Kevin Mitnick : le hacker le plus recherché du FBI
-
– Kevin Mitnick lors d’une conférence - Photo : Flickr (CC BY 2.0)Imaginez un mec capable de lancer une guerre nucléaire en sifflant dans un téléphone public ? Non, je ne vous parle pas d’un super-vilain de James Bond, mais bien de Kevin Mitnick selon… le FBI américain. Bienvenue dans les années 90, où les juges prenaient au sérieux l’idée qu’un hacker puisse pirater le NORAD à coups de sifflets. Du délire j’vous dis ! Et pourtant, cette absurdité n’est qu’un aperçu de la légende urbaine qu’est devenu Kevin David Mitnick, probablement le hacker le plus fascinant et mal compris de l’histoire de l’informatique.
L’histoire de Mitnick, c’est celle d’un gamin curieux de Los Angeles qui a fini par terroriser le FBI au point qu’ils l’ont enfermé en isolement pendant 8 mois. Oui, 8 mois et entre ses 2 vies, y’a un gouffre : celle du fugitif le plus recherché d’Amérique et celle du consultant en cybersécurité millionnaire. Alors comment un adolescent passionné de téléphonie est-il devenu l’incarnation de tous les fantasmes paranoïaques sur les hackers ?
C’est exactement ce qu’on va découvrir ensemble.
Kevin Mitnick naît le 6 août 1963 à Van Nuys, Los Angeles, dans une famille où la technologie n’est pas vraiment au menu. Du coup, dès l’âge de 12 ans, ce petit malin développe déjà une obsession pour les systèmes et les failles. Son premier “hack” ? Les transports en commun de LA. Le gamin réussit à convaincre un chauffeur de bus de lui révéler où acheter une pince à perforer les tickets, soi-disant pour un projet scolaire. Une fois équipé, il mémorise toutes les combinaisons de perforation des tickets de correspondance et peut ainsi voyager gratuitement dans tout Los Angeles. Malin le gosse ! Mais c’est que le début de sa carrière de manipulateur social.
Au lycée, Mitnick rencontre un étudiant passionné de “phone phreaking” c’est à dire, l’art de pirater les systèmes téléphoniques. Quand il découvre qu’on peut utiliser des numéros de test secrets pour passer des appels longue distance gratuits, c’est l’illumination totale. Le parallèle avec ses exploits dans le bus est évident, et il accroche immédiatement à l’idée. Son pote lui montre les rudiments du social engineering pour berner les opérateurs téléphoniques, mais Mitnick n’a pas besoin de beaucoup d’entraînement. Il a un don naturel pour la manipulation et une mémoire photographique qui lui permet de retenir une quantité impressionnante d’informations techniques.
À 16 ans, ses premières prouesses font sensation dans le milieu des phreakers. Il prend le contrôle du haut-parleur d’un drive McDonald’s avec une radio (son hack préféré de tous les temps !), obtient les numéros de téléphone non répertoriés de célébrités et pirate même le système informatique de son lycée. Mais c’est à 17 ans qu’il réalise son exploit le plus dingue : il réussit à mettre sur écoute… la NSA. Oui, vous avez bien lu, la National Security Agency. Le gamin avait littéralement les couilles en acier.
Un hacker plus expérimenté lui lance alors un défi qui va changer sa vie : pirater “The Ark”, le système informatique que Digital Equipment Corporation (DEC) utilise pour développer son système d’exploitation RSTS/E.
Si tu arrives à hacker The Ark, on considérera que tu es assez bon pour qu’on partage nos informations avec toi.
Challenge accepted ! Mitnick appelle les bureaux de développement de DEC dans le New Hampshire et se fait passer pour Anton Chernoff, un des développeurs clés de l’entreprise. Un pari risqué qui repose sur le fait que même si le nom de Chernoff est connu, peu de gens ont réellement rencontré l’homme en personne et peuvent reconnaître sa voix.
