Évidemment, sous nos latitudes, les pirates déçoivent un
peu. Pas une tête de mort à l’horizon. Les trois jeunes hommes en
costume-cravate qui se serraient, mardi après-midi, sur le banc des prévenus de
la 13e chambre du tribunal correctionnel de Paris semblaient bien inoffensifs.
Accusés de divulgation de données personnelles, ils encouraient tout de même
jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende.
Deux ans d’enquête des renseignements français ont été nécessaires pour que ces trois-là se retrouvent sur le banc des prévenus. L’enquête de la DCRI avait été grandement facilitée par la publication des coordonnées de 4 100 hackers suite à une querelle entre hacktivistes. Deux des prévenus figuraient sur cette liste, le troisième avait été retrouvé grâce à l’adresse IP de son ordinateur, domiciliée chez ses parents. « En matière cyber, on interpelle peu, rappelle le procureur, qui ne lésine pas sur les qualificatifs. Ce ne sont pas des pieds nickelés, ce sont de vrais pirates informatiques. Même s’ils n’ont pas d’arme et n’ont pas commis de préjudice corporel, ce sont des gens dangereux. »
Les faits remontent à janvier 2012. La justice américaine vient de fermer le site
de partage de fichiers Megaupload et, en France, trois internautes ont été
interpellés pour avoir bloqué le site Internet d’EDF, quelques mois après la
catastrophe nucléaire de Fukushima. En représailles, des hackers organisent une
série d’attaques. Les sites gouvernementaux immigration.gouv.fr et
modernisation.gouv.fr sont «
défigurés » :
en lieu et place de la page d’accueil apparaît un texte des Anonymous sur « l’échange
libre de biens culturels ». Plus grave : le 28 janvier, les coordonnées (nom, prénom,
adresses mails et numéros de téléphone) de 541 adhérents du syndicat SGPFO
police sont rendues publiques.
Deux ans d’enquête des renseignements français ont été nécessaires pour que ces trois-là se retrouvent sur le banc des prévenus. L’enquête de la DCRI avait été grandement facilitée par la publication des coordonnées de 4 100 hackers suite à une querelle entre hacktivistes. Deux des prévenus figuraient sur cette liste, le troisième avait été retrouvé grâce à l’adresse IP de son ordinateur, domiciliée chez ses parents. « En matière cyber, on interpelle peu, rappelle le procureur, qui ne lésine pas sur les qualificatifs. Ce ne sont pas des pieds nickelés, ce sont de vrais pirates informatiques. Même s’ils n’ont pas d’arme et n’ont pas commis de préjudice corporel, ce sont des gens dangereux. »
À la barre, Quentin, 22 ans, alias Sunki, lunettes carrées
et léger duvet en guise de moustache, explique doctement comment il a trouvé la
« faille » sur le site du
syndicat policier.
– Vous avez tapé « police » dans Google ?, l’apostrophe Me Daniel Merchat, l’avocat des policiers.– Non, j’ai tapé « inurl:=?.php ».– ... D’accord, soupire la présidente du tribunal.
Sur les bancs du public, on se gausse. Cette formule magique
a permis à Quentin de « faire
remonter les sites avec des failles
». Celui du SGPFO arrive en premier. À l’été 2011, le jeune hacker prévient le
webmaster du site et lui « explique comment le réparer ».
– Il n’en a pas tenu compte?, s’étonne la présidente.– Visiblement non.– Et donc vous décidez de rendre publique l’existence de cette faille ?– Oui. Il y avait sept failles que je connaissais et que j’ai partagées.
« Chronologiquement,
Quentin est d’abord un lanceur d’alerte, souligne son avocat, Me Matthieu
Hy. Dans quelques mois, ça lui vaudra une exemption de peine. » La loi Sapin 2, débattue en
avril prochain à l’Assemblée, prévoit en effet une protection pour ces lanceurs
d’alerte d’un nouveau type.
En janvier
2012, au moment des « représailles », le jeune homme n’a pas lui-même
mis en ligne les données, mais expliqué à un autre hacker comment le faire.
