Le monde interlope du hacking

Après avoir acquis un bon socle de connaissances techniques en matière d'exploitation des failles diverses et variées en se classant dans le Top 100 de Root Me, pourquoi ne pas continuer cette exploration de l'univers du hacking par une série de lectures sur ceux qui le peuplent, à commencer par ceux qui sont présentés ou qui se présentent comme des hackers ? Après tout, il est toujours bon d'en savoir sur là où l'on met les pieds.
Quelques recherches sur le Ouèbe permettent d'identifier rapidement nombre de livres, d'articles, de podcasts et autres vidéos recommandés pour acquérir quelques repères, et même une vraie connaissance de ce monde-là. Reste à faire le tri pour savoir à quoi il convient de consacrer un temps précieux... La sélection suivante résulte de ces lectures, écoutes et visionnages durant deux mois d'été. Elle sera enrichie au fil des découvertes faites par la suite.
Livres sur le hacking
S'agissant d'une sélection, je me contente de préciser sur quoi porte la source que je recommande, sans préciser pourquoi je la recommande : si elle a été sélectionnée, c'est qu'elle est recommandée ! Et qu'on ne se méprenne pas, aucune de ces sources n'est exclusive d'une autre. Autrement dit, il faut les lire, écouter et regarder toutes !
Mise à jour du 02/03/2023 : Lecture faite de Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers et Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency d'Andy Greenberg - un journaliste, mais un vrai, donc pas français -, dont je n'ai pas encore fait ici la revue, je recommanderais plutôt la lecture de ces deux excellents ouvrages que celui de Nicole Perlroth, qui m'avait bien plu avant que je ne les découvre, mais qui m'apparaît rétrospectivement comme trop emprunter au premier ainsi qu'à l'ouvrage de Fred Kaplan, dont j'ai fait ici la revue, sans apporter grand-chose de nouveau...
Mise à jour du 07/09/2022 : Ajout d'une présentation de Dark Territory: The Secret History of Cyber War par Fred Kaplan (2016).

Les livres

J'ai classé ces livres dans l'ordre selon lequel il me semble le plus opportun de les lire.
The Dark Net: Inside the Digital Underworld par Jamie Bartlett (2014)
The Dark Net
Comme le dit l'excellent Saul Goodman, "the world is a rich tapistery". Faut-il le suivre quand il rajoute que "you don't want to see it" ? Jamie Bartlett a décidé qu'au contraire, il serait intéressant d'explorer en détail les aspects les plus exotiques du Net : les trolls, les suprémacistes, les libertariens, les pédophiles, les dealers, les camgirls, les pro-anas. Chaque fois, il retrace ce qu'il est possible de dire de l'histoire de la présence en ligne, et part à la rencontre d'un de ses acteurs pour comprendre comment cette personne est rentrée là-dedans, et pourquoi éventuellement elle y reste. La démarche est donc assez sociologique - en tout cas, très compréhensive et compréhensible -, sans jamais avoir toutefois la lourdeur d'un travail académique ; on dira que Jamie Bartlett invite le lecteur à faire comme du tourisme sur la face cachée du Ouèbe.
Ghost in the Wires: My Adventures as the World's Most Wanted Hacker par Kevin Mitnick (2011)
Ghost in the Wires
On ne présente plus Kevin Mitnick, ne serait-ce qu'avec ce livre devenu notoire, il a pris le soin de le faire lui-même : à l'époque, the World's Most Wanted Hacker. Il s'agit donc d'une biographie du célèbre hacker par lui-même, de sa naissance à sa rédemption, soit jusqu'à la fin de la première décennie de notre siècle - cette formule pour rappeler comme le temps peut vite passer dans le cyberspace. Quand bien même il continue d'exister, Kevin Mitnick, c'est donc de l'histoire ancienne, celle des premiers temps du phreaking, cet art de pénétrer les systèmes des opérateurs de télécommunications, en s'appuyant non seulement sur l'exploitation de failles dans les matériels et les logiciels, mais aussi sur le social engineering : mystifier les personnes pour leur soutirer des informations à cette fin, notamment des mots de passe. En cette matière, le bonhomme s'est assurément révélé un maître de l'art. Si les détails sociaux et techniques n'ont plus qu'un intérêt archéologique, le livre se dévore comme un roman d'espionnage, où l'on suit le bonhomme qui file sans cesse entre les doigts du FBI qui désespèrent de pouvoir mettre un jour le grapin dessus, jusqu'à ce que... Au-delà, le parcours de Kevin Mitnick témoigne d'une période particulièrement rugueuse d'affrontement entre les hackers et les autorités durant laquelle les parties ont cherché à tracer une ligne de partage entre le bien et le mal. Cela n'interdit donc pas de s'interroger sur l'ambiguïté du personnage, cette biographie par lui-même relevant finalement assez de l'hagiographie tant Kevin Mitnick se peint complaisement en martyr sans jamais afficher une claire conscience des conséquences de ses actes pour autrui. Bah! “addicted” to hacking, comme il rapporte qu'un thérapeute l'avait diagnostiqué. On sait quelle confiance accorder aux junkies...
Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World par Joseph Menn (2019)
Cult of the Dead Cow
Cult of the dead Cow (cDc) est un petit groupe formé dans les années 80 par une poignée d'ados inspirés par les aspirations libertariennes inhérentes au monde du hacking. Présent sur les bulletin boards (BBS), le groupe s'est fait connaître en publiant des textes abordant des sujets afférents avant d'évoluer vers une pratique militante du hacking - c'est Misha, un de ses membres, que Joseph Menn crédite d'avoir inventé le terme hacktivism. C'est surtout à cette occasion que cDc est rentré dans l'histoire du hacking, organisant HoHoCon au début des années 90, la première conférence de hackers ouverte sur le mode d'une joyeuse provocation aux autorités et journalistes, ce qui n'était pas anodin dans une période de lutte ouverte entre Legion of Doom et Masters of Deception, et de répression aveugle par le FBI (cf. The Hacker Crackdown). Par la suite, la contribution la plus marquante du groupe est sans doute sa production de Back Orifice, un client permettant de prendre le contrôle d'un poste sous Windows, et pouvant potentiellement servir de payload à un malware. L'importance de Back Orifice doit être appréciée au regard du contexte, une époque où les éditeurs maudissaient, quand ils ne les ignoraient pas, tous ceux qui dévoilaient les failles de sécurité de leurs logiciels confectionnés sans aucune considération pour cet enjeu. Or tout le point de cDc a été de faire bouger les lignes en blâmant publiquement les éditeurs, en premier lieu Microsoft - "Microsoft is evil because they sell crap". Soigneusement annoncé pour recueillir un écho dans la presse, et mis à disposition de tous à l'occasion de la Def Con de 1998, Back Orifice a provoqué un séisme en permettant au tout venant de saisir l'enjeu : "the contrast between what Microsoft was saying and what the more articulate hackers were saying was jarring, and it forced many people to think harder about serious issues for the first time", explique l'auteur, même si ce n'est que bien plus tard que Microsoft se saisit enfin de la question.
NB : Pour celui qui a vécu cette période sur le vieux continent, il est amusant de constater que des groupes d'ados ont aussi laissé leur empreinte numérique, mais dans un registre assez différent, celui des demomaking, et que la communication de textes y a plutôt pris la forme d'un échange de diskmags, comme je l'ai rappelé ici.
The Hacker Crackdown: Law and Disorder on the Electronic Frontier par Bruce Sterling (1992)
The Hacker Crackdown
A la charnière des années 80 et 90, les autorités américaines ont conduit une série d'actions contre les hackers, culminant avec Operation Sundevil. A cette occasion, une série de perquisitions, saisies et arrestations ont été menées sur le territoire. Ces dernières ont tôt fait d'être dénoncées comme une réponse disproportionnée à une menace surestimée, pour ne pas dire l'expression d'un pouvoir arbitraire n'hésitant pas à inventer les faits - en particulier, l'entreprise du célèbre auteur de jeux de rôles Steve Jackson (*) fera faillite suite à la saisie de ses ordinateurs pour un motif abracadabrantesque. L'auteur détaille la mécanique à l'oeuvre dans les deux camps. Si l'on est ainsi bien naturellement renseigné sur le monde des phreakers et sur la naissance de l'Electronic Frontier Foundation (EFF) qui entreprendra d'en défendre, on l'est tout autant sur celui des autorités impliquées, dont le très discret USSS (United States Secret Service) et les procureurs inversement en quête de battage médiatique. En plus de donner accès aux faits, Bruce Sterling permet ainsi de bien les comprendre : somme toute, sur quel terrain juridique s'est déroulé l'affrontement entre hackers et autorités, et en quoi était-il nécessaire et a-t-il été possible de faire bouger les lignes ?
(*) A ne pas confondre avec son homonyme britannique, co-fondateur de Games Workshop et prolifique auteur d'excellents Livres dont vous êtes les héros (LDVELH pour les intimes), quand bien même il a lui aussi commis certains de ces livres, mais certainement pas des plus fameux : Le marais aux scorpions, Le démon des profondeurs, et La grande menace des robots. Ah! quand je n'avais pas d'ordinateur... C'était la minute nostalgie de cet article un peu aride.
We Are Anonymous: Inside the Hacker World of LulzSec, Anonymous, and the Global Cyber Insurgency par Parmy Olson (2013)
We Are Anonymous
Anonymous peine à être défini : un groupe ? un mouvement ? une idée ? Qui se cachait derrière la devise martelée par ceux qui s'en sont revendiqués au fil d'opérations de defacing> (défigurer un site Web), de denial-of-service (interdire l'accès à un site Web en le saturant de requêtes), de doxing (dévoiler l'identité d'un internaute), et de vols et diffusion de données qui ont fait les gros titres au début du siècle ? : "We are anonymous / We are Legion / We do not forgive / We do not forget / Expect us." ? Dans cette chronique d'une décennie des temps anonymes, Parmy Olson reprend l'histoire depuis le début pour éclairer notre lanterne, des origines sur le channel random (/b/) de 4chan.net à la chute d'un tout petit groupe auto-proclamé d'anonymes nommé LulzSec. Le parcours de ses principaux membres donne à voir un monde d'ados que rien n'arrête dès lors que l'occasion se présente d'agir pour le lulz - comprendre foutre la merde. A la base, cet univers apparaît avant tout marqué par sa cruauté, la pratique la plus valorisée étant le life ruin, soit littéralement ruiner l'existence d'un malheureux ado pris à parti pour un motif futile, quand il s'en trouve, son identité étant dévoilée, ses comptes piratés, ses données personnelles diffusées, jusqu'à le contraindre à commettre des actes qui ne font que l'enforcer plus encore dans cet enfer - extorquer des photos de sa nudité est le summum -, car témoignant d'une soumission dont leurs tortionnaires se repaissent. Parmy Olson montre comment, avec le temps, la diffusion d'un arsenal logiciel permettant à tout un chacun de nuire aidant, cette anarchie va donner naissance à une forme de mouvement se revendiquant de certaines normes - les 47 règles d'Internet - qui va prendre pour cible non plus avant tout des individus, mais des organisations, et non plus seulement pour le lulz, mais pour des motifs politiques : la Scientologie parce qu'elle harcèle le diffuseur d'une vidéo de Tom Cruise qui la ridiculise, la RIAA (Recording Industry Association of America) parce qu'elle pourchasse The Pirate Bay, PayPal parce qu'elle entrave le financement de WikiLeaks, etc. Or un petit groupe nommé LulzSec qui va s'en dégager, composés d'ados bien plus versés que les autres dans l'art de pénétrer les systèmes, notamment de Sabu, Kayla et Topiary, va réussir le tour de force de parvenir à sinon contrôler, du moins animer cette mouvance insaisissable - mener la danse semble l'expression la plus adaptée. De manière tout à fait passionnante, l'auteur raconte leurs parcours individuels et collectif jusqu'à leur chute.
L'un des charmes d'Internet est de permettre de trouver des informations complémentaires en quelques cliques. En l'occurence, qui le souhaite pourra mettre un visage sur les trublions de LulzSec en saisissant leurs pseudos sur YouTube. Par exemple, ici un entretien avec Sabu, et un autre avec Topiary.
This Is How They Tell Me the World Ends: The Cyber Weapons Arms Race par Nicole Perlroth (2021)
This Is How They Tell Me the World Ends
Parfois, il ne faut pas se laisser abuser par le titre. Dans le cas présent, alarmiste, il rend bien compte de l'inquiétude qui anime l'auteur - "the world is on the edge of a cyber catastrophe", elle conclut -, mais en ces temps complotistes, il ne fait pas justice à l'épaisseur du travail d'investigation qui l'a suscitée. Journaliste au New York Times, Nicole Perlroth a cherché à y voir plus clair dans le marché des "zero days", ces failles dans les logiciels - et plus généralement, les objets connectés - qui n'ont pas été encore corrigées. A la base, elle rend compte de la manière dont la réticence des éditeurs à admettre leurs lacunes - avant d'en venir à les rémunérer pour les récompenser d'en avoir signalées, Microsoft et autres conspuaient les hackers, voire menaçait de les traîner en justice - a recoupé l'intérêt des agences de renseignement américaines, en premier lieu la NSA, pour les exploiter. D'où l'apparition de tout un marché animé par des brokers interlopes, dont les boutiques de bug bounty ayant pignon sur rue n'ont jamais constitué que la partie émergée de l'iceberg. Si encore tout cela était resté cantonné... Mais dans cette histoire, il y avant et après Snowden, et il y a aussi et surtout avant et après Stuxnet : en montrant au monde que le cyberspace pouvait être surveillé et militarisé, les Etats-Unis ont fait école, tout particulièrement auprès de régimes autoritaires qui ont trouvé là-dedans un moyen particulièrement abordable pour renforcer leurs positions internes et externes, voire les renverser. Ce qui devait arriver, donc arriva : c'est toute l'histoire de la pénétration des systèmes américains par des groupes de hackers soutenus puis organisés par les pires dictatures telles que la Russie, la Chine, ou encore la Corée du Nord - la liste ne se veut malheureusement pas exhaustive... - que Nicole Perlroth rapporte aussi, en critiquant l'indigence d'un pays qu'elle accuse d'avoir fait historiquement le choix absurde de se concentrer sur l'attaque au détriment de la défense en abandonnant le sujet à des experts assez imbus d'eux-mêmes pour croire que leur Frankenstein ne se retournerait jamais contre eux : WannaCry, NotPetya, le kompromat de 2016, etc. Pour finir, il semble qu'après consacré beaucoup d'énergie à miner le terrain chez leurs adversaires, un nouvel équilibre de la terreur se soit établi, où les protagonistes sont plus ou moins en position de provoquer des effondrements systémiques, sur le modèle des attaques à répétition de la Russie sur l'Ukraine. Partant, l'auteur s'interroge : une telle situation est-elle tenable ?
Lecture faite de Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers et Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency d'Andy Greenberg - un journaliste, mais un vrai, donc pas français -, dont je n'ai pas encore fait ici la revue, je recommanderais plutôt la lecture de ces deux excellents ouvrages que celui de Nicole Perlroth, qui m'avait bien plu avant que je ne les découvre, mais qui m'apparaît rétrospectivement comme trop emprunter au premier ainsi qu'à Dark Territory: The Secret History of Cyber War de Fred Kaplan sans apporter grand-chose de nouveau...
Dark Territory: The Secret History of Cyber War par Fred Kaplan (2016)
Dark Territory
Que de chemin accompli depuis WarGames ! Qui est intrigué par la manière dont les Etats-Unis, et avec eux le reste du monde, se sont cybermilitarisés ne peut manquer de lire cet ouvrage. A travers l'histoire des multiples entités dont le renseignement et l'armée américains se sont dotés, Fred Kaplan retrace plus généralement celle de l'élaboration d'une doctrine militaire qui, en 2016 quand il publie ce livre, était encore très loin d'être aboutie. Loin de nous condamner à la lecture qui finirait par être lassante d'une chronologie désincarnée, l'auteur nous fait suivre le parcours très vivant de hommes - et très exceptionnellement des femmes - qui ont entrepris, depuis les premiers temps de la mise en réseau d'ordinateurs, de faire prendre conscience au plus haut sommet de l'Etat américain de la nécessité de se préoccuper de l'enjeu de la sécurité dans le cyberspace. Il en ressort que si les enjeux ont été rapidement établis (*) par ces hommes de l'art, le travail entrepris pour diffuser la bonne parole, même au sein de l'appareil militaire par des gradés, s'est heurté à bien des obstacles, des intérêts politiques fermement ancrés dans toute une bureaucratie (**) et aussi dans toute une industrie. Aussi, tout comme il a fallu que des terroristes précipitent des avions dans des gratte-ciels pour convaincre tout le monde de l'après-Guerre froid de l'existence d'une menace islamiste, il a fallu des attaques - et des simulations d'attaques - tout aussi tonitruantes dans le cyberspace pour faire bouger les lignes. De là à se lamenter face à l'inertie d'un deep state sourd aux menaces pesant sur les citoyens, il n'y aurait qu'un pas, mais le grand intérêt du travail de Fred Kaplan est de fournir un tel luxe de détails - comment diable s'est-il aussi bien documenté ? - qu'il est impossible de procéder à un tel raccourci. En effet, si le renseignement et l'armée américains ont pris du temps pour procéder à un nécessaire aggionarmento, il apparaît que c'est aussi parce que cette évolution a été initiée par des experts très enfermés à la fois dans le secret et dans leur expertise, ce qui n'a pas été sans se retourner contre eux, et plus généralement contre les Etats-Unis qu'ils prétendaient défendre : la NSA n'a-t-elle pas pour le moins écorné pour longtemps la confiance des citoyens dans le renseignement en dissimulant tout ce qu'Edward Snowden a fini par révéler ? Encore n'y a-t-il pas que cela : l'agence n'a-t-elle pas aussi contribué à militariser le cyberspace sans prendre le temps d'organiser la réflexion les conséquences que cela aurait, la doctrine d'engagement en particulier ? Cette question n'est pas la moindre que Fred Kaplan en vient utilement à soulever, en rapportant le déficit de réflexion en cette matière, mais aussi la complexité qu'il peut y avoir à la faire progresser, tant le cyberwarfare est un armement particulier, la moindre des difficultés n'étant pas de tracer la frontière entre l'attaque et la défense.
(*) Fred Kaplan cite deux papiers qui ont fait date, intéressants à lire à ce titre : Security and Privacy in Computer Systems par Willis Ware (1967) pour ce qui concerne les ordinateurs connectés, et Information Terrorism: Can You Trust Your Toaster? par Matt Devost (1996) pour ce qui concerne les objets connectés.
(**) Fred Kaplan ne le fait pas, mais tout sociologue un tant soit peu éduqué ne pourra manquer de voir dans cette histoire un parfait cas d'école pour illustrer les théories sur le fonctionnement de l'Etat en tant qu'organisation, notamment La dynamique de l'Occident de Norbert Elias, et / ou (car ils s'articulent fort bien, même si Michel Crozier n'a jamais à ma connaissance fait référence à son devancier) Le phénomène bureaucratique.
Je me suis intéressé à ce livre, car Nicole Perlroth le cite en bibliographie (cf. This Is How They Tell Me the World Ends). Il s'avère que sa lecture s'impose pour compléter ce que celle du livre de la journaliste du New York Times laisse à penser de l'appareil cybermilitaire américain, que j'ai trouvé rétrospectivement assez partial, en grande partie car partiel, focalisation sur le commerce des zero day oblige. Qui veut cerner the big picture doit se convaincre qu'il y a plus à voir que la seule NSA, et même en se focalisant uniquement sur cette dernière, plus à voir que ses agissements dénoncés par Edward Snowden. Bref, se poser des questions telles que : pourquoi la NSA ? pourquoi l'agence en est-elle venue à agir comme elle le fait ? etc.

Les blogs

Krebs on Security par Brian Krebs
Kreb's on Security
Brian Krebs est un journaliste passé à son compte pour tenir ce blog, consacré à la sécurité informatique. Il s'est plus particulièrement fait connaître en se focalisant sur les aigrefins des pays de l'Est, plus particulièrement la Russie - qui veut en savoir plus sur ses débuts peut se référer à son ouvrage sur l'industrie du spam Spam nation: The Inside Story Of Organized Cybercrime—From Global Epidemic To Your Front Door (2014). Assurément, Krebs on Security fait partie de ces sites d'information que toute personne intéressée par la sécurité informatique ne peut manquer de consulter tous les jours. C'est que contrairement aux "journalistes" français, l'auteur ne se contente pas de copier-coller des dépêches de l'AFP en attendant de percevoir un salaire en partie financé par le contribuable, et bénéficier d'un abattement de 7 650 euros sur son IR étrangement préservé par le législateur depuis des lustres : étant à son compte, il se livre à un véritable travail d'investigation, ce qui n'a pas été sans lui causer bien des problèmes. Les articles de Brian Krebs présentent toujours l'intérêt d'être très renseignés et détaillés. C'est qu'au fil du temps, le journaliste a développé un impressionnant réseau de relations avec les autorités, les chercheurs, les activistes, mais aussi avec les crapules.

