Le hacker "PhineasFisher" s'exprime face caméra pour la toute première fois

Quelques semaines après avoir piraté les serveurs de Hacking Team, une entreprise de surveillance qui fournissait des outils d'espionnage à des régimes autoritaires, PhineasFisher nous a expliqué ses motivations - grâce à une marionnette.

|
21 Juillet 2016, 9:48am

Il y a un peu plus d'un an, le compte Twitter de Hacking Team, une entreprise italienne qui vend des outils de surveillance à des gouvernements un peu partout dans le monde, s'est mis à faire des choses bizarres.

"Vu que nous n'avons rien à cacher, nous allons publier tous nos e-mails, tous nos fichiers, et notre code source", pouvait-on ainsi lire dans un tweet publié le dimanche 5 juillet 2015.

Le tweet comportait également un lien vers un fichier torrent d'environ 400 Go, qui comprenait presque tout ce qui figurait sur les serveurs de Hacking Team : des e-mails internes, des documents confidentiels, et même, donc, le code source de la compagnie. Hacking Team, qui à ce stade de son existence avait acquis une certaine réputation pour avoir vendu ses produits à des régimes répressifs tels que ceux de l'Éthiopie, du Maroc et bien d'autres encore, venait de se faire hacker.

Quelques heures plus tard, le hacker qui était parvenu à s'introduire dans les ordinateurs de l'entreprise et avait utilisé son propre compte Twitter pour diffuser les données piratées et ridiculiser la firme, avait révélé être le même individu qui avait mené une attaque similaire l'année précédente contre une autre compagnie vendant des logiciels de surveillance à des gouvernements, FinFisher.

"J'ai lu le rapport de Citizen Lab sur FinFisher et Hacking Team, et je me suis dit "wow, c'est taré", alors je les ai hackés"

Depuis lors, le hacker, qui se fait appeler Phineas Fisher, s'est fait plutôt discret, à l'exception de quelques tweets sur son propre compte Twitter et d'un texte expliquant comment il s'était introduit dans les serveurs de Hacking Team, qui constituait aussi une sorte de manifeste de son mouvement, "hack back".

Mais avant cela, quelques semaines à peine après son attaque contre Hacking Team, je lui avais demandé s'il accepterait de faire une interview avec mes collègues de VICE Canada, qui travaillaient sur un documentaire sur le marché des cyber mercenaires, autrement dit des entreprises qui vendent des outils de surveillance et de hacking à des services de renseignement et de police à travers le monde.

Après quelques échanges, Phineas Fisher a fini par donner son accord - à une condition inédite.

"Je veux bien faire une interview vidéo si vous embauchez Kermit la grenouille (ou une autre marionnette ne violant pas les lois du copyright) et un doubleur pour lire ce que j'écrirai dans une fenêtre de chat", me disait Phineas Fisher.

Et donc, nos collègues canadiens se sont procurés une marionnette et ont discuté avec Phineas Fisher, pour sa toute première interview. Vous pouvez voir l'essentiel de cette interview inédite dans la vidéo ci-dessous, ou en lire une retranscription complète (très légèrement éditée par souci de clarté) également ci-dessous.

BEN MAKUCH : Alors, pourquoi avoir hacké Hacking Team ?

PHINEAS FISHER : J'ai lu le rapport de Citizen Lab sur FinFisher et Hacking Team, et je me suis dit "wow, c'est taré", alors je les ai hackés.

C'était aussi simple que ça ? Comment as-tu fait ?

Je finirai par expliquer comment j'ai fait pour Hacking Team. [Note : cette interview a été réalisée quelques mois avant que Phineas Fisher ne publie une explication détaillée de sa méthode.]

Quel était le but de cette démarche ? Pourquoi diffuser toutes les données de Hacking Team ? Tu voulais les arrêter ?

C'était pour me marrer. Je ne m'attends pas vraiment à ce qu'une simple fuite de données arrête une entreprise. Mais on peut quand même espérer que ça les embête suffisamment et que ça les calme, pour que les gens que leurs logiciels visent puissent respirer un peu.

À ce propos, on a parlé avec des journalistes éthiopiens qui étaient visés par leur gouvernement grâce à des outils développés par Hacking Team. Ils tenaient à te remercier.

Cool. Ça fait bizarre que ma passion du hacking, qui est surtout un hobby, ait un effet concret sur la vie d'autres personnes dans le monde réel, surtout si c'est positif.

Si c'est juste un hobby, tu es plutôt doué. Est-ce que pour toi c'est une manière de t'en prendre à la surveillance généralisée ?

Bien sûr, sinon je ne m'en prendrais pas à des entreprises dont c'est le coeur de métier.

