jeudi 25 février 2016

Les trois pirates Anonymous, Jean Moulin et les 541 policiers

Évidemment, sous nos latitudes, les pirates déçoivent un peu. Pas une tête de mort à l’horizon. Les trois jeunes hommes en costume-cravate qui se serraient, mardi après-midi, sur le banc des prévenus de la 13e chambre du tribunal correctionnel de Paris semblaient bien inoffensifs. Accusés de divulgation de données personnelles, ils encouraient tout de même jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende.

Les faits remontent à janvier 2012. La justice américaine vient de fermer le site de partage de fichiers Megaupload et, en France, trois internautes ont été interpellés pour avoir bloqué le site Internet d’EDF, quelques mois après la catastrophe nucléaire de Fukushima. En représailles, des hackers organisent une série d’attaques. Les sites gouvernementaux immigration.gouv.fr et modernisation.gouv.fr sont « défigurés » : en lieu et place de la page d’accueil apparaît un texte des Anonymous sur « l’échange libre de biens culturels ». Plus grave : le 28 janvier, les coordonnées (nom, prénom, adresses mails et numéros de téléphone) de 541 adhérents du syndicat SGPFO police sont rendues publiques.

Deux ans d’enquête des renseignements français ont été nécessaires pour que ces trois-là se retrouvent sur le banc des prévenus. L’enquête de la DCRI avait été grandement facilitée par la publication des coordonnées de 4 100 hackers suite à une querelle entre hacktivistes. Deux des prévenus figuraient sur cette liste, le troisième avait été retrouvé grâce à l’adresse IP de son ordinateur, domiciliée chez ses parents. « En matière cyber, on interpelle peu, rappelle le procureur, qui ne lésine pas sur les qualificatifs. Ce ne sont pas des pieds nickelés, ce sont de vrais pirates informatiques. Même s’ils n’ont pas d’arme et n’ont pas commis de préjudice corporel, ce sont des gens dangereux. »

À la barre, Quentin, 22 ans, alias Sunki, lunettes carrées et léger duvet en guise de moustache, explique doctement comment il a trouvé la « faille » sur le site du syndicat policier.

– Vous avez tapé « police » dans Google ?, l’apostrophe Me Daniel Merchat, l’avocat des policiers.
– Non, j’ai tapé « inurl:=?.php ».
– ... D’accord, soupire la présidente du tribunal.

Sur les bancs du public, on se gausse. Cette formule magique a permis à Quentin de « faire remonter les sites avec des failles ». Celui du SGPFO arrive en premier. À l’été 2011, le jeune hacker prévient le webmaster du site et lui « explique comment le réparer ».

– Il n’en a pas tenu compte?, s’étonne la présidente.
– Visiblement non.
– Et donc vous décidez de rendre publique l’existence de cette faille ?
– Oui. Il y avait sept failles que je connaissais et que j’ai partagées.

« Chronologiquement, Quentin est d’abord un lanceur d’alerte, souligne son avocat, Me Matthieu Hy. Dans quelques mois, ça lui vaudra une exemption de peine. » La loi Sapin 2, débattue en avril prochain à l’Assemblée, prévoit en effet une protection pour ces lanceurs d’alerte d’un nouveau type.

En janvier 2012, au moment des « représailles », le jeune homme n’a pas lui-même mis en ligne les données, mais expliqué à un autre hacker comment le faire. Blondinet avec petite barbe branchée, Florent, alias Robert69, ingénieur télécom de 27 ans, est lui poursuivi pour avoir pris des captures d’écran des sites défigurés. Quant à Lucas, alias Calin, informaticien de 27 ans, il se dit « incapable » de tels piratages. Il avait annoncé sur Twitter « Amis journalistes, vous allez entendre parler de nos ennemis policiers ».

– Pourquoi avoir ciblé la police ?, insiste la présidente.
Silences gênés.
– La police représentait une image, le syndicat n’était pas visé pour lui-même, tente Quentin.

Stratégie de défense ou conscience politique limitée ? Les trois prévenus ont bien du mal à donner un peu de contenu à leurs actions. À l’époque, tous se réclament de la mouvance Anonymous, un rassemblement hétéroclite entre hacktivistes libertaires et adolescents en mal de sensations. « Tout le monde peut être un Anonymous, explique Quentin. Il n’y a pas de structure. On défend la liberté d’expression et la liberté de manière générale. »

– Je ne comprends pas la nécessité d’être anonyme, attaque Me Merchat. Quand Émile Zola défend les libertés, il le fait à visage découvert et ça lui coûte cher. Pourquoi vous cacher derrière ce masque?
– On a grandi avec la technologie. On manifeste de façon virtuelle. On ne se cache pas. La preuve aujourd’hui, je suis là à visage découvert devant vous.
– Vous ne pourriez pas faire autrement !, s’amuse la présidente.

 Le procureur, lui, ne prend pas du tout cette affaire à la légère. « Cette procédure a occasionné un coût : l’enquête et la remise en état des sites. » Est-ce pour la rentabiliser qu’il exige du tribunal un jugement « sévère » ? Il requiert un an de prison avec sursis et 5 000 euros d’amende pour chacun des prévenus. « Ce qui me semble inadmissible dans cette histoire, explique le représentant du parquet, ce sont les 541 données personnelles livrées au public. Que se serait-il passé si ces faits avaient été commis à l’aune des attentats de novembre 2015 ? »

Pour la centaine de policiers qui se sont constitués partie civile, Me Merchat énumère les préjudices : une vingtaine ont subi des appels et courriels malveillants, certains se sont même vu proposer des abonnements à des revues pornos, « c’est gênant ». Me Merchat, qui ne craint pas les dérapages, se lance : « Sous couvert de vocabulaire informatique, ces trois-là on fait ce que font souvent ceux qui habitent dans des caravanes : entrer chez les gens, se servir et revendre après. » Au total, les policiers réclament plus de 73 000 euros de dommages et intérêts. Et l’État 21 600 euros pour la remise en état des sites.

« Excessif ! » répondent en chœur les avocats de la défense, qui rappellent que les faits datent et que, depuis, leurs clients ont évolué. Après avoir obtenu une licence professionnelle de cyberdéfense et anti-intrusion des systèmes d’information, Quentin travaille aujourd’hui pour Google à Dublin. Lucas est sorti il y a quelques mois major de sa promotion de l’école 42, une école informatique gratuite sans condition de diplôme fondée par Xavier Niel (fondateur de Free et actionnaire à titre personnel du journal le Monde).

Pour Me Matthieu Hy, avocat de Quentin, « les convictions politiques exprimées aujourd’hui avec un peu de maladresses expliquent le mobile. Eux ont compris ce que les plus de 20 ans ne comprennent pas : le prochain Jean Moulin sera un geek ! Ils se sont quelque peu embourgeoisés depuis, mais l’histoire leur donne déjà raison. Le Parlement européen a rejeté le traité Acta à 92 % parce qu’il organise l’échange des données personnelles ».

« Il faut dédramatiser tout ça, conclut l’avocate de Lucas, Me Anne-Sophie Laguens. Je vous rappelle que le pseudo de mon client est Calin, son adresse mail Gros nounours bleu et son adresse IP chez sa mère. » Jugement le 22 mars.

Aucun commentaire:

Enregistrer un commentaire