La technique fonctionne parfaitement. Le manager du système, complètement berné, réinitialise le mot de passe du compte d’Anton Chernoff. Non seulement Mitnick accède au système avec tous les privilèges d’un développeur, mais il télécharge également le code source du système d’exploitation de DEC. Et dans un geste d’une arrogance folle, il appelle ensuite le département de sécurité de DEC pour leur dire qu’ils ont été hackés ! Un crime pour lequel il sera inculpé et condamné en 1988. Mais plutôt que de tirer les leçons de ses erreurs, Mitnick s’enfonce davantage dans l’illégalité.
– Autocollant “Free Kevin” du mouvement de soutien à Mitnick - Image : Wikimedia Commons (Public Domain)Pour échapper aux autorités, il adopte plusieurs pseudonymes. Son préféré ? “Condor”, inspiré du film “Les 3 jours du Condor”. Mais quand la pression monte vraiment en 1992, après avoir piraté Pacific Bell, il utilise l’identité d’Eric Weiss, le vrai nom de Harry Houdini. Symbolique, non ? Comme le célèbre illusionniste, Mitnick semble alors capable de s’échapper de toutes les situations impossibles. Il s’installe à Denver sous cette fausse identité, obtient un job d’administrateur système dans un cabinet d’avocats, et vit tranquillement pendant que le FBI le cherche partout. Il était littéralement caché à la vue de tous !
Sa spécialité, c’est le social engineering c’est à dire l’art de manipuler les gens pour obtenir des informations confidentielles. Mitnick maîtrise cette technique comme personne. Il peut se faire passer pour n’importe qui : employé du service technique, cadre dirigeant, agent de maintenance. Sa voix est rassurante, ses connaissances techniques impressionnantes, et il sait exactement sur quels boutons psychologiques appuyer pour obtenir ce qu’il veut. Un vrai caméléon social. Ses exploits incluent même le piratage des communications du FBI pour avoir une longueur d’avance sur les agents qui le pourchassent.
Du grand art !
Le 15 février 1995, le FBI finit par mettre la main sur lui dans son appartement de Raleigh, en Caroline du Nord (oui, je vous parlerai de Tsutomu Shimomura mais un peu plus tard…). Et là, c’est le début d’une saga judiciaire complètement folle. Les procureurs, terrorisés par la réputation quasi-mythique de Mitnick, font des déclarations qui confinent au ridicule. Le procureur de l’affaire déclare devant le juge que Mitnick peut “se connecter via un modem au NORAD et siffler dans le téléphone pour potentiellement lancer une arme nucléaire”. Non mais sérieusement ?!
Mitnick raconte qu’il a failli éclater de rire en entendant ça au tribunal. Mais le juge, lui, ne rigole pas du tout. Il ordonne que Mitnick soit maintenu en isolement cellulaire sans caution jusqu’à son procès. 8 mois d’isolement complet, privé d’accès au téléphone, et même sa radio lui est confisquée par peur qu’il la transforme en téléphone portable ! On nage en plein délire, mais c’est pourtant la réalité des années 90, époque où la compréhension technologique des autorités était… disons, limitée.
Cette histoire de sifflet nucléaire devient rapidement le symbole de l’ignorance crasse du système judiciaire américain face aux nouvelles technologies. Selon plusieurs sources, les autorités ont littéralement inventé des super-pouvoirs à Mitnick pour justifier un traitement exceptionnel. Le mythe était tellement ancré que certains pensaient vraiment qu’il était capable de pirater n’importe quel système juste en sifflant des codes. Mdr !
L’emprisonnement de Mitnick déclenche alors le “FREE Kevin Movement”. Des supporters brandissent des pancartes jaunes avec “FREE KEVIN” écrit dessus et manifestent contre son arrestation. Pour beaucoup, Mitnick devient le symbole d’une justice qui ne comprend rien à la technologie et qui sanctionne par peur plus que par logique et l’autocollant “Free Kevin” devient un symbole de ralliement pour toute la communauté hacker.
