Si comme moi, vous pensiez qu’un bon hacker devait avoir un arsenal d’outils sophistiqués, l’histoire d’Adrian Lamo va vous retourner le cerveau.
Windows 98, Internet Explorer et Notepad. C’est tout.
Avec ces 3 outils basiques, ce type a réussi à pénétrer les réseaux de Microsoft, de Yahoo et du New York Times. Et pendant que d’autres développaient des malwares complexes, lui prouvait qu’une faille reste une faille, peu importe vos outils. Voici donc l’histoire de ce “Homeless Hacker”… un mélange de génie technique, de précarité sociale et de tragédie humaine dans un cocktail qui ferait pâlir les scénaristes de Mr. Robot.
– Adrian Lamo en automne 2004 - Photo : Wikimedia Commons
Il y a quelques jours, je me suis donc penché sur l’histoire d’Adrian Alfonso Lamo Atwood, né le 20 février 1981 à Malden, dans le Massachusetts. Dès l’enfance, ce gamin montre une curiosité dévorante pour la technologie. Son père Mario et sa mère Mary bossent tous les deux dans la tech, mais le parcours scolaire d’Adrian ressemble à un parcours du combattant. Entre des études à Bogotá (où vivait son père) et San Francisco, il ne décroche jamais son diplôme mais Adrian apprend tout seul, sur le tas, en bidouillant sur son Commodore 64 offert par ses parents. C’est sur cette machine mythique qu’il fait alors ses premiers pas : hack de jeux vidéo, manipulation de virus sur disquettes, et même du phone phreaking. Argh !
Et surtout, ce qui rend Adrian unique, c’est son mode de vie. Vers ses 20 ans, il adopte un style de vie nomade qui lui vaudra son surnom de “Homeless Hacker”. Le gars voyage à travers les États-Unis en bus Greyhound, dort dans des squats, des bâtiments abandonnés ou sur les canapés d’amis et son bureau c’est un cyber-café, une bibliothèque universitaire ou n’importe quel endroit avec une connexion Web.
Son matos ? Un vieux Toshiba auquel il manque 7 touches (oui, sept !), mais qui suffit largement pour ses exploits numériques. C’est un peu “tricky” comme on dit, mais ça marche !
D’ailleurs, la philosophie de Lamo tranche avec l’image du hacker malveillant véhiculée par Hollywood. Il se définit comme un “grey hat”, c’est à dire quelqu’un qui infiltre les systèmes non pas pour nuire, mais pour alerter. Sa méthode est toujours la même : trouver les failles via des serveurs proxy mal configurés, proposer gratuitement de les corriger, et si l’entreprise refuse, prévenir les médias pour forcer la prise de conscience. Une approche qui ferait sourire les Black Hat d’aujourd’hui, mais qui était révolutionnaire au début des années 2000.
Toutefois, les exploits de Lamo sont impressionnants. En 2001, il s’attaque à toutes les grosses boîtes : Excite@Home en mai, Yahoo en septembre, Microsoft en octobre, MCI WorldCom en novembre, SBC Ameritech en décembre. Il modifie même des articles sur Yahoo News pour démontrer la vulnérabilité du système et ce qu’il décrit comme “l’apathie générale des lecteurs”. Un coup de génie médiatique !
Alors comment fait-il pour hacker les plus grandes entreprises tech avec un laptop tout pourri ? Et bien Lamo découvre que ces entreprises ont activé l’accès à distance à leurs réseaux internes via des proxies Web. N’importe qui connaissant l’adresse Internet et le numéro de port du proxy peut alors parcourir les partages internes et les ressources réseau. C’est complètement dingue, mais c’est la réalité de l’époque. Avec Microsoft, il accède même à du code source sensible et fidèle à sa philosophie, il contacte directement les entreprises pour signaler les failles.
Mais c’est avec le New York Times que Lamo frappe son coup le plus spectaculaire. Le 26 février 2002, il pénètre le réseau interne du journal. Le mec s’ajoute lui-même dans la base de données des sources expertes avec le numéro (415) 505-HACK et ses domaines d’expertise : “computer hacking, national security, communications intelligence”. L’audace ! Il crée aussi 5 comptes fictifs sur LexisNexis (un outil pro pour faire de la recherche juridique) via le compte du Times, et effectue 3000 recherches en 3 mois, générant environ 300 000$ de frais. En février 2002 seulement, ces comptes représentent 18% de toutes les recherches du journal. C’est complètement fou !
L’enquête du FBI dure 15 mois. Adrian devient un homme traqué, mais il refuse de se cacher. Le 9 septembre 2003, il se rend volontairement aux US Marshals de Sacramento. En janvier 2004, il plaide coupable. Sa peine : 2 ans de liberté surveillée dont 6 mois d’assignation à domicile, plus 65 000 dollars de dommages et intérêts. Une sanction relativement clémente qui reflète le caractère non-destructeur de ses actions.
Puis, l’histoire de Lamo bascule complètement en mai 2010. Ce mois-là, une jeune analyste de l’armée américaine, Bradley Manning (aujourd’hui Chelsea Manning) le contacte via des emails cryptés. Lamo ne peut pas les décrypter mais l’invite à chatter sur AOL Instant Messenger. Manning utilise le pseudonyme “Bradass87” et entre le 21 et le 25 mai, lui révèle avoir téléchargé des centaines de milliers de documents classifiés et les avoir transmis à WikiLeaks. Des câbles diplomatiques, la vidéo “Collateral Murder” de Bagdad, des rapports militaires… Manning vient de réaliser la plus grosse fuite de l’histoire américaine. Et elle s’en confesse à Lamo comme à un prêtre. Wololo wololo !
– Chelsea Manning en 2017 - Photo : Tim Travers Hawkins (CC BY-SA 4.0)
Seulement, Lamo n’est pas un confesseur. Après avoir contacté Chet Uber de Project Vigilant et Tim Webster du contre-espionnage de l’armée, il prend une décision qui va tout changer : dénoncer Manning au FBI. Sa justification ? “Les besoins du plus grand nombre l’emportent sur les besoins d’un seul”, expliquera-t-il à PBS Frontline. Une logique utilitariste qui ne passe pas du tout dans la communauté hacker.
La réaction est immédiate et brutale. À la conférence Hackers on Planet Earth de 2010, Lamo se fait huer, traiter de “balance”, cracher dessus. Des menaces de mort pleuvent. Andrew Blake, son ami, témoigne :
Les gens le détestaient. Il ne pouvait plus se connecter nulle part sous son vrai nom sans recevoir des messages de haine.
Chelsea Manning sera condamnée à 35 ans de prison en 2013 avant commutation par Obama en 2017. Étonnamment, Manning ne lui en veut pas :
Je n’ai jamais eu de rancune envers Adrian. Je suis plutôt en colère contre le gouvernement qui s’est servi de lui.
Les dernières années d’Adrian sont marquées par la dégradation. À 35 ans, il marche avec une canne, a pris du poids, souffre de problèmes de dos chroniques. Le 14 mars 2018, la gérante des appartements Shadybrook Senior de Wichita, Kansas, découvre son corps. L’appartement est dans un désordre complet : piles d’ordures, vaisselle sale, pilules et poudres partout. Plus mystérieux encore, un sticker collé sur sa cuisse gauche sous ses vêtements : “Adrian Lamo, Assistant Director, ProjectVigilant, 70 Bates Street, NW, Washington, DC.”
L’autopsie complète ne révèle rien. Le centre de sciences judiciaires du comté de Sedgwick déclare : “Aucune cause de décès définitive n’a pu être identifiée.” Le médecin légiste ne peut même pas écarter l’hypothèse d’un meurtre. La police maintient qu’il n’y a “rien de suspect”, mais les questions demeurent. Le mystère du sticker sera partiellement résolu par Andrew Blake : l’adresse correspond à un endroit où il avait brièvement vécu. Blake l’interprète comme “une blague ou un signal envoyé par son vieil ami”. Mais pourquoi ? Adrian préparait-il sa mort ? Voulait-il laisser un message ?
Je peux vous dire que l’héritage d’Adrian Lamo est complexe et contradictoire. D’un côté, il incarnait l’idéal du hacker éthique : utiliser ses compétences pour améliorer la sécurité, révéler les failles sans les exploiter malicieusement. Ses méthodes artisanales prouvaient qu’il n’était pas nécessaire d’avoir des outils sophistiqués. De l’autre, sa décision de dénoncer Manning reste très controversée. Certains y voient du patriotisme responsable, d’autres une trahison fondamentale des valeurs hacker.
Et sa mort mystérieuse ajoute une dimension presque romanesque. Adrian Lamo, qui avait passé sa vie à révéler les secrets des autres, emporte le sien dans la tombe. Était-il devenu gênant ? Sa connaissance de l’affaire Manning l’avait-elle transformé en cible ? Ou s’agit-il simplement de la fin tragique d’un homme usé par des années de vie chaotique ?
Adrian Lamo restera comme l’incarnation parfaite des paradoxes de notre époque numérique : Un hacker éthique devenu délateur, génie technique vivant dans la précarité, défenseur de la sécurité ayant brisé la confiance d’une communauté entière.
– Source :
https://korben.info/adrian-lamo-homeless-hacker-histoire.html
