Un hacker auvergnat, ça va…

Mercredi soir, une dépêche AFP tombait: la police venait d’arrêter Hacker-croll, un pirate informatique clermontois qui pouvait «contrôler Twitter». L’espace d’un instant, j’ai presque cru qu’on venait d’échapper à une cyberattaque d’envergure, sur fond de scénario futuriste. Mais à  y regarder de plus près, le jeune homme est probablement moins dangereux que l’effet de loupe du réseau.

«On donne à cette affaire des proportions qu’elle ne mérite absolument pas», m’a expliqué au téléphone  Jean-Yves Coquillart, procureur de la République de Clermont-Ferrand. Récapitulons le chef d’accusation. Hacker-croll est poursuivi pour «accès frauduleux à un système automatisé de traitement de données», un délit pour lequel il encourt 2 ans de prison et 30.000 euros d’amende. Plus intéressant, les faits qui lui sont reprochés ne recouvriraient que 20 petites minutes, dans la nuit du 28 au 29 avril 2009.

A ce moment, le jeune homme aurait profité des faiblesses du système pour casser les mots de passe et s’introduire sur les comptes Twitter très médiatisés de personnalités, de Britney Spears à Barack Obama. Visiblement, il n’y aurait effectué aucune modification. Dans les archives, aucun tweet suspect. Qu’y a-t-il trouvé? Probablement peu de choses. Le procureur évoque «des adresses IP, les dates de connexion, d’inscription, ou encore la liste des utilisateurs bloqués», rien qui puisse mettre en péril la sécurité nationale, ni chez nous, ni aux Etats-Unis.

«Un costume trop grand pour lui»

A en croire ses dernières allégations, Hacker-croll se serait introduit sur les comptes de ses victimes en «devinant leur mot de passe». Mais dans une interview à Zataz en juin 2009, il expliquait s’être servi de l’adresse Yahoo d’un employé de Twitter pour pénétrer sur l’administration du site. Il avait alors effectué quelques captures d’écran,  avant d’être repéré 15 minutes plus tard (ce qui correspondrait à l’accusation formulée par le procureur de la République). Autre hypothèse, il pourrait avoir eu recours à un logiciel «brute force», qui permet de tester des combinaisons infinies de mot de passe selon un algorithme relativement simple. Comme en attestent les 360.000 occurrences Google sur la recherche «brute force + Twitter», pas besoin d’être un génie de l’ingénierie sociale pour couper le sifflet des gazouilleurs. C’est d’ailleurs l’avis de la justice. «Le garçon est astucieux, estime Jean-Yves Coquillart. Mais le costume est trop grand pour lui, ce n’est pas un pirate. Vous savez, il ne faut pas chercher très loin. Ce n’est pas tous les jours qu’on voit le FBI à Clermont-Ferrand.»

Sous couvert d’anonymat, une source proche du dossier va plus loin, en soutenant mordicus que Hacker-croll n’est pas le Arsène Lupin du Net. Dans une France peu habituée à ce genre d’affaires, il est tentant d’habiller le pirate de cette tunique. Ce serait disproportionné. Et si l’affaire avait été montée en épingle par l’office central? Qui? L’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (O.C.L.C.T.I.C.). Contacté par téléphone jeudi matin, le service d’information de la police nationale n’a pas donné suite à ma requête. «Le parquet ne veut plus communiquer là-dessus», m’a-t-on expliqué. Sorti de garde à vue mercredi soir, le hacker est convoqué au tribunal correctionnel de Clermont-Ferrand le 24 juin.

Olivier Tesquet

Image de une: la Fail Whale de Twitter / Flickr CC manoellemos