Au total, Mitnick passe 5 ans en prison : 4 ans et demi en détention préventive et 8 mois en isolement. Quand il sort enfin en 2000, le monde a changé. Internet s’est démocratisé, les entreprises ont commencé à prendre la cybersécurité au sérieux, et bizarrement, les compétences de Mitnick sont devenues… précieuses. Plutôt cool comme retournement de situation !
C’est là que commence sa 2ème vie. Plutôt que de retourner dans l’illégalité, Mitnick comprend que ses talents de manipulateur social peuvent servir à protéger les entreprises au lieu de les attaquer. Il fonde Mitnick Security Consulting LLC et devient consultant en cybersécurité. Son approche ? Utiliser exactement les mêmes techniques qu’il employait comme hacker, mais cette fois pour identifier les failles avant que les vrais criminels ne les exploitent.
Le concept est brillant. Qui de mieux qu’un ancien hacker pour comprendre comment les hackers pensent ? Mitnick et son équipe, surnommée “The Global Ghost Team” (plus de 40 experts avec minimum 8 ans d’expérience chacun), développent des tests de social engineering si efficaces qu’ils affichent un taux de succès de 100%. Oui, vous avez bien lu : 100% de leurs tests d’intrusion sociale réussissent. Cela en dit long sur la naïveté persistante des employés face aux techniques de manipulation. Du délire j’vous dis !
Mitnick devient rapidement une figure respectée de l’industrie. Il écrit plusieurs livres best-sellers (lien affilié) : “The Art of Deception”, “Ghost in the Wires” (son autobiographie), “The Art of Intrusion” et “The Art of Invisibility”. Il donne des conférences dans le monde entier, partageant son expérience et ses techniques pour sensibiliser les entreprises aux dangers du social engineering. L’ironie est savoureuse : l’homme qui terrorisait le FBI devient l’un des experts les plus demandés pour protéger les entreprises contre… des gens comme lui. Sa société compte parmi ses clients des dizaines d’entreprises du Fortune 500 et plusieurs gouvernements.
Ce qui rend Mitnick si fascinant, c’est que ses techniques datant des années 80-90 fonctionnent encore parfaitement aujourd’hui. Le social engineering n’a pas pris une ride. Que ce soit par téléphone, email, ou même en personne, les méthodes pour manipuler la confiance humaine restent les mêmes. Les outils ont évolué, mais la psychologie humaine, elle, n’a pas changé et Mitnick avait compris très tôt que la sécurité informatique ne dépend pas uniquement de la technologie, mais surtout du facteur humain. Vous pouvez avoir les firewalls les plus sophistiqués du monde, si votre réceptionniste donne le mot de passe admin au premier “technicien” qui l’appelle, votre sécurité ne vaut rien.
Malheureusement, l’histoire de Kevin Mitnick s’achève le 16 juillet 2023. Il décède à l’âge de 59 ans d’un cancer du pancréas dans un hôpital de Pittsburgh, laissant derrière lui son épouse Kimberley (36 ans) enceinte de leur premier enfant. Un départ tragique pour celui qui avait survécu au FBI mais pas au cancer. Mais même après sa mort, Mitnick Security continue d’appliquer ses méthodes et maintient le même taux de succès impressionnant.
L’influence de Mitnick sur la culture hacker est indéniable. Il a été l’un des premiers à populariser l’idée que le hacking n’est pas seulement une question de compétences techniques, mais aussi de compréhension de la psychologie humaine. Il a inspiré toute une génération de hackers, mais aussi de professionnels de la sécurité qui utilisent ses techniques pour le bien. CNN, Fox News et d’autres médias prestigieux l’ont même surnommé “The World’s Most Famous Hacker”.
Au final, Kevin Mitnick nous a prouvé que la sécurité informatique ne tient finalement qu’à un fil : la crédulité humaine. Et ses techniques vieilles de 30 ans fonctionnent encore parfaitement aujourd’hui alors la prochaine fois qu’un “technicien” vous appelle pour vérifier vos mots de passe, pensez à Mitnick et raccrochez. Il aurait été fier de vous !
– Source :
-
Génial
