu qu'en font les hackers. Il suffit de taper sur quelques touches pendant une trentaine de secondes pour couper les instructions R d'un serveur Internet. Il n'est même pas nécessaire d'éteindre la bécane.

 

Pourquoi Shimomura ne l'a-t-il pas fait?

 

 

 

--------------------------------------------------------------------------------

 

 

Mitnick rit:

 

-- Il [Shimomura] n'est pas content. Je n'y suis pour rien. Je vous raconte juste ce que m'a appris le téléphone arabe.

 

-- A votre avis, qui ça peut être? demandé-je au suspect probable. Comment l'a-t-il découvert?

 

-- Il [Shimomura] s'est aperçu qu'on avait altéré son journal des connexions enroulé, qui montre tous les appels reçus. Quelqu'un a carrément modifié ces enregistrements, alors il a pu reconstituer ce qui s'était passé en examinant les fichiers qui avaient été transférés vers un autre site à l'insu de l'intrus.

 

A ma grande surprise, Mitnick me fait part des éléments que Shimomura a rassemblés pour comprendre l'attaque. Le fichier enroulé est censé contrôler les branchements au serveur de Shimomura et répertorier toutes les tentatives de connexion. Il n'a pu protéger Shimomura mais a quand même consigné la liaison contrefaite du hacker, et une copie du fichier a été expédiée hors du site par E-Mail.

 

-- Vous me demandiez s'il existe un site de courrier électronique qui soit protégé? poursuit Mitnick, la voix soudain dure. Ma réponse est non. J'estime que ce gars est ce qui se fait de mieux en matière de sécurité sur l'ensemble d'Internet. Il enfonce de loin des gens comme Neil Clift. J'ai beaucoup de respect pour ce type. Passeque j'en sais beaucoup sur lui. Il ignore tout de moi, j'espère, mais c'est un bon.

Sur Internet, c'est l'un des meilleurs au monde.

 

-- Alors, si ce gars n'est pas inviolable, qu'est-ce que ça implique? demandé-je.

 

-- Chais pas. Revenez aux systèmes manuels, plaisante Mitnick. Au lieu d'Excel, vous devriez retourner au papier-crayon.

 

 

 

--------------------------------------------------------------------------------

 

 

Mitnick ne souhaite plus discuter de l'assaut donné à Shimomura, mais il veut bien me parler de la fille qu'il a rencontrée dans un relais routier la nuit dernière.

 

-- En fait, je me suis assis. La première chose que cette fille m'a demandé, c'est: "Oh! je peux utiliser votre téléphone?" Je fais: "Non, mais vous pouvez bavarder avec moi." Elle avait cette espèce d'anneau dans le nez. Je ne trouve pas ça excitant. Mais bon, c'est la nouvelle génération. Je suppose que je suis trop vieux maintenant.

 

-- C'est peut-être le cas.

 

-- Je ne me sens pas vieux. J'ai toujours l'impression d'avoir dix-sept ou dix-huit ans. Pas trente.

 

-- Bon, je me suis procuré l'article dont vous m'avez parlé. Cyberflic.

 

-- "Armé d'ordinateurs portables et de modems", raille Mitnick en faisant semblant de citer le papier. Qu'est-ce qu'ils vont faire? Remonter les lignes? C'est ridicule! Ça devrait être un film. Vous savez, Cyberflic (...) Au moins, ils n'ont pas écrit grand chose sur moi, mais je n'ai pas aimé.

 

-- Ils ont omis le nom de beaucoup de gens, mais ils ont décidé de donner le vôtre.

 

-- Vous voyez, c'est ça qui m'emmerde. Pourquoi ils n'ont pas au moins mentionné Poulsen? Tout le monde dit qu'il m'enfonce, alors qu'ils parlent de lui!

 

-- Ou de votre autre ami, Justin.

 

-- Ouais. Ce connard [Justin Petersen] se sert d'un ordinateur pour tenter de souffler l'argent d'une banque et c'est comme si c'était un mec cool. C'est peut-être c'que j'aurais dû faire, me lancer dans ce genre d'entreprise.

Si on fait ça pour le plaisir et qu'on n'en retire rien, ça fait les gros titres, je suppose.

 

Mitnick pousse un soupir.

 

-- Qui sait? J'ai l'impression que j'ai marché sur les pieds de la mauvaise personne et que certains ont un compte personnel à régler avec moi. Ils vont faire tout ce qui est en leur pouvoir pour mettre mon nom sous les projecteurs passequ'ils veulent me faire du mal.

Faut que j'vous laisse passequ'il faut que j'aille à l'aéroport, dit hâtivement Mitnick.

 

Mitnick va prendre l'avion? Est-ce la vérité ou s'agit-il d'une nouvelle épreuve pour voir si je vais prévenir les fédés, si ce petit détail resurgira un peu plus tard par une des bretelles de son autoroute de l'information?

 

-- Vous allez rester en l'air une heure ou...

 

-- Je ne peux pas vous dire où je vais ni combien de temps mon vol va durer.

 

-- Plus de dix minutes?

 

-- J'espère bien!

 

-- Économie ou première classe?

 

-- Économie. Enfin, la plupart du temps. Je n'aime pas l'avion.

 

-- Vous prenez des précautions?

 

-- Ouais, j'emmène un putain de parachute! rétorque Mitnick. Quelles précautions voulez-vous que je prenne? Ouais. Là, j'ai mon coussin flottant. Comme ça, quand on se crashera à Pittsburgh, je pourrais flotter sur leur lac à la con, dit-il d'un ton sarcastique. Il n'y a pas rien qu'on puisse faire. En gros, on dit au pilote: "Je vous confie ma vie!"

 

-- Non. Ce que je voulais dire, c'est que vous m'avez dit un jour que vous restiez à l'écart des grands aéroports, comme JFK.

 

-- Ben, c'est pas tout à fait vrai. Je plaisantais, c'est tout. Parce que c'est infaisable. A cause de mon travail -- je suis obligé de voyager, et je ne peux pas dire à mon patron: "Euh, il m'est impossible d'utiliser les plus gros aéroports parce qu'on risque de me reconnaître." (...)

 

 

 

--------------------------------------------------------------------------------

 

 

Mitnick raccroche quelques minutes plus tard, et je m'assieds à mon bureau, abasourdi par ses révélations. Mitnick semblait comme pris de vertige. Et pourquoi pas? Son ennemi a été humilié en public, piqué au vif par une offensive nouvelle et sophistiquée. C'est un peu comme si le professeur Moriarty avait frappé Sherlock Holmes.

 

Juste après Noël, quand Mitnick m'a interrogé sur mon article pour Playboy, il m'a averti que Markoff et Shimomura comploteraient sa capture. Mitnick a-t-il choisi de porter une attaque préventive? Et dans ce cas, quelle était la récompense? Quels secrets la machine du hacker de la NSA contenait-elle qui puissent à présent figurer dans le sac à malice de Kevin Mitnick?