Les podcasts

Darknet Diaries par Jack Rhysider
Darknet Diaries
Dealer de drogues dures qui a fait carrière sur AlphaBay ; détenteur d'un compte Twitter au libellé recherché harcelé pour qu'il le cède ; ados qui se conduisent comme les blousons noirs du Net ; ex-agent de la NSA reconvertit dans la sécurité ; et que sais-je encore : Jack Rhysider s'entretient longuement des personnes qui ont une réelle expérience des aspects les plus sinistres du Net, si bien qu'il est vraiment possible d'en apprendre sur long sur le sujet, notamment les techniques sociales et informatiques mises en oeuvre. Certains épisodes sont consacrés à des événements qui ont eu un grand retentissement. Chaque podcast est disponible en ligne avec sa retranscription, ce que ceux qui auraient des difficultés à comprendre l'anglais apprécieront, de même que ceux qui voudraient exploiter ce superbe matériau dans le cadre d'un travail - je pense aux sociologues, qui devraient se ruer dessus. Dans un premier temps, j'ai tenté de dresser une sélection des épisodes qui m'ont le plus intéressé pour les recommander ici, mais j'ai vite abandonné l'idée. C'est que chaque épisode ou presque est une pépite à ne pas me manquer. Il y en a plus d'une centaine à date, mais il faut impérativement les écouter tous ! 200 heures d'écoute qui ne sont pas du temps perdu...

Les documentaires

Deep Web: The Untold Story of Bitcoin and the Silk Road par Alex Winter (2015)
Deep Web
Durant sa brève existence entre 2011 et 2013, Silk Road a été la place de marché la plus réussie sur laquelle vendre et acheter de la drogue sur le Net. Logée dans le dark Web, et donc accessible uniquement par Tor sans qu'il soit possible d'identifier qui s'y connectait, elle proposait d'échanger en bitcoins via un système de séquestre - escrow en engliche - garantissant à la fois l'anonymat des parties et le respect de leurs obligations contractuelles. En tant que telle, Silk Road a constitué non seulement un tout de force technologique, mais aussi économique, ouvrant la voie pour d'autres places de marché alternatives et contribuant au succès de Bitcoin. Le documentaire raconte l'histoire de Silk Road, qui est aussi celle de son créateur présumé, Ross Ulbricht se cachant derrière le pseudonyme Dread Pirate Roberts. La thèse défendue est que ce dernier n'a pas voulu simplement créer un Amazon de la drogue, mais un lieu d'échanges qui réponde à ses aspirations libertariennes, et que cela n'a par ailleurs pas été sans un effet positif majeur : en faisant sauter les intermédiaires et les frontières, Silk Road aurait permis de réduire le niveau de violence dans le trafic de drogues. Cela entre évidemment en contradiction avec l'approche des autorités le considérant purement et simplement comme un baron de la drogue, obtenant sa condamnation à la prison à vie à ce titre.
Citizenfour par Laura Poitras (2014)
Citizenfour
Le 3 juin 2013, et durant une grosse semaine, Laura Poitras va filmer la rencontre entre Edward Snowden et des journalistes de The Guardian et du Washington Post. A cette occasion, le sous-traitant de la NSA va répondre à leurs questions pour leur faire comprendre, et ce faisant leur permettre de faire comprendre au grand public, l'étendue du système de surveillance mis en place par la National Security Agency (NSA), données subtilisées à l'appui. C'est donc l'histoire qui est en train de se faire que Laura Poitras nous donne à voir, pour pas dire l'Histoire avec un grand "H" au regard de l'impact considérable que les révélations d'Edward Snowden ont eu aussitôt, tant était - et reste - énorme, la manière dont le gouvernement américain et ceux de ses alliés se sont comportés, traitant sans aucune vergogne leurs citoyens comme s'il s'agissaient de leurs ennemis - la fin justifie les moyens, c'est bien sûr... Le documentaire suit les premières ramifications de l'affaire, en relayant la réaction d'activistes et l'organisation de la fuite d'Edward Snowden jusqu'en Russie.

