Phoenix, Arizona, 6 heures du mat’. Un gamin de 16 ans dort paisiblement dans sa chambre, entouré de posters de Star Wars et de boîtes de pizza vides pendant que dehors, une dizaine d’agents armés jusqu’aux dents encerclent sa baraque…
Hé oui, aujourd’hui, je vais vous raconter comment 150 agents du Secret Service ont débarqué chez des ados boutonneux en pensant sauver l’Amérique. C’était le 8 mai 1990, et c’est devenu l’Opération Sundevil, la plus grosse opération anti-hacker de l’histoire.
– Reconstitution IA d’un raid du Secret Service - Les agents débarquant en force dans une banlieue tranquille
Pour comprendre ce bordel monstre, il faut se replonger dans l’Amérique de 1990. Bush père est président, Internet c’est de la science-fiction pour le commun des mortels, et les ordis personnels, bah c’est encore un truc de geeks fortunés. Dans ce contexte, une nouvelle génération de petits génies de l’informatique émerge. Ils se font appeler “hackers” et se retrouvent sur des BBS aux noms qui claquent : The Phoenix Project, The Black Ice, Demon Roach Underground…
– Interface d’un BBS - C’était ça le “dark web” de l’époque !
Bon, pour ceux qui n’ont pas connu (et j’en fais partie, je n’étais même pas né !), un BBS c’était comme un serveur Discord mais en mode préhistorique. Vous composiez le numéro de téléphone du BBS avec votre modem, vous entendiez alors les doux bruits de connexion (KRRRRR BIIIIIP KRRRR), et hop, vous aviez accès à des forums, des fichiers, des messages. Sauf que tout était en ASCII art et que télécharger une image de 100Ko prenait 3 plombes.
Ces jeunes hackers n’était pas des méchants dans l’âme. Ils exploraient les systèmes téléphoniques et informatiques avec la même curiosité qu’un gamin qui démonte un grille-pain pour voir comment ça marche. Sauf que leurs grille-pains à eux, c’était les réseaux d’AT&T, les systèmes des banques, et parfois même les ordinateurs du Pentagone. Oups.
Et dans ce petit monde underground, des groupes mythiques se forment à l’époque. Le plus légendaire : la Legion of Doom (LoD), fondée en 1984 par un hacker qui se faisait appeler Lex Luthor (oui, comme l’ennemi de Superman, la classe !). Dedans, il y avait des légendes vivantes comme Erik Bloodaxe (de son vrai nom Chris Goggans), The Mentor (Loyd Blankenship), Phiber Optik (Mark Abene), et j’en passe.
– Le logo mythique de la Legion of Doom
Ces mecs publiaient carrément leur propre magazine électronique, le “Legion of Doom Technical Journal” qui était bourré d’infos techniques sur comment hacker ceci ou pirater cela. Bref, des tutos détaillés pour explorer les systèmes Unix, manipuler les centraux téléphoniques, ou contourner les protections des mainframes IBM. Un vrai manuel du petit hacker en herbe !
Mais alors, qu’est-ce qui a fait péter les plombs au gouvernement ?
Hé bien tout commence le 15 janvier 1990, le jour de Martin Luther [censored]. Ce jour-là, c’est la cata : le réseau longue distance d’AT&T s’effondre comme un château de cartes. Pendant neuf heures, la moitié des appels longue distance aux États-Unis foirent complètement. Des millions d’Américains entendent une voix de robot leur dire que leur appel ne peut pas aboutir. C’est la panique totale !
AT&T, qui gérait à l’époque 70% du trafic longue distance du pays (ouais, c’était LE monopole), perd 60 millions de dollars en quelques heures. Les hôpitaux ne peuvent plus joindre les médecins de garde, les entreprises peuvent plus faire d’affaires, c’est le chaos et les journaux titrent sur la “cyber-apocalypse” et tout le tralala.
Le truc complètement dingue c’est que les hackers n’y étaient pour rien ! C’était juste un bug dans une mise à jour logicielle d’AT&T. Un développeur avait foiré une ligne de code, et boom, effet domino : 114 commutateurs téléphoniques à travers le pays se sont mis à rebooter en boucle. Je n’imagine pas l’était de panique du mec qui a fait la bourde. Il a dû avoir envie de se terrer dans une cave jusqu’à la fin de ses jours !
Mais voilà, quelques mois plus tôt, le Secret Service avait chopé un jeune hacker de 16 ans de l’Indiana qui se faisait appeler “Fry Guy” (il bossait chez McDonald’s, d’où le pseudo). Ce petit malin avait hacké les systèmes de plusieurs fast-foods pour se faire livrer des pizzas gratos et avait revendu des numéros de cartes de crédit sur des BBS. Pas très malin le gamin.
Sous la pression des interrogatoires (et probablement terrifié à l’idée de finir en taule), Fry Guy balance alors tout ce qu’il sait. Et là, il lâche l’info qui va tout déclencher : des membres de la Legion of Doom auraient prévu de faire tomber le système téléphonique national un jour férié pour montrer leur puissance. Coïncidence ? Je ne crois pas !
Pour le gouvernement, déjà parano à l’idée que des ados en sweat à capuche puissent mettre à genoux l’infrastructure du pays, c’est la goutte d’eau. Ils décident alors de frapper fort. Très fort. Genre opération commando niveau Rambo contre des nerds.
L’opération tire son nom du stade Sun Devil de l’Arizona State University, situé à deux pas du QG du Secret Service de Phoenix. C’est là qu’entre en scène Gail Thackeray, LA femme qui va devenir la terreur des hackers. Cette procureure adjointe de l’Arizona, c’est un peu la Sarah Connor de la cybercriminalité.
Thackeray, c’est pas n’importe qui. Ancienne procureure de Philadelphie, elle débarque en Arizona en 1986 avec une mission : appliquer les toutes nouvelles lois sur les crimes informatiques. À l’époque, ces lois étaient tellement récentes que personne ne savait vraiment comment s’en servir. Mais elle, elle avait pigé le truc.
Avec son patron Steve Twist (qui avait littéralement écrit les lois sur la cybercriminalité de l’Arizona), elle transforme alors l’Unité de Crime Organisé en machine de guerre anti-hacker et leur QG devient le centre névralgique de la lutte contre le “cyber-terrorisme” (oui, ils utilisaient déjà ce terme en 1990 !).
Tim Holtzen, procureur fédéral adjoint de Phoenix et binôme de Thackeray dans cette croisade, était lui aussi convaincu que les hackers représentaient une menace existentielle. Ensemble, avec le Secret Service et son directeur local, ils montent alors une opération d’une ampleur jamais vue. Nom de code : Sundevil. Ça sonne bien non ?
Le plan était simple mais l’objectif massif : frapper simultanément dans quinze villes américaines pour démanteler d’un coup tout le réseau hacker underground. Austin, Cincinnati, Detroit, Los Angeles, Miami, Newark, New York, Phoenix, Pittsburgh, Richmond, San Diego, San Francisco, San Jose, Seattle et Tucson. Bref, toute l’Amérique ou presque !
Plus de 150 agents mobilisés, avec le renfort du FBI, de la CIA et des polices locales. 27 mandats de perquisition préparés dans le plus grand secret. Les cibles étant les opérateurs des BBS les plus populaires, les hackers connus, les phreakers (les pirates du téléphone) suspectés.
Parmi les cibles, y’avait des BBS légendaires comme Cloud Nine, tenu par un certain “Dictator”. Ce BBS, c’était le Saint Graal des hackers. Pour y entrer, fallait montrer patte blanche, prouver que vous êtiez un “elite” et on y trouvait des outils de hacking dernier cri, des exploits zero-day, et surtout, des discussions entre les plus grands hackers de l’époque.
Ces raids du 8 mai 1990, c’était du grand spectacle. Les agents débarquent en force, souvent lourdement armés dans des banlieues tranquilles pour affronter ces ados armés de claviers (lol) tandis que les voisins matent par la fenêtre, médusés de voir le SWAT embarquer le petit Jimmy qu’ils croyaient juste un peu trop accro aux jeux vidéo.
Un témoin de l’époque raconte : “J’ai vu six agents en gilet pare-balles défoncer la porte de mon voisin. Ils sont ressortis avec son Commodore 64 et des cartons pleins de disquettes. Le gamin de 17 ans était menotté comme un dangereux criminel. Sa mère pleurait sur le perron. C’était surréaliste.”
Le butin de l’opération était impressionnant (ou pas) :
42 systèmes informatiques complets (des Commodore 64, des Apple II, des PC 286…)
25 BBS fermés d’un coup, avec parfois des années d’archives de la communauté hacker
Plus de 23 000 disquettes 5"1/4 (vous savez, les trucs tout mous qu’on pliait par erreur)
Des centaines de manuels techniques “empruntés” à Bell, AT&T, IBM…
Du matos de phreaking : blue boxes, red boxes, et autres gadgets pour pirater les lignes téléphoniques
– Disquettes 5"1/4 (source)
Et ces disquettes contenaient un joyeux bordel : des outils de hacking (genre des scanners de ports écrits en BASIC), des listes de numéros de cartes de crédit (la plupart périmées ou bidons), des tonnes de warez (logiciels piratés), et surtout, des milliers de messages échangés entre hackers. C’était l’équivalent 1990 de saisir tous les serveurs Discord d’aujourd’hui.
Et le plus fou, c’est que malgré toute cette démonstration de force, seulement TROIS personnes sont arrêtées à l’issue de l’opération. Trois ! Avec 150 agents mobilisés, ça fait du 50 agents par arrestation. Niveau rentabilité, on a vu mieux…
L’Opération Sundevil révèle alors rapidement que les autorités n’ont rien pigé au monde numérique car dans leur délire de tout saisir, les agents embarquent n’importe quoi : des ordis parfaitement légaux, des données perso sans rapport, des projets de boulot… Un vrai carnage. L’exemple le plus aberrant, c’est le raid sur Steve Jackson Games le 1er mars 1990.
Bon ok, c’était deux mois avant Sundevil, mais c’est la même logique débile. Steve Jackson, c’est un mec qui fait des jeux de rôle papier, genre Donjons et Dragons. Et son crime ça a été d’employer Loyd Blankenship, alias “The Mentor” de la Legion of Doom.
– Steve Jackson - source
Les agents débarquent, saisissent trois ordis, plus de 300 disquettes, et surtout, le manuscrit de “GURPS Cyberpunk”, un jeu de rôle sur lequel la boîte bosse depuis des mois. Leur idée c’est que ce manuel de jeu doit forcément être un guide pour hackers ! Steve Jackson se retrouve alors au bord de la faillite. Il ne peut plus sortir son jeu, il n’a plus ses outils de travail, ses employés sont au chômage technique car le Secret Service garde son matos durant des mois sans rien trouver d’illégal dedans. Bref, du grand n’importe quoi.
Pendant ce temps, Gail Thackeray devient la star médiatique de l’opération. Elle balance des phrases chocs aux journalistes : “Les agents agissent de bonne foi, et je ne pense pas qu’on puisse en dire autant de la communauté hacker.” Boum, dans ta face les nerds ! Elle décrit surtout un tableau apocalyptique du hacking : des ados sans scrupules prêts à faire s’effondrer les infrastructures américaines juste pour le fun. Dans ses conférences de presse, elle parle de “cyber-terroristes” qui menacent la sécurité nationale. Les médias adorent, le public flippe, mission accomplie.
Mais Thackeray, n’est pas qu’une dure à cuire. C’est aussi une des rares du côté des forces de l’ordre qui comprend vraiment la tech. Elle assiste même à la première Defcon en 1993 (le Burning Man des hackers), dialogue avec eux, essaie de piger leur délire. Cette approche lui vaut un certain respect, même chez ses “ennemis”.
– Photo de groupe avec Gail Thackeray lors de la première Defcon en 1993
Ironiquement, la carrière de Thackeray prend un tournant quand son patron perd les élections. Le nouveau procureur général démantèle son unité anti-hacker et elle se retrouve au bureau du procureur du comté de Maricopa, où elle continue sa croisade. Son dernier poste connu était toujours dans la cybersécurité au Arizona Counter Terrorism Information Center mais depuis, elle a peut-être pris sa retraite aujourd’hui. On n’en sait pas plus.
Et les résultats de Sundevil ? Un bide monumental car sur 27 perquisitions, la plupart ne donnent rien. Les trois malheureux arrêtés c’est peanuts comparé à l’ampleur de l’opération et plusieurs procès capotent parce que les preuves sont foireuses ou que les jurés n’y comprennent rien. C’était clairement une opération de communication destinée à faire peur à la communauté et à rassurer la ménagère et l’ouvrier de l’époque.
Le Secret Service fanfaronne quand même puisque Garry M. Jenkins, directeur adjoint, déclare à l’époque : “Le Secret Service envoie un message clair aux hackers qui violent les lois en croyant pouvoir se cacher derrière leurs terminaux.” Ouais, le message c’est surtout qu’ils ont rien compris au schmilblick.
Mais dans la communauté hacker, Sundevil c’est la douche froide. Des gamins brillants se font traiter comme des terroristes. Des BBS entiers, véritables bibliothèques de connaissances techniques, disparaissent du jour au lendemain. Des années de discussions, de tutoriels, d’échanges, pouf, envolés. La confiance entre la communauté tech et les autorités ? Brisée pour des décennies.
C’est d’ailleurs dans ce bordel que naît l’Electronic Frontier Foundation (EFF). Mitch Kapor, le fondateur de Lotus (le mec qui a créé le tableur Lotus 1-2-3, un truc de ouf à l’époque), est scandalisé par les excès de l’opération. Il s’associe avec John Perry Barlow, parolier des Grateful Dead et cyber-libertaire convaincu (ouais, drôle de combo).
– Mitch Kapor et John Perry Barlow - Les papas de l’EFF
Ensemble, ils créent l’EFF pour défendre les libertés dans le cyberespace. Leur première action est alors de financer la défense de plusieurs hackers poursuivis après Sundevil. Mais surtout, ils commencent un travail de longue haleine pour éduquer les législateurs, les flics et le public sur les réalités du monde numérique.
Le cas Steve Jackson Games devient même LE symbole de la résistance. L’EFF le soutient dans son procès contre le Secret Service et 3 ans plus tard, en 1993, victoire totale ! Un tribunal fédéral déclare le raid “négligent, illégal et totalement injustifié”. Jackson touche 50 000 dollars de dommages et intérêts, plus 1 000 dollars pour trois utilisateurs de son BBS.
Mais le plus important, c’est le précédent juridique car pour la première fois, un tribunal établit que les communications électroniques sont protégées par le Premier Amendement. Bref, poster sur un BBS, c’est comme parler dans la rue, c’est de la liberté d’expression. Révolutionnaire pour l’époque !
Sundevil ne visait même pas vraiment les hackers “nobles” car contrairement aux efforts du Chicago Computer Fraud and Abuse Task Force (qui ciblait les intrusions sophistiquées), Sundevil chassait surtout deux gibiers plus classiques : les voleurs de numéros de cartes de crédit et les pirates du téléphone.
Les “carders” utilisaient les BBS pour refiler des numéros de CB volés. Un business juteux mais pas très high-tech. Et les phreakers, eux, exploitaient les failles du système téléphonique pour téléphoner gratos ou accéder aux systèmes internes de Bell. Sympa pour appeler sa copine en Australie, mais bon, c’est pas Matrix non plus.
Quoiqu’il en soit, 35 ans plus tard, l’Opération Sundevil reste gravée dans la mémoire collective. C’est LE moment où le gouvernement US a déclaré la guerre à une sous-culture qu’il ne pigeait pas. Un peu comme si aujourd’hui ils décidaient de coffrer tous les mecs qui font du Bitcoin parce que “c’est louche”.
Et les leçons de Sundevil sont nombreuses. D’abord, elle montre les dangers de la panique morale face aux nouvelles technos. Les autorités, flippées par un truc qu’elles ne captaient pas, ont réagi comme des bourrins, causant plus de dégâts que les crimes qu’elles combattaient et ensuite, elle révèle le fossé béant entre la loi et la tech. Les lois de l’époque, conçues pour un monde pré-numérique, étaient complètement à côté de la plaque. Les flics, formés à choper des dealers et des braqueurs, se retrouvaient largués face à des ados avec des modems 2400 bauds.
Mais surtout, Sundevil a créé le mouvement pour les droits numériques. L’EFF, née des cendres de cette opération foireuse, est devenue THE organisation de défense des libertés en ligne. Sans Sundevil, pas d’EFF. Sans EFF, imaginez Internet aujourd’hui… Flippant, non ?
Et les hackers visés à l’époque, ont eu des destins variés. Certains ont disparu, traumatisés. D’autres sont passés du côté lumineux, devenant consultants en sécu ou entrepreneurs tech. Erik Bloodaxe (perquisitionné mais jamais inculpé) est devenu un ponte de la cybersécurité et The Mentor a travaillé dans le jeu de rôle. Comme quoi, vaut toujours mieux recruter les hackers que les coffrer !
L’Opération Sundevil a donc profondément transformé la scène hacker. Avant 1990, le hacking c’était un hobby, certes illégal, mais bon enfant et après Sundevil, ce fut la fin de l’innocence. Le hacking est devenu sérieux, dangereux. Les peines encourues étaient réelles, les carrières pouvaient être foutues. Du coup, paradoxalement, ça a professionnalisé le milieu. Exit les amateurs, place aux pros. Les script kiddies ont remplacé les explorateurs. Et surtout, c’est devenu lucratif.
Les BBS ont aussi progressivement disparu, remplacés par Internet. Les forums underground ont migré sur IRC, puis sur Tor. Les outils se sont sophistiqués et l’exploration a cédé la place au business, à l’hacktivisme, à l’espionnage industriel et étatique. On est aujourd’hui loin des gamins qui voulaient juste téléphoner gratos !
Toutefois, de nos jours, l’incompréhension mutuelle entre autorités et communauté tech persiste. Vous avez vu les questions des sénateurs à Mark Zuckerberg ? “Comment Facebook gagne de l’argent si c’est gratuit ?” Mdr ! Si en 2025 ils ne pigent toujours pas le modèle économique du web, imaginez en 1990…
Et même si aujourd’hui, la ligne entre hacker malveillant et chercheur légitime est mieux comprise (merci les bug bounties !), elle reste floue pour beaucoup de monde et des chercheurs se font encore emmerder pour avoir révélé des failles. Comme quoi, on n’apprend pas de nos erreurs.
Et Sundevil a probablement fait plus pour populariser le hacking que n’importe quelle action des hackers eux-mêmes. Les médias se sont rués sur l’histoire, transformant des ados boutonneux en cyber-warriors. Le livre de Bruce Sterling, “The Hacker Crackdown”, a également immortalisé l’opération. Sterling, écrivain cyberpunk et journaliste, a passé des mois à interviewer tout le monde : hackers, agents, employés télécoms et son bouquin, qu’il a mis gratos en ligne en 1994 (un geste de ouf pour l’époque !), est devenu LA bible pour comprendre cette période. Respect, Bruce !
Sundevil a aussi créé exactement ce qu’elle voulait détruire à savoir une communauté hacker unie et politisée car avant 1990, les hackers étaient dispersés et apolitiques et après, ils ont compris qu’il fallait s’organiser, se défendre et des conférences comme Defcon (lancée en 1993) sont nées de ce besoin de se serrer les coudes.
Aujourd’hui quand je regarde Sundevil, j’ai un peu de nostalgie car c’était une époque plus simple, où les hackers étaient des gamins curieux et pas des mafieux avec des ransomwares.
C’était une époque où on croyait encore qu’Internet allait libérer l’humanité… et malheureusement, ce n’est pas exactement ce qui s’est passé !
– Sources :
The Hacker Crackdown par Bruce Sterling (Project Gutenberg), Operation Sundevil - Wikipedia, SJ Games vs. the Secret Service - Archives officielles, Steve Jackson Games v. Secret Service Case Archive - EFF, Legion of Doom - Wikipedia, The Hacker Crackdown - Full Text (MIT), Phrack Magazine Archives, Malicious Life Podcast: Operation Sundevil, Gail Thackeray - InfoCon Speaker Profile, FOIA Request: Operation Sundevil - MuckRock, Defcon Archives, textfiles.com - Jason Scott’s Archive
https://korben.info/operation-sundevil-1990-guerre-hackers-secret-service.html