Qu'est-ce que tu penses des entreprises de surveillance ? Et plus spécifiquement de Hacking Team ?

Je dirais que ce sont des gens qui n'ont aucune morale et se fichent bien de savoir d'où vient l'argent, mais ce n'est peut-être pas tout à fait vrai. Je ne suis sans doute pas très différent des employés de Hacking Team, moi aussi je suis accroc aux impulsions électroniques et à la beauté du débit [une référence au fameux Hacker's manifesto]. J'ai juste eu une enfance différente. Il y avait ACAB ["All Cops Are Bastards"] écrit partout sur les murs. J'imagine que si on vient d'un milieu où la police est surtout perçue comme une force de protection, il est normal de vouloir développer des outils pour elle, mais Citizen Lab a bien montré qu'en l'espèce il s'agissait surtout de fournir des armes supplémentaires à de mauvaises personnes, quasiment des méchants de films. On parle d'espionner des journalistes, des dissidents, des opposants politiques etc, et eux ils ignorent tout ça, ils continuent à travailler comme si de rien n'était. Donc ouais, ils n'ont aucune morale je pense, mais la plupart des gens feraient sans doute la même chose dans la même situation. C'est facile de rationaliser tout ça quand ça rapporte gros et que ta famille, tes proches etc dépendent de ce type d'activité.

"Je ne m'attends pas vraiment à ce qu'une simple fuite de données arrête une entreprise."

Ce qui est intéressant, c'est qu'ils disent que ce qu'ils font est parfaitement légal, alors que ce que tu fais toi est illégal.

Ouais, c'est vrai. Mais en général, ce qui est légal ou illégal est l'inverse de ce qui est bien ou mal.

Ils nous ont que ce qu'ils faisaient était tout à fait conforme aux règles. C'est vrai. À ton avis, comment le public perçoit-il Hacking Team désormais ?

À mon avis, le public n'a même pas entendu parler de Hacking Team. On peut juste espérer que dans la communauté des programmeurs et des hackers, assez de gens aient entendu parler de tout ça pour qu'ils aient du mal à trouver des gens qui acceptent de travailler pour eux. Les gens qui entrent dans une boîte pareille sont sans doute tout à fait normaux, puis au fil du temps, les contradictions et prises de conscience qu'ils doivent endurer pour continuer à travailler finissent par les rendre fous, comme [le PDG de Hacking Team] David Vincenzetti.

Tu penses que d'autres entreprises de surveillance ont peur de toi maintenant ? Tu as réussi deux gros coups.

Je ne me vois pas comme quelqu'un qui fait peur. Mais sans doute, on voit d'ailleurs dans les e-mails de Hacking Team qu'ils ont fait un test d'intrusion pour vérifier leur sécurité dans la foulée de l'attaque contre FinFisher. Mais ce ne sont pas uniquement les entreprises de surveillance. Toute l'industrie des systèmes d'information (Infosec) est gênée. Ils se disent "hackers éthiques", alors que Hacking Team produisait clairement des outils qui servaient surtout à faire des choses qui n'avaient rien d'éthique. Du coup, plein de gens du secteur se sont réjouis de l'attaque. Mais certains ont été mal à l'aise, parce qu'ils se sont aperçus que les gens comme eux, qui produisent des systèmes de sécurité pour des banques ou des entreprises de défense, et les gens comme Hacking Team qui fournissent des armes à la police et à l'armée étaient en fait du même côté, au final.

Selon toi, le logiciel vendu par Hacking Team était-il bon ? Qu'est-ce que tu penses d'eux et de leur travail ?

Le logiciel est correct, il fait ce qu'on lui demande. Mais si l'on pense au nombre de gens qui travaillent dessus à temps plein, c'est un peu décevant. Mais le plus important, ce n'est pas le logiciel, il y en a de meilleurs. Ce qu'ils proposent, c'est un outil clés en main et un support technique. Grâce à eux, des dictateurs débiles qui savent à peine allumer un ordinateur peuvent espionner et hacker leurs opposants.

Oui, c'est comme ça que Citizen Lab le décrit. L'agence de renseignement éthiopienne INSA était complètement incapable de se cacher et d'effacer ses traces.

Ouais, quand on lit certains e-mails échangés avec les clients, on hallucine. Les gens qui utilisent le logiciel sont incapables d'utiliser un ordinateur. Sérieux, l'INSA, vous devriez payer une formation d'informatique à l'un de vos gars, c'est pas possible.

Bon conseil ! C'est quoi le truc le plus marrant que tu as découvert dans tout ça ?