Quelques réflexions...

Que retenir de tout cela ? Quitte à paraître provocateur, je dirais que l'histoire du hacking dans l'électronique et l'informatique - une histoire qui continue à s'écrire aujourd'hui -, c'est celle de l'invention d'un mal. Depuis que certains cherchent à passer les portes malencontreusement laissées ouvertes - ce qui, j'insiste, est vraiment pour faire chier le monde avant tout -, une lutte s'est engagée entre les hackers et les autorités. L'objet de cette lutte est de définir le plus précisément possible la réponse qui doit être opposée à ceux qui pratiquent le trespassing et ce qui s'ensuit, de sorte qu'elle soit jugée socialement acceptable.
Dans les premiers temps, les hackers et les autorités se sont affrontés sans équipement sociotechnique particulier, et ce choc de nouvelles et d'anciennes idées mal dégrossies a conduit des clashes : c'est Kevin Mitnick qui abuse tout le monde et trifouille les systèmes, mais qui prétend ne nuire à personne vs. les procureurs qui se prétendent l'incarnation de la justice, mais qui formulent contre lui des accusations farfelues et vont jusqu'à le mettre au secret. Avec le temps, chacune des parties a appris à mettre de l'eau dans son vin et a contribué, volontairement ou non, à l'invention de cet équipement qui faisait défaut pour réguler les rapports.
Toutefois, en même temps qu'il s'est équipé, cet univers-là s'est beaucoup transformé. Le fait majeur, c'est que si les hackers ont découverts l'intérêt de faire régner la loi dans le cyberspace, les autorités ont pour leur part découvert l'intérêt de l'enfreindre. En effet, entre Kevin Mitnick qui se faufile en tout lieu et la NSA qui met tout un chacun sur écoute, il n'y a qu'une différence de degré : chaque fois, c'est rentrer chez autrui sans y être autorisé, en n'hésitant pas à proclamer que tout ce mal qu'on lui fait, c'est pour son bien. Car à les entendre, il faudrait en être convaincu : Kevin n'a jamais revendu les données qu'il avait volées, et la NSA n'a jamais voulu que nous éviter des attentats...
La vérité, c'est que les parents boivent, et les enfants trinquent. On aurait pu y vivre au calme entre gens respectueux les uns des autres, mais de tout cela, il résulte que le cyberspace apparaît désormais sous bien des aspects comme une poubelle où les nations dirigées par des péteux illetrés se livrent une cyberguerre sans merci, tandis que des sociopathes dégénérés s'y abandonnent aux actes les plus abjects, les uns et les autres faisant le business de marchands d'armes sans scrupule, genre crapules de NSO et autres prétendues entreprises de "sécurité informatique" - "infosec" pour faire moderne. Qui contemple cet affligeant spectacle ne peut qu'avoir l'envie d'envoyer tout ce petit monde aux galères, mais le fait est qu'il va va bien falloir faire avec.
J'invite qui s'interroge sur quoi faire dans le monde du hacking à considérer que dans ce domaine comme dans tant d'autres, la seule voie moralement praticable, c'est celle de ceux qui bâtissent, et non celle de ceux qui sapent. Le produit le plus remarquable de tout ce travail social qui a conduit à équiper les hackers et les autorités est ce middle-ground où il est désormais possible de se tenir la tête haute, en commençant par le bac à sable que constituent les sites de challenges et les Capture The Flag (CTF) avant de s'orienter vers une pratique professionnelle du logiciel et/ou du matériel, le bug bounty notamment - quant aux failles que l'on peut trouver en dehors cela, c'est responsible disclosure et point barre (*). Ca, c'est le hacking. Tout le reste, pratiqué par des gouvernements comme par des anarchistes, si ce n'est pas strictement de la défense, c'est juste de la malveillance en bande (dés)organisée.
(*) Noter qu'en France, toute faille peut être signalée au Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR).