Rabbin des Bois : hacker ou imposteur ?

Depuis deux jours, un homme masqué parcourt les médias. Il se fait appeler Rabbin des Bois et d’après les éditions de La Martinière, qui ont publié mercredi 16 mai son autobiographie, Lève-toi et code, Confession d’un hacker , il serait « l’un des hackers les plus reconnus du public français. » Son principal trophée : le piratage de la base de données de Sciences Po. Un coup d’éclat qui lui a valu un tour en garde à vue, un rappel à la loi et un article dans le Monde en mars 2017. Sur les plateaux télé et dans son livre, il roule des mécaniques, ambiance rap hardcore, alternant punchlines gênantes - « Ils te chient dessus avec l’élégance d’un Shih-Zu » - et bragadoccio. À l’en croire, il a été l’un des meilleurs vendeurs du marché noir du dark web AlphaBay, son disque dur a « probablement » contenu de quoi lui garantir « vingt ans de prison », il a « tutoyé du regard certaines databases qui pouvaient à elles seules [lui] ôter bêtement la vie », a amassé 200 bitcoins, connaît des hackers russes (ses « connaissances du Kremlin ») auxquels il achète des failles 0day pour iOS pour des « sommes à quatre zéros »…

Le problème, c’est qu’il est impossible de prouver la plupart de ces faits d'armes. Ce qui pousse à croire que Rabbin des Bois est, au mieux, un petit arnaqueur. On aurait aimé lui poser la question mais il n'a pas donné suite à notre demande. Alors, Vice a mené l’enquête. Prenons le pilier du personnage Rabbin des Bois et de la promotion de son livre : le piratage de Sciences Po, qui lui aurait permis de récupérer les « noms, prénoms, adresses e-mail et fonction de 220 752 personnes » en exploitant une « faille SQL ». Et affirmons-le d’emblée : cela n’a rien d’exploit. C’est même plutôt facile. Julie Gommes, spécialiste en cybersécurité, rappelle qu’il s’agit de « l’une des vulnérabilités que l’on trouve le plus souvent selon le top 10 OWASP. » En fait, les failles SQL sont si courantes et faciles à repérer que leur exploitation peut-être automatisée, explique-t-elle : « Aujourd'hui, avec des outils accessibles au grand public, quelqu'un de très moyen peut hacker un site. »

Nul besoin de s’enfoncer dans le dark web pour trouver ces outils par poignées : une requête sur Google suffit. Ces logiciels à l’interface souvent proprette recherchent les failles et les exploitent pour vous, sur le web entier ou sur le site de votre choix. Nul besoin, non plus, de savoir coder, c’est juste une affaire de temps. Dans un article consacré à l’histoire des attaques par injection SQL, publié en 2015 par la version américaine de Motherboard, Mustafa Al-Bassam, un ancien membre du groupe de hackers LulzSec, expliquait qu’un « enfant de quatre ans » pourrait utiliser ces outils. Troy Hunt, le créateur de Have I Been Pwned, a même réalisé une vidéo dans laquelle il apprend à son fils de trois ans à se servir de l’un d’entre eux.

Rabbin des Bois lui-même semble avouer dans son livre qu’il utilise ces outils : « Je m’étais spécialisé dans le SQL. Tous les jours, je trouvais des centaines de failles en scannant Internet avec mes logiciels. » Autre élément troublant : son header Twitter - une série de lignes vertes sur fond noir qui mentionnent Sciences Po - ressemble beaucoup à sqlmap, un logiciel de détection et d’exploitation automatique des failles SQL téléchargeable en trois clics depuis Google.

Dans le milieu de la cybersécurité, les individus qui réalisent leurs attaques informatiques à l’aide d’outils automatisés qu’ils n’ont pas créés sont appelés « script kiddies ». L’étiquette est assez honteuse pour que quelqu’un décide de créer une page WikiHow intitulée « How To Avoid Becoming A Script Kiddie ». En dépit de leur bas niveau, ces cybercriminels représentent une menace sérieuse, car leur manque de connaissances les force à choisir leurs cibles en fonction de leurs failles de sécurité et non d’un intérêt particulier pour elles. Ils râtissent large et frappent tout ce qui n’est pas assez protégé, souvent sans comprendre ce qu’ils sont en train de faire.

C’est certainement ce qui s’est passé avec Sciences Po : la faille SQL est tombée dans le filet automatique de Rabbin des Bois. Il ne l’a pas cherchée, découverte ou exploitée, le logiciel d’un autre l’a fait pour lui. Certes, il a montré que la base de données de l’établissement était vulnérable. Mais quel effort a-t-il fourni pour ça ? A-t-il vraiment accompli ce que laisse imaginer son personnage de 1337 haxxor ? Au fond, son histoire rappelle surtout que n’importe quel quidam peut devenir « pirate » s’il sait quoi télécharger - ce dont la communauté de la cybersécurité se désole depuis au moins vingt ans.

Rabbin des Bois sait sans doute que le grand public n’a pas conscience de cela. Cette méconnaissance lui permet de mener sa tournée promotionnelle en toute tranquillité. Distribuant les déclarations aussi creuse qu’emphatiques - « La data représente l’information, trompette-t-il dans Paris Match. Et l’information, c’est le pouvoir » - il exploite à fond le cliché du hacker cool et mystérieux à la Mr. Robot. Et pour mieux faire passer sa couleuvre, il la tartine de références pop : « Ne restez pas des Moldus ! ose-t-il chez Konbini. Le quai 9 ¾ est ouvert, vous pouvez devenir des apprentis sorciers. » Un talent pour le storytelling qui profite sans doute beaucoup à ses affaires.

Car du business, Rabbin des Bois en fait. Et pas qu’un peu : son site officielpropose des achats de likes et de followers —activité lucrative mais peu glorieuse. Comme les hacks de comptes Instagram dont il s’affirme capable, moyennant 5 000 à 10 000 euros. Du coup, l’entendre se présenter comme un lanceur d’alerte et quémander une reconnaissance qu’il aurait (dit-il) obtenue sans peine aux États-Unis, voire de l’avancement, est clairement gênant. Il semble plus proche des magouilles de ses débuts, lorsqu’il abusait de PayPal et trompait la vigilance du service après-vente de BlackBerry, que de la mission de sensibilisation dont il se réclame.

Dernier détail, le plus significatif encore : Rabbin des Bois est apparu comme par magie sur Internet au début de l’année 2017. Son site officiel et son compte Twitter ont été ouverts juste à temps pour la publication de l’article originel du Monde, qu’il a par ailleurs contacté de son propre chef. Au fond, Rabbin des Bois avait sans doute moins l’intention de rendre service au réseau que de faire parler de lui – et de son petit business.