[Un tweet qui dit "Pendant ce temps-là, à l'ambassade de Londres" en espagnol. Une blague en référence à la situation qu'on imagine un peu gênante à l'ambassade d'Équateur à Londres, qui abritait Julian Assange au moment même où Wikileaks diffusait les e-mails de Hacking Team qui avaient été piratés. Les e-mails montraient que l'agence de renseignement équatorienne avait acheté le logiciel italien et l'utilisait pour espionner des opposants politiques.]

Si ces entreprises de surveillance continuent à vendre leurs produits à des dictateurs, même après avoir été hackées, que peut-on faire légalement pour les empêcher de vendre des armes à l'étranger, puisque c'est finalement de cela qu'il s'agit ?

Votre question me surprend un peu. Je ne vois pas pourquoi les gens qui font les lois voudraient arrêter une entreprise dont le job consiste à les aider à faire appliquer ces mêmes lois.

Pas faux.

Vous partez peut-être du principe, comme Citizen Lab, qu'il y a de "bons" et de "mauvais" gouvernements, et que les "bons" pays ont de bonnes raisons d'utiliser ces outils mais qu'ils doivent empêcher les "mauvais" pays d'y avoir accès ?

Je suppose qu'il y a une différence entre les "régimes autoritaires" et les gouvernements "démocratiques".

Au final, la police fait le même travail. Tous les clients de FinFisher et Hacking Team dont les cibles ont été identifiées à Bahrein, en Équateur, au Mexique, en Éthiopie etc visaient des journalistes, des dissidents, des opposants politiques, mais pas des "criminels". Partout, ces ressources sont utilisées essentiellement pour surveiller ceux qui peuvent menacer ceux qui détiennent le pouvoir, y compris dans les pays "démocratiques". Bien avant que tout soit stocké sur des disques durs et qu'on puisse pirater des données en pyjama, tout se trouvait dans des tiroirs et il fallait s'y introduire physiquement. Mais quand la commission citoyenne d'enquête sur le FBI a fouillé leurs bureaux, elle a découvert que 1% des documents étaient consacrés à lutter contre le crime ; 30% étaient des sortes de manuels d'instructions ; et 40% étaient consacrés à une forme de surveillance politique, concernant presque toujours des groupes de gauche. 14% des documents concernaient des gens qui avaient voulu échapper au service militaire ou avaient quitté l'armée. Autrement dit, on avait presque 70% des ressources qui étaient consacrées à la politique, et 30% au crime, si on veut être très schématique. La différence entre les régimes autoritaires et les "démocraties", c'est que les clients de Hacking Team torturent, emprisonnent et assassinent leurs opposants, alors que les "démocraties" font les choses de façon plus feutrée.

"La différence entre les régimes autoritaires et les "démocraties", c'est que les clients de Hacking Team torturent, emprisonnent et assassinent leurs opposants, alors que les "démocraties" font les choses de façon plus feutrée."

Si l'on compare les révélations de Snowden et la liste de clients de Hacking Team, les gouvernements en question font plus ou moins la même chose. La seule différence, c'est l'argent et la technologie utilisée.

Ouais, la tendance naturelle de tous ceux qui sont au pouvoir, c'est de vouloir encore plus de pouvoir et de contrôle, et pour ça ils ont besoin d'outils de surveillance.

Je me demandais : tu dirais quoi à Eric Rabe ? C'est le mec qui gère les relations presse de Hacking Team.

Ce qui est sûr, c'est qu'il est doué pour présenter les choses sous le meilleur jour possible. C'est précieux quand on se retrouve accusé d'avoir contribué à des violations des droits de l'homme et qu'on a besoin d'un mec capable de gérer une situation de crise.

Bim. Je me demande à quoi ressemble le mec qui fait ça chez Lockheed Martin.

Lockheed Martin ne fait que fabriquer les drones que quelqu'un d'autre utilise ensuite pour tuer des gens qui figurent sur une liste rédigée par encore une autre personne. Hacking Team fait juste partie d'une chaîne. Ils étaient juste un peu trop près du bout de la chaîne, on va dire.

Je suis sûr que c'est ce qu'ils se disent le soir avant de s'endormir. Un dernier truc avant de te laisser tranquille, si tu permets. Comment je peux être sûr que tu es bien Phineas Fisher ?

Tu ne peux pas, mais on est tous Phineas Fisher. C'est un nom un peu pourri, c'est juste le premier truc ressemblant un peu à FinFisher auquel j'ai pensé, et ça fait un moment que je ne les ai pas hackés. Je devrais trouver un autre nom.

Ouais, tu devrais. Trouve un truc plus dur. Genre "Laser Tiger".

Pas assez cyber.

"Hacking Team a encore été hacké par le célèbre Laser Tig3r". