Misha Glenny : Embauchez les hackers !

Ce n'est pas très conforme aux façons de faire de TED, mais commençons cet après-midi avec la diffusion d'un message d'un commanditaire mystérieux.

Anonymous : Cher chaîne « Fox News », il a été porté à notre malheureuse attention que le nom et la nature d'Anonymous ont été saccagés. Nous sommes tout le monde. Nous ne sommes personne. Nous sommes anonymes. Nous sommes légion. Nous ne pardonnons pas. Nous n'oublions pas. Nous ne sommes que le principe du chaos.

Misha Glenny : Mesdames et messieurs, c'est « Anonymous », un groupe sophistiqué de pirates informatiques aux motivations politiques qui a émergé en 2011. Ils font plutôt peur. Il est impossible de savoir quand aura lieu leur prochaine attaque, qui sera leur cible ou quelles seront les conséquences. Mais ce qui est intéressant, c'est qu'ils ont le sens de l'humour. Ces types ont piraté le compte Twitter de Fox News pour annoncer l'assassinat du Président Obama. Alors, vous pouvez imaginer la panique que cela a pu générer dans la salle de rédaction de Fox News. « Qu'est-ce qu'on fait maintenant ? On met un brassard noir, ou on sable le champagne ? » (Rires) Et bien sûr, qui pourrait ne pas voir l'ironie : un membre de la News Corp de Rupert Murdoch devient victime du piratage. Voilà du changement !

(Rires)

(Applaudissements)

Parfois on allume les nouvelles et l'on se demande s'il reste quelqu'un à être piraté. Le Sony Playstation Network ? C'est fait. Le gouvernement Turc ? Ça y est. L'agence britannique de lutte contre la grande criminalité ? Un jeu d'enfant. La CIA ? Facile. En fait, un de mes amis qui travaille pour l'industrie de la sécurité Internet m'a dit l'autre jour qu'il y avait deux types d'entreprises dans le monde : celles qui savaient qu'elles avaient été piratées, et celles qui ne le savaient pas. C'est à dire, le fait que trois entreprises qui fournissent des services de sécurité au FBI aient été piratées... Est-ce qu'il n'y a plus rien de sacré, bon sang ?

En tout cas, ce mystérieux groupe, Anonymus - qui, selon eux-mêmes - fournissent un service en démontrant à quel point les entreprises sont incapables de protéger nos données. Mais il y a aussi un côté très sérieux chez Anonymous : ils agissent par idéologie. Ils prétendent lutter contre une conspiration terrible. Ils disent que les gouvernements essayent de s'emparer d'Internet et de le contrôler, et que eux, Anonymus, sont la véritable voix de la résistance : que ce soit contre les dictatures du Moyen-Orient, contre les grands médias mondiaux, contre les agences de renseignement, ou contre qui que ce soit. Et leur politique n'est pas dépourvue d'attrait. Bon, ils sont un peu novices. Chez eux, on sent vraiment un anarchisme qui ne tient pas debout. Mais une chose est vraie : nous ne sommes qu'au début d'une lutte puissante pour prendre le contrôle d'Internet. Le Web est en train de tout lier et très bientôt, il sera l'intermédiaire de presque toute activité humaine. Parce qu'Internet a créé un environnement nouveau et complexe auquel s'ajoute un vieux dilemme qui oppose les exigences de sécurité au désir de liberté.

Et c'est une lutte très compliquée. Et malheureusement, pour des mortels comme vous et moi, nous ne pouvons pas très bien la comprendre. Cependant, dans un moment de prétention démesurée il y a deux ans, j'ai décidé que j'essayerais de le faire. Et je crois que je l'ai compris. Voilà les différentes choses que j'examinais en essayant de comprendre. Mais pour essayer d'expliquer tout ça, il me faudrait 18 minutes de plus, alors vous n'aurez qu'à me faire confiance cette fois, et permettez-moi de vous assurer que toutes ces questions font partie de la sécurité Internet et le contrôle d'Internet d'une manière ou d'une autre, mais sous une configuration que même Stephen Hawking aurait du mal à essayer de comprendre. Alors voilà. Et comme vous le voyez, au milieu, il y a notre vieil ami, le pirate informatique. Il est absolument au centre de nombreux problèmes politiques sociaux et économiques qui touchent Internet. Alors, je me suis dit "C'est à ces gars là que je veux parler." Ce que vous ne savez pas c'est que personne d'autre ne leur parle. D'ailleurs, ils sont complètement anonymes.

Alors, bien que que nous commencions à investir des milliards, des centaines de milliards de dollars, dans la sécurité Internet afin d'obtenir les solutions techniques les plus extraordinaires, personne ne veut parler à ces types, les pirates infomratiques, qui font tout. Au lieu de ça, nous préférons ces solutions technologiques qui en mettent plein la vue, qui coûtent des sommes énormes. Et on n'investit rien dans les pirates informatiques. Je dis rien, mais en fait, il y a une toute petite unité de recherche à Turin, en Italie, appelée le « Hackers Profiling Project ». Ils font des recherches fantastiques sur les caractéristiques, les habiletés et les modes de socialisation des pirates informatiques. Mais il s'agit d'une opération de l'ONU, et ça explique peut-être pourquoi les gouvernements et les sociétés ne s'y intéressent pas. Comme c'est une opération de l'ONU, bien sûr, elle manque de financement. Mais je pense qu'ils font un travail très important. Parce que là où il y a un excès de technologie, comme dans l'industrie de la sécurité Internet, nous avons un vrai manque - vous allez dire que je suis vieux jeu - d'intelligence humaine.

Jusqu'à maintenant, j'ai mentionné les pirates informatiques « Anonymous » qui sont un groupe aux motivations politiques. Bien sûr, le système de justice criminelle les traite comme de bons vieux criminels ordinaires. Cependant, il faut dire que « Anonymous » n'utilise pas les informations piratées pour obtenir un gain financier. Mais qu'en est-il des vrais cybercriminels ? Et bien, le véritable crime organisé sur Internet remonte à environ 10 ans lorsque un groupe de pirates informatiques ukrainiens doués a développé un site Web qui a mené à l'industrialisation de la cybercriminalité. Bienvenus au royaume aujourd'hui oublié de CarderPlanet. Voilà comment ils s'annonçaient sur Internet il y a 10 ans. CarderPlanet était très intéressant. Les cybercriminels y allaient pour acheter et vendre des informations de cartes de crédit volées et pour échanger des informations sur les nouveaux programmes malveillants. Et rappelez-vous, c'est une époque où l'on voit pour la première fois les soit-disant programmes malveillants de disponibilité immédiate. Ils sont prêts à être utilisés, clé en main, que l'on peut déployer même si on n'est pas un pirate informatique sophistiqué.

Et donc CarderPlanet est devenu un genre de supermarché pour cybercriminels. En fait, ses créateurs ont été incroyablement intelligentes et entreprenants, parce qu'ils ont été confrontés à un problème énorme en tant que cybercriminels. Et ce problème était : comment faire des affaires, comment faire confiance à des gens sur le Web avec qui on veut faire des affaires quand on sait qu'ils sont des criminels? (Rires) Par principe, ces gens là sont malhonnêtes, et ils vont vouloir essayer de vous escroquer. Alors, « la famille », le nom du noyau dur de CarderPlanet, a eu cette idée brillante appelée le système de séquestre. Ils nommaient un agent qui faisait la médiation entre le vendeur et l'acheteur. Le vendeur avait probablement volé des informations de carte de crédit et l'acheteur les voulait. L'acheteur envoyait des dollars à l'agent, par voie numérique. Le vendeur lui envoyait aussi ses informations des cartes de crédit. L'agent vérifiait alors si les cartes de crédit marchaient. Si c'était le cas, il transférait alors l'argent au vendeur et les informations des cartes de crédit volées à l'acheteur. Et c'est justement ça, ce qui a complètement révolutionné la cybercriminalité sur le Web. Après ça, ça a été la folie. Pendant 10 ans, ça a été une période faste pour les fraudeurs de cartes bancaires.

J'ai parlé à un de ces fraudeurs qu'on appellera RedBrigade, même si ça n'était pas son vrai pseudo, mais j'ai promis de ne pas révéler son identité. Il m'a expliqué comment en 2003 et 2004 il faisait une virée à New York, retirait 10 000 dollars d'un guichet ici, 30 000 dollars d'un autre là, le tout en se servant de cartes clonées. En moyenne, il se faisait 150 000 dollars par semaine, libres d'impôt, bien sûr. Il m'a dit qu'à un moment il avait tellement d'argent caché dans son appartement de l'Upper East-Side qu'il ne savait pas quoi en faire et il a fait une dépression. Mais ça c'est une autre histoire, que je ne vais pas raconter maintenant. Ce qui est intéresssant chez RedBrigade, c'est qu'il n'était pas un pirate informatique de haut niveau. Il comprenait la technologie et il s'est rendu compte que la sécurité était très importante si l'on veut être un fraudeur de cartes bancaires, mais il ne passait pas ses jours et ses nuits penché sur un ordinateur à manger de la pizza, boire du Coca-Cola et ce genre de choses. Il se baladait en ville et s’amusait à vivre la belle vie.

Cela était possible car les pirates informatiques ne sont qu'un des éléments d'une entreprise cybercriminelle. Souvent, ils en sont l'élément le plus vulnérable. Je veux vous l'expliquer cela en vous présentant six personnages que j'ai rencontrés au cours de mes recherches. Dimitry Golubov, ou SCRIPT, né en 1982 à Odessa, en Ukraine. Il a développé son sens moral et social dans les années 1990, dans un port sur la Mer Noire. C'était un environnement où tu manges ou tu crèves, un milieu où l'implication dans les activités criminels était absolument nécessaire, si l'on voulait survivre. En tant qu'utilisateur informatique accompli, ce que Dimitry a fait ça a été de transférer le capitalisme de gangster de sa ville natale au Web. Il a fait du bon boulot. Cependant, vous devez comprendre que depuis le jour de son 9ème anniversaire, le seul environnement qu'il connaissait, c'était le gangstérisme. Il ne connaissait pas un autre moyen de gagner sa vie et de faire de l'argent.

Ensuite nous avons Renukanth Subramaniam, mieux connu comme JiLsi, le fondateur de DarkMarket, et qui est né à Colombo, au Sri Lanka. À huit ans, il a fui la capitale du Sri Lanka avec ses parents parce que les mafias cingalaises détruisaient la ville, et cherchaient des Tamuls comme Renu pour les assassiner. A 11 ans, il a été interrogé par l'armée sri-lankaise, qui l'accusait d'être un terroriste, donc ses parents l'ont envoyé tout seul en Grande-Bretagne comme réfugié demandant l'asile politique. À 13 ans, parlant peu d'anglais et maltraité à l'école, il s'est évadé dans un monde d'ordinateurs où il a montré de grandes habiletés techniques, mais il a été rapidement séduit par des gens sur Internet. Il a été reconnu coupable de fraude hypothécaire et à la carte de crédit. Par contre, Renu sera libéré de la prison londonienne de Wormwood Scrubs en 2012.

Matrix001, qui était l'un des administrateurs chez DarkMarket. Né dans le sud de l'Allemagne dans une famille de classe moyenne stable et respectable, c'est son obsession pour les jeux vidéo lors qu'il était adolescent ce qui l'a conduit au piratage informatique. Rapidement, il contrôlait d'énormes serveurs dans le monde entier où il entreposait les jeux qu'il avait craqués et piratés. Il a glissé progressivement vers la criminalité. Et lorsqu'il s'est enfin rendu compte de sa situation et en a compris les implications, il était déjà trop impliqué.

Max Vision, ou ICEMAN, était le cerveau de CarderMarket. Né à Meridian, dans l'Idaho, Max Vision était l'un des meilleurs testeurs de pénétration travaillant en dehors de Santa Clara, en Californie, à la fin des années 90, pour des compagnies privées, et comme bénévole pour le FBI. Dans les années 1990, il a découvert une faille dans tous les réseaux du gouvernement des Etats-Unis, et il a réussi à la corriger, parce que des installations nucléaires en faisaient partie. Il a donc évité au gouvernement Américain un énorme problème de sécurité. Mais comme il était un pirate informatique invétéré, il s'est laissé une petite porte dérobée par laquelle lui seul pouvait passer. Mais cela a été découvert par un enquêteur qui avait des yeux de lynx et il a été condamné. En prison, il est tombé sous l'influence de fraudeurs financiers émérites, qui l'ont persuadé de travailler pour eux lorsqu'il sortirait. Et cet homme au cerveau gros comme une planète purge à présent une peine de 13 ans en Californie.

Adewale Taiwo, ou FeddyBB, était un craqueur de comptes bancaires expert. Il était originaire de Abuja, au Nigeria. Il a monté son forum prosaÏquement appelé bankfrauds@yahoo.co.uk, avant de s'installer en Grande-Bretagne en 2005 pour faire une maîtrise en génie chimique à l'Université de Manchester. Il a impressionné le secteur privé en développant des applications chimiques pour l'industrie pétrolière tout en menant une opération de fraude bancaire et de cartes de crédit qui valait des millions avant son arrestation en 2008.

Et pour finir, Cagatay Evyapan, ou ChaO, un des hackers les plus remarquables qui n'ait jamais existé, originaire d'Ankara en Turquie. Il avait à la fois les immenses aptitudes d'un geek avec les savoirs du piratage psychologique propres d'un expert criminel. Il est l'une des personnes les plus intelligentes que je n'ai jamais rencontré. Il avait également le dispositif de réseau privé virtuel le plus efficace que la police n'ait jamais découvert dans le monde des cybercriminels.

Le facteur le plus important chez toutes ces personnes est qu'ils partagent certaines caractéristiques, en dépit du fait qu'ils viennent d'environnement très différents. D'abord, il s'agit de gens qui ont tous appris leurs compétences de hacker entre le début et le milieu de leur adolescence. Ensuite, ce sont tous des gens qui montrent une capacité avancée en maths et en science. Souvenez-vous que, quand ils ont développé leurs compétences de hacker, leur sens moral ne s'était pas encore développé. Et la plupart d'entre eux, à l'exception de SCRIPT et ChaO, n'ont pas montré de compétences sociales réelles dans le monde extérieur, seulement sur le Web.

Par ailleurs, il y a un nombre important de ces hackers dont les caractéristiques correspondent au syndrome d'Asperger. J'en ai discuté avec le professeur Simon Baron-Cohen qui est professeur de psychopathologie du développement à Cambridge. Il a fait des travaux inédits sur l'autisme et a confirmé, pour l'information des experts qui sont ici, que Gary McKinnon, qui est recherché aux États-Unis pour le piratage sur le Pentagone, souffre du syndrome d'Asperger et aussi d'une dépression comme affection secondaire. Baron-Cohen a expliqué que certains dysfonctionnements peuvent se manifester dans le piratage et le monde de l'informatique sous forme de compétences remarquables. Nous ne devrions donc pas jeter en prison des gens qui ont de tels handicaps et de telles capacités parce qu'ils ont perdu leurs repères sociaux ou car ils se sont fait avoir.

Je crois que c'est là qu'il nous manque un truc, car je ne crois pas que des gens comme Max vision devraient être en prison. Je serai très franc à ce sujet. En Chine, en Russie et dans beaucoup d'autres pays qui développent des capacités cyber-offensives, c'est exactement ce qu'ils font. Ils recrutent des pirates informatiques avant et après qu'ils soient impliqués dans des activités criminelles et d'espionnage industriel. Ils les mobilisent au nom de l'État. Nous devons nous attaquer à ce sujet et trouver des façons d'offrir des conseils à ces jeunes, parce qu'ils sont une espèce rare. Si nous ne comptons, comme en ce moment, que sur le système de justice pénale et la menace de sanctions pénales, nous allons nourrir un monstre que nous ne pourrons pas dompter.

Merci de votre attention.

(Applaudissements)

Chris Anderson : Donc votre idée-force est d'embaucher les pirates informatiques. Comment surmonter la peur de penser que le pirate informatique qu'on embauche puisse se laisser une petite porte dérobée ?

MG : je crois que dans une certaine mesure il faut comprendre que pour un pirate informatique, c'est axiomatique de faire ça. Ils sont acharnés et obsessionnels dans ce qu'ils font. Mais tous ceux à qui j'ai parlé et qui ont enfreint la loi, ils m'ont tous dit, « S'il vous plait, donnez-nous une chance de travailler pour une industrie légitime. Nous ne savions simplement pas comment y arriver, ni ce que nous faisions. Nous voulons travailler avec vous. »

Chris Anderson : Bon, ça a du sens. Merci beaucoup, Misha.

(Applaudissements)