Comment le hacker qui avait stoppé WannaCry s’est retrouvé sous les verrous

Comment le hacker qui avait stoppé WannaCry s’est retrouvé sous les verrous
Réglementaire

hacker-stoppe-wannacry-sous-verrous

De héros à paria, le chemin peut être court : c’est ce que vient d’expérimenter Marcus Hutchins, le hacker qui avait interrompu la propagation du rançongiciel WannaCry en mai dernier. Il vient d’être arrêté aux Etats-Unis pour avoir participé à la création d’un malware bancaire, destiné à récupérer des informations confidentielles. Mais il clame son innocence, ce que sa carrière semble indiquer Cette affaire illustre bien l’ambiguïté des zones grises dans laquelle les passionnés de cybersécurité s’engagent. Analyse.

Marcus Hutchins est devenu un héros de la lutte contre les malware quand il a réussi, en mai 2017, à stopper le propagation de l’attaque mondiale par le rançongiciel WannaCry. Certes son action n’était pas volontaire, mais le chercheur en cybersécurité britannique était en pleine recherche d’une solution pour arrêter cette attaque qui a touché des milliers, peut-être des millions, d’ordinateurs de par le monde.

Arrêté à Las Vegas, accusé de propager un malware

Mais le héros dort désormais en prison, aux Etats-Unis : il a été arrêté, à l’aéroport de Las Vegas, alors qu’il venait d’assister au Def Con, le plus grand rassemblement mondial de hackers, où il avait été acclamé. Il est accusé d’avoir créé, vendu et propagé le malware Kronos, qui permet de dérober des données bancaires et qui a été utilisé avec succès en France et en Allemagne depuis sa création en 2014.

Une carrière passée à « déjouer les virus, pas à les créer » !

Mais si Marcus Hutchins reconnaît bien avoir créé le code de ce malware et l’avoir vendu, il réfute l’accusation selon laquelle il l’aurait propagé à des fins malveillantes. Ce code était juste un moyen de tester les systèmes de sécurité de données bancaires cryptées – et il aurait été utilisé pour dérober ces données malgré Marcus Hutchins.

Des proches du jeune homme confirment qu’il n’a jamais travaillé motivé par l’appât du gain, qu’il a parfois refusé d’être payé pour des travaux et que son expertise dans son domaine lui suffit pour gagner très correctement sa vie : « Il a passé sa carrière à déjouer les virus, pas à les créer », souligne par exemple Andrew Mabbit, chercheur en sécurité informatique.

Cette arrestation démontre l’ambiguïté du statut des hackers : le simple fait qu’un rassemblement public leur soit consacré en toute légalité peut surprendre le grand public, pour qui un hacker est forcément malveillant.

Chapeaux blancs vs chapeaux noirs

En réalité, pour schématiser grossièrement, le monde des hackers se divise en deux catégories : ceux que l’on appelle les « chapeaux blancs » (« white hats »), qui piratent des systèmes informatiques et des programmes pour tester leur niveau de sécurité, découvrir des failles et aider à les corriger, renforçant de fait la sécurité ; et les « chapeaux noirs » (« black hats »), qui font exactement la même chose mais pour tirer parti des failles découvertes, pour leur profit personnel, ceux d’une mafia, d’une entreprise ou d’un gouvernement.

Les premiers opèrent « en plein jour », au vu et su de tout le monde, comme le fait Marc Hutchins, qui est employé et rémunéré pour tester la sécurité de logiciels et de systèmes informatiques – et leur activité est légale. Les seconds se dissimulent, et leur activité est strictement illégale.

Les chercheurs des zones grises ne passeront plus par la case USA

Mais, bien évidemment, des zones grises existent : les « chapeaux blancs » sont bien souvent obligés de franchir la limite de la légalité pour rendre leurs recherches plus efficaces. C’est ce que Marcus Hutchins affirme avoir fait, et son cas est loin d’être isolé. Vu d’Europe, cette arrestation est un excès de zèle qui risque de se retourner contre ceux qui veulent défendre la cybersécurité.

En effet, un tel événement risque de dissuader des chercheurs opérant vers ces zones grises d’exposer leurs travaux en plein jour. « Je connais un certain nombre de chercheurs en Europe, que je considère être du côté des « chapeaux blancs » et qui ne viendront plus aux Etats-Unis pour être sûrs de ne pas avoir d’ennuis » affirme ainsi John Dickson, du cabinet Denim Group.

Dans un domaine aussi complexe que la cybercriminalité, il n’est pas certain que la tolérance zéro soit une option viable sur le long terme.