Ses conditions seront les miennes. La traque fut bien trop longue et périlleuse pour renégocier si près du but les modalités de l’entretien. Il aura lieu en ligne, au cœur de la nuit moscovite, sur un chat IRC, l’un des nombreux protocoles de communication sur Internet. Nos échanges sont chiffrés par des clés de cryptage PGP et sécurisés par le protocole de cryptographie Off-the-Record Messaging (OTR). Le préalable indispensable à notre conversation et le gage de sa confiance.
Il rédige dans un français correct parsemé de fautes de syntaxe. Une langue qu’il dompte depuis bientôt dix ans en France, où il a trouvé refuge quand sa «situation personnelle est devenue bien trop dangereuse» pour qu’il reste une semaine de plus en Russie. Si X311 accepte de lever un coin du voile sur la pègre cybernétique russe, c’est parce qu’il est passé du «côté blanc de la force». La distinction est artificielle, mais sur le continent numérique, la communauté hacker se distingue en cinq groupes de couleur.
Tout d’abord les «black hats» (les chapeaux noirs) motivés par le profit et la volonté de nuire aux acteurs du marché. Ce sont des criminels isolés ou organisés en mafia. A l’opposé des «white hats», justiciers du cyberespace qui traquent les pirates, et de tous ceux qui naviguent entre les deux (les gris) au gré des intérêts et des sources de profits. Il existe aussi des chapeaux bleus, spécialisés dans le hacking de Windows et des chapeaux rouges pour les professionnels du système d’exploitation UNIX… Aucun d’eux ne se distinguera par une couleur. «Un vrai hacker ne vous dira jamais qu’il en est un», souligne X311.
Notre homme s’est racheté une virginité par choix et nécessité. Nous sommes au début des années 2000. Le Moscovite est un lycéen d’une quinzaine d’années lorsqu’il fait ses premières armes dans la scène «black hat» russe. Après des études de programmation à Moscou, il développe des logiciels sécurisés sur son temps libre. «A l’époque, il fallait trouver des mentors pour apprendre et pratiquer.» Ces maîtres du code à l’éthique chancelante, X311 les trouve sur les chats IRC. Des âmes solitaires et expérimentées qui naviguent dans le «Deep Web» ou Web profond.
Vous l’ignorez peut-être, mais près de 90% du contenu de la Toile échappe aux moteurs de recherche classiques. C’est le Deep Web, la face immergée de l’iceberg numérique où se terrent les «black hats». Ces derniers achètent, vendent ou échangent des données sensibles (cartes bancaires, informations confidentielles, programmes de piratage) dans le plus grand anonymat via le réseau Tor (acronyme de The Onion Router) qui fournit une protection ultra-sécurisée aux communications et à l’échange d’informations.
Dans les abysses, X311 se fait très vite un nom. «J’étais jeune, expérimenté, je bossais bien», écrit-il. C’est à ses compétences que le pirate gagne ses galons et le respect. Avec un autre «black hat», ils échangent des données et des informations sensibles. Pour «l’amour du risque». X311 devient expert en cracking (le cassage des protections de sécurité des programmes informatiques utiles au piratage des cartes bancaires), mais aussi en phreaking, soit le piratage des systèmes téléphoniques.
«A l’époque, c’était le paradis, explique-t-il. Il n’y avait pas tant de sécurité sur les cartes de crédit, ni sur les logins.» Outre les «banques européennes et américaines», X311 pirate les sites de presse et les comptes utilisateurs des grands hébergeurs internet. «Lorsque j’ai vu l’intérêt de la concurrence pour ces informations, j’ai commencé à les vendre.» Combien? «C’est un sujet tabou.» J’insiste. «Assez pour vivre, dit-il. Un hacker a du pouvoir grâce aux informations qu’il détient, pas pour la somme qu’il gagne.»
Figure insaisissable, le hacker russe alimente tous les fantasmes de la Toile. Grand bandit organisé, petit escroc solitaire, agent des services de renseignement ou cybersoldat duKremlin, il est à la fois craint, admiré et chassé. Pourtant notre immersion dans les profondeurs de la Toile russe va démolir plusieurs de ces clichés. A commencer par le très jeune âge de ces pirates. Des cybercriminels de moins de 25 ans qui gravitent dans la région de Saint-Pétersbourg et ses universités techniques.
C’est en effet à 600 km au nord-ouest de Moscou que la communauté «black hat» est la plus dense. «Le manque de débouchés professionnels pour exercer dans la légalité les pousse vers la capitale», explique Serguey Vishnyakov. A 24 ans, ce chercheur en sécurité de l’information dans une banque russe est un fin connaisseur de ces hackers au chapeau noir. Il figure parmi les membres «hacktivistes» de 1337day.com. Ce site héberge Inj3ct0r, soit la plus grande base de données recensant les failles et les vulnérabilités informatiques connues à ce jour.
A Moscou, ces cow-boys de la Toile sombrent généralement dans la petite et grande criminalité, appâtés par les liasses de roubles. La plupart empochent plus de 17 000 roubles par mois, soit environ 500 francs. «C’est dix fois plus pour les meilleurs pirates, mais ceux-ci ne représentent que 1% de l’écosystème «black hat» russe», ajoute Serguey Vishnyakov. Le jeu en vaut la chandelle puisque les lois russes ne sont pas suffisamment dissuasives pour raisonner ces pirates.
Quel est leur mode opératoire? Pour le savoir, nous nous rendons à Leningradskoy Shosse,au siège de la société Kaspersky, concurrente russe des entreprises américaines Symantec et McAfee. C’est dans le grand Moscou que l’entreprise de sécurité a érigé son bunker dédié à la lutte contre la cybercriminalité. Ici, les équipes d’élite luttent en continu contre les nouvelles attaques informatiques. Elles en dénombrent plus de 315 000 par jour qui partent et touchent la Russie.
A 37 ans, Aleks Goltsev dirige l’unité sécurité de Kaspersky. Depuis douze ans, cet Ukrainien d’origine enquête sur la nébuleuse «black hat» russe et traque ses membres avec l’aide des polices internationales. Avec 1000 criminels recensés, l’écosystème russe est le troisième pourvoyeur de cyberattaques au monde derrière la Chine (10 000 membres) et le Brésil. Chaque pays a sa spécialité, explique Aleks Goltsev. «Les Chinois piratent les plateformes de jeu en ligne. Les Brésiliens s’attaquent aux sites d’on line banking.» Quant aux Russes, ils chapeautent tout le système, puisqu’ils «élaborent la plupart des technologies de hacking qu’ils revendent à des pays tiers».
Le cybercrime russe s’organise autour de petits groupes d’une dizaine de pirates aux tâches bien définies. Deux développeurs élaborent le logiciel espion. Puis tentent de le vendre à d’autres sur des forums IRC. Sur le marché, deux modèles économiques coexistent. «Soit ils vendent l’intégralité du programme pour 10 000 dollars, soit ils le louent à la semaine», ajoute Aleks Goltsev. Parmi les clients, on dénombre des Russes, mais surtout des étrangers (Chinois et Thaïlandais) qui se chargent d’attaquer. Ce partage des tâches brouille les pistes des cyberpoliciers, qui peinent ainsi à remonter l’ensemble de la filière criminelle.
Avec le conflit ukrainien, Aleks Goltsev est encore plus débordé. Les deux pays se livrent une cyberguerre de l’information intense. Selon lui, ces attaques par déni de service (DDoS) qui visent à mettre à plat les serveurs internet émaneraient de «patriotes russes et ukrainiens». Ou alors du gouvernement russe, d’autant qu’en 2007, puis 2008, l’Estonie et la Géorgie, alors en conflit avec Moscou, subissaient le même sort que l’Ukraine.
Telle est l’ambiguïté de Moscou sur les questions de cyberdéfense et de sécurité. Terre d’asile d’Edward Snowden – l’ex-informaticien à l’origine des révélations sur le programme d’espionnage américain –, le pays figure parmi les plus grands censeurs d’Internet. A contrario, la Russie forme depuis toujours les meilleurs experts informatiques. Elle s’inscrit dans une longue tradition dans l’art de casser les codes. Un legs de l’ex-Union soviétique et de ses écoles de cryptographie réputées mondialement.
C’est en Sibérie, à Novossibirsk, que le Kremlin recrute ses cybersoldats. Au cœur d’une forêt de bouleaux et de pins, le gouvernement a construit l’Akademgorodok. Surnommée «Silicon Taïga», cette cité scientifique érigée dès 1957 abrite le plus vaste technopôle dupays dispersé sur une centaine d’hectares. C’est ici, à près de 3000 kilomètres à l’est de Moscou, que les chasseurs de tête du service de renseignement militaire russe (GRU) débauche.
Les candidats sélectionnés intègrent l’une des universités militaires techniques du pays. Leur lieu est tenu secret, tout comme le contenu de l’enseignement dispensé. Tous sont appelés à rejoindre les services de cyberdéfense du gouvernement à la fin de leur cursus.
La Russie dispose d’une cyberarmée redoutable et redoutée. A l’échelon militaire, il y a le GRU, soit le plus grand pourvoyeur de cybersoldats. Très expérimentés, ils sont chargés dudéveloppement de nouveaux systèmes de protection, et gèrent les stations d’écoutes russes dans le monde entier. Au niveau gouvernemental, il faut compter sur le FSB, le Service fédéral de sécurité de la Fédération de Russie (ex-KGB) et ses 76 000 collaborateurs. En son sein, le FSB dispose d’un centre dédié à la lutte contre la cybercriminalité. Ainsi que le Département 8, l’unité responsable de la protection de l’Internet gouvernemental.
Le FSB n’a rien à envier à la NSA. Le service a élaboré SORM-3, l’un des systèmes d’interception des communications le plus puissant (lire complément). Une arme redoutable utilisée notamment pendant les Jeux de Sotchi. Pour compléter cet arsenal, la Russie dispose d’un service de renseignements extérieurs (SVR) dont les effectifs sont estimés à 15 000 collaborateurs. Le SVR est particulièrement actif dans l’espionnage économique, industriel et technologique. On mentionnera aussi la proximité du pays avec le quartier général de l’OTAN à Tallinn, en Estonie.
Retour dans la nuit moscovite. Les premiers rayons de l’aube rasent les toits de la capitale. Derrière l’écran du chat crypté, X311 rechigne à s’étendre sur les raisons de son exil en France. «A un moment donné, il faut songer à se ranger. Je prenais un mauvais chemin.» A-t-il été arrêté? «Désolé, mais je ne répondrai à aucune question. Mais d’après toi?… Un jour ou l’autre on commet une erreur et il faut collaborer.» X311 travaille désormais pour une entreprise française de sécurité informatique. Une ancienne victime de ses piratages? Il répond par un petit smiley, puis quitte le chat brusquement.
Cet article est paru dans LE TEMPS