Le nid du coucou

1. Une erreur comptable insignifiante révèle une faille majeure

Mais les erreurs dans la colonne des centimes proviennent de problèmes profondément enfouis, si bien que détecter ces anomalies est un véritable test pour un novice en informatique.

L’enquête commence. Cliff Stoll, astronome récemment affecté au Laboratoire Lawrence Berkeley (LBL), se voit confier la tâche de retrouver une différence de 75 cents dans les journaux comptables du système informatique. Ce qui semble être un simple bug prend rapidement de l’ampleur lorsqu’il découvre que le temps manquant correspond à un compte utilisateur non autorisé. Cette petite anomalie est le premier fil tiré dans une toile complexe d’intrusions.

Les premiers indices apparaissent. Le compte non autorisé, d’abord écarté comme une erreur d’opérateur, réapparaît lié à une tentative d’intrusion signalée par un système distant nommé Dockmaster. L’enquête révèle que ce compte appartient à un ancien employé, Joe Sventek, connu pour être à l’étranger. Cela confirme la présence d’un intrus externe.

Soupçon d’un hacker. L’association de l’erreur comptable, du compte non autorisé et de la tentative d’intrusion externe conduit Cliff à suspecter qu’un hacker a compromis le système. Cette prise de conscience fait basculer l’enquête d’une simple correction comptable vers une investigation complète de sécurité, motivée par la curiosité et un sens grandissant des responsabilités.

2. Le hacker exploite des vulnérabilités simples et répandues

Il ne faut ni génie ni magie pour pénétrer dans un système informatique. Juste de la patience.

Exploitation de failles connues. Le hacker ne s’appuie pas sur des exploits sophistiqués ou inconnus. Il profite plutôt de vulnérabilités communes, facilement détectables, que les administrateurs système négligent souvent. Ses méthodes principales incluent :

• L’utilisation de mots de passe par défaut ou faciles à deviner (par exemple « guest », « system », « service »).
• L’exploitation de bugs connus dans des logiciels largement utilisés (comme une faille dans l’éditeur Gnu-Emacs permettant une élévation de privilèges).
• Le recours à des systèmes mal configurés où les comptes par défaut disposent de privilèges excessifs (comme les comptes UUCP).

La patience plutôt que le talent. Le succès du hacker repose sur une persévérance méthodique plutôt que sur un génie technique. Il teste patiemment des noms de comptes et mots de passe courants, et sonde systématiquement les vulnérabilités connues sur de nombreux systèmes. Cela souligne que l’hygiène de sécurité basique est souvent négligée, laissant les systèmes vulnérables même à des attaques peu sophistiquées.

Une insécurité généralisée. L’enquête révèle que de nombreux systèmes informatiques, y compris ceux des sites militaires et des sous-traitants de la défense, souffrent de ces faiblesses fondamentales. Les administrateurs privilégient souvent la facilité d’utilisation ou ignorent les risques, ouvrant ainsi grandes les portes aux intrus prêts à chercher.

3. Les réseaux créent un paysage global et interconnecté

Internet : une autoroute électronique reliant des centaines de milliers d’ordinateurs à travers le monde.

Vaste et complexe. L’enquête dépasse rapidement le réseau local du LBL pour s’étendre à Internet, un ensemble tentaculaire de réseaux interconnectés, incluant le réseau militaire Milnet. Ce vaste paysage permet au hacker de se déplacer entre systèmes à travers le pays, puis à l’échelle mondiale.

Des tremplins et des chemins. Le hacker utilise les systèmes compromis comme tremplins pour atteindre d’autres cibles. En pénétrant un ordinateur, il accède à ses connexions réseau et découvre potentiellement des mots de passe ou des informations sur d’autres systèmes, créant ainsi une chaîne d’intrusions à travers le réseau. Par exemple, il passe du LBL au dépôt militaire d’Anniston, puis utilise Mitre pour composer vers divers sites.

Anonymat et portée. La complexité et la portée mondiale des réseaux offrent au hacker un anonymat qui rend difficile la traçabilité de son origine. Il peut entrer dans le réseau depuis un lieu (par exemple l’Allemagne), passer par plusieurs systèmes intermédiaires (Tymnet, LBL, Mitre), et attaquer une cible à des milliers de kilomètres (comme le Commandement spatial de l’Armée de l’air ou Fort Buckner au Japon), masquant ainsi sa véritable localisation.

4. La bureaucratie et la juridiction freinent la réponse efficace

Chaque agence semblait avoir une bonne raison de ne rien faire.

Absence de responsabilité claire. Cliff tente de signaler l’intrusion à diverses agences gouvernementales américaines, dont le FBI, la CIA, la NSA et le Département de l’Énergie. Au départ, la plupart rechignent à s’impliquer, invoquant un manque de juridiction claire, des pertes financières insuffisantes ou l’absence de compromission de données classifiées.

« Ce n’est pas mon domaine. » Un thème récurrent est le renvoi de responsabilité d’une agence à une autre. Le FBI considère cela comme un problème local ou un dommage insuffisant pour une intervention fédérale. La CIA et la NSA, focalisées sur le renseignement étranger et la sécurité nationale, ne voient initialement aucune preuve d’espionnage. Cette inertie bureaucratique permet au hacker d’opérer sans entrave pendant des mois.

Friction inter-agences. Même lorsque les agences s’intéressent au dossier, la communication et la coopération restent difficiles. Le FBI peine à coordonner avec les autorités allemandes, et des tensions ou un manque de confiance apparaissent entre différentes entités américaines de renseignement et de police. Cliff se retrouve souvent en rôle de liaison officieux, transmettant des informations entre des parties réticentes.

5. Les méthodes non conventionnelles sont essentielles pour la traque

S’ils ne veulent pas faire tracer un appel par les Allemands, il faut trouver une autre solution.

Surveillance créative. Faute de ressources officielles et confronté à la bureaucratie, Cliff développe ses propres méthodes pour suivre le hacker. Il utilise des imprimantes pour enregistrer les frappes clavier, installe des alarmes sur certains comptes, et se sert d’un bippeur pour être alerté instantanément de l’activité du hacker.

Exploiter le comportement du hacker. Cliff retourne contre lui les habitudes prévisibles du hacker. En mesurant les échos réseau lors des transferts de fichiers, il estime la distance du hacker. Il analyse les heures de connexion pour déduire sa localisation et ses habitudes de travail. Il emploie même des méthodes physiques, comme faire tinter des clés sur les lignes téléphoniques, pour perturber les sessions du hacker sans éveiller ses soupçons.

Le piège « Opération Douchette ». La tactique la plus ingénieuse consiste à créer de faux documents sensibles sur un fictif « Réseau IDS » et à les laisser en appât. Cela incite le hacker à passer plus de temps sur le système du LBL, offrant la durée nécessaire pour effectuer des traces téléphoniques. La lettre ultérieure du hacker demandant ces documents fournit un lien matériel crucial.

6. L’espionnage, pas seulement le vandalisme, est le mobile

Ce hacker était un espion.

Ciblage militaire et défense. L’attention constante du hacker sur les ordinateurs militaires, les sous-traitants de la défense (Mitre, TRW, Unisys, BBN) et les bases de données sensibles (Pentagone Optimis, Commandement spatial de l’Armée de l’air, Centre des systèmes côtiers de la Marine) suggère fortement un mobile dépassant la simple malveillance ou le défi intellectuel. Il recherche spécifiquement des mots-clés comme « IDS », « nucléaire », « furtif » et des acronymes militaires.

Vol systématique de données. Le hacker ne se contente pas de pénétrer les systèmes ; il copie méthodiquement des fichiers, y compris des fichiers de mots de passe et des documents relatifs à des plans militaires, des technologies et de la logistique. Son approche méthodique et la prise de notes détaillées (déduites de ses actions) indiquent qu’il collecte des informations dans un but précis.

Le lien avec Pittsburgh. La lettre de Laszlo Balogh à Pittsburgh, demandant les faux documents IDS, établit un lien matériel avec une personne intéressée par les informations volées. Bien que le hacker soit localisé en Allemagne, cette lettre suggère que les données sont transmises à des individus ou entités aux États-Unis, évoquant un réseau d’espionnage plutôt qu’un simple vandale isolé.

7. La coopération internationale s’avère difficile

Il vous faut un mandat de perquisition allemand.

Obstacles juridiques. La traque du hacker à travers les frontières internationales soulève des défis juridiques complexes. Les mandats américains ne sont pas valables en Allemagne, nécessitant une coordination entre les forces de l’ordre et les systèmes judiciaires des deux pays. Obtenir les mandats allemands requis s’avère difficile et long.

Pannes de communication. Malgré la bonne volonté de certains acteurs (comme Steve White chez Tymnet et Wolfgang Hoffman à la Bundespost), les canaux officiels entre agences américaines (notamment le FBI) et leurs homologues allemands sont lents et inefficaces. Les messages sont retardés ou perdus, freinant l’avancée de l’enquête et frustrant les intervenants.

Priorités et lois divergentes. Le droit allemand considère initialement le hacking comme moins grave que le droit américain, compliquant les perspectives d’extradition. Les différences de priorités et de procédures entre pays exigent un effort constant pour maintenir l’élan et assurer la coopération, illustrant les difficultés à poursuivre la cybercriminalité au-delà des frontières.

8. Le hacker est localisé à travers les continents

Votre hacker vient de l’étranger ?

Suivre les indices numériques. Grâce à une surveillance persistante et à la collaboration avec des fournisseurs de réseau comme Tymnet et ITT, Cliff et Steve White parviennent à tracer la connexion du hacker au-delà des frontières américaines. Les premières traces réseau indiquent un opérateur international.

Préciser l’origine. Des investigations plus poussées via des réseaux internationaux, notamment le réseau allemand Datex, permettent de restreindre l’origine du hacker. L’adresse réseau identifie le point de connexion en Allemagne de l’Ouest.

Cibler la localisation. Des traces ultérieures, coordonnées avec la Bundespost allemande, localisent la connexion du hacker dans des villes spécifiques d’Allemagne, d’abord Brême puis Hanovre. Les traces se resserrent finalement sur un port d’accès public à Hanovre, puis sur un numéro de téléphone et une personne précise.

9. La sécurité exige vigilance constante et mises à jour

Les enfants du cordonnier courent pieds nus.

Les bases négligées. L’enquête révèle que de nombreux systèmes, même ceux gérés par des sous-traitants de la défense spécialisés en sécurité, échouent aux pratiques élémentaires de sécurité. Cela inclut l’usage de mots de passe par défaut, l’absence de correctifs sur des vulnérabilités logicielles connues, et le manque de surveillance des journaux d’audit.

Vulnérabilités connues persistantes. Des failles comme le bug move-mail de Gnu-Emacs et les mots de passe VMS par défaut restent non corrigés sur de nombreux systèmes pendant de longues périodes, les exposant à des attaques répétées du hacker. Même après notification, certains sites réagissent lentement ou de manière inefficace.

L’élément humain. Au-delà des failles techniques, les erreurs humaines contribuent largement à l’insécurité. Les utilisateurs choisissent des mots de passe faibles, les partagent inappropriément ou les stockent en lieu peu sûr. Les administrateurs système manquent parfois de connaissances ou de ressources pour sécuriser correctement des systèmes complexes.

10. La confiance est le fondement fragile des réseaux ouverts

Ce salaud sape la confiance qui unit notre communauté.

Ouverture versus sécurité. Les communautés scientifique et académique valorisent l’accès libre et l’échange gratuit d’informations, facilités par des réseaux interconnectés. Cependant, cette ouverture rend les systèmes vulnérables aux acteurs malveillants qui exploitent la confiance.

Érosion de la communauté. Les actions du hacker, bien qu’elles ne causent pas toujours de dommages matériels, minent le sentiment de confiance au sein de la communauté en réseau. Les administrateurs deviennent plus méfiants, les utilisateurs s’inquiètent pour leur vie privée, et la libre circulation de l’information est menacée par des mesures de sécurité renforcées.

Le coût de l’insécurité. Le véritable coût du hacking dépasse les données volées ou le temps machine perdu. Il inclut le temps et les ressources consacrés à l’enquête et aux correctifs, la perturbation des opérations, et l’impact à long terme sur l’esprit collaboratif qui a construit et soutient les réseaux.

11. Le hacker est identifié et arrêté

Après tout ce temps, mon coucou s’appelle Markus Hess.

Accumulation de preuves. Après des mois de surveillance minutieuse, de traçage et d’analyse, Cliff rassemble des preuves accablantes des activités, méthodes et origines du hacker. Cela comprend des milliers de pages imprimées, des données de traces réseau, et la lettre cruciale de Pittsburgh.

Le filet se resserre. Les efforts conjoints du LBL, de Tymnet, de la Bundespost, puis du FBI et de la police allemande, restreignent la recherche à un individu précis à Hanovre. Les autorités allemandes préparent une arrestation, en coordination avec les officiels américains.

Arrestation et identification. Sur la base des preuves et des traces réussies, la police allemande perquisitionne un appartement et une entreprise à Hanovre, saisissant du matériel informatique et des documents. L’individu identifié est Markus Hess. Si l’étendue complète et les motivations (y compris le lien avec Pittsburgh) restent à approfondir dans le cadre d’enquêtes et procédures judiciaires, le principal hacker est appréhendé.