Blondinet avec petite barbe branchée, Florent, alias Robert69, ingénieur
télécom de 27 ans, est lui poursuivi pour avoir pris des captures d’écran des
sites défigurés. Quant à Lucas, alias Calin, informaticien de 27 ans, il se dit
« incapable » de tels
piratages. Il avait annoncé sur Twitter « Amis journalistes, vous allez
entendre parler de nos ennemis policiers ».
– Pourquoi avoir ciblé la police ?, insiste la présidente.Silences gênés.– La police représentait une image, le syndicat n’était pas visé pour lui-même, tente Quentin.
Stratégie de défense ou conscience politique limitée ? Les trois prévenus ont bien du
mal à donner un peu de contenu à leurs actions. À l’époque, tous se
réclament de la mouvance Anonymous, un rassemblement hétéroclite entre
hacktivistes libertaires et adolescents en mal de sensations. « Tout le monde peut être un
Anonymous, explique Quentin. Il n’y a pas de structure. On défend la liberté d’expression
et la liberté de manière générale.
»
– Je ne comprends pas la nécessité d’être anonyme, attaque Me Merchat. Quand Émile Zola défend les libertés, il le fait à visage découvert et ça lui coûte cher. Pourquoi vous cacher derrière ce masque?– On a grandi avec la technologie. On manifeste de façon virtuelle. On ne se cache pas. La preuve aujourd’hui, je suis là à visage découvert devant vous.– Vous ne pourriez pas faire autrement !, s’amuse la présidente.
Le procureur, lui, ne prend pas du tout cette affaire à la
légère. « Cette procédure
a occasionné un coût : l’enquête et la remise en état des sites. » Est-ce pour la
rentabiliser qu’il exige du tribunal un jugement « sévère » ? Il requiert un an de prison
avec sursis et 5 000 euros d’amende pour chacun des prévenus. « Ce qui me semble inadmissible
dans cette histoire, explique le représentant du parquet, ce sont les 541
données personnelles livrées au public. Que se serait-il passé si ces faits
avaient été commis à l’aune des attentats de novembre 2015 ? »
Pour la centaine de policiers qui se sont constitués partie
civile, Me Merchat énumère les préjudices : une vingtaine ont subi des appels et courriels
malveillants, certains se sont même vu proposer des abonnements à des
revues pornos, « c’est
gênant ».
Me
Merchat, qui ne craint pas les dérapages, se lance : « Sous couvert de vocabulaire
informatique, ces trois-là on fait ce que font souvent ceux qui habitent dans
des caravanes :
entrer chez les gens, se servir et revendre après. » Au total, les policiers
réclament plus de 73 000 euros de dommages et intérêts. Et l’État 21 600 euros pour la remise en état
des sites.
« Excessif ! » répondent en chœur les
avocats de la défense, qui rappellent que les faits datent et que, depuis,
leurs clients ont évolué. Après avoir obtenu une licence professionnelle de
cyberdéfense et anti-intrusion des systèmes d’information, Quentin travaille
aujourd’hui pour Google à Dublin. Lucas est sorti il y a quelques mois major de
sa promotion de l’école 42, une école informatique gratuite sans condition de
diplôme fondée par Xavier Niel (fondateur de Free et actionnaire à titre
personnel du journal le Monde).
Pour Me Matthieu Hy, avocat de Quentin, « les convictions politiques
exprimées aujourd’hui avec un peu de maladresses expliquent le mobile. Eux ont
compris ce que les plus de 20 ans ne comprennent pas : le prochain Jean Moulin sera
un geek !
Ils se sont quelque peu embourgeoisés depuis, mais l’histoire leur donne déjà
raison.
Le
Parlement européen a rejeté le traité Acta à 92 % parce qu’il organise
l’échange des données personnelles ».
« Il
faut dédramatiser tout ça, conclut l’avocate de Lucas, Me Anne-Sophie
Laguens. Je vous rappelle que le pseudo de mon client est Calin, son adresse
mail Gros nounours bleu et son adresse IP chez sa mère. » Jugement le 22 mars.
Aucun commentaire:
Enregistrer un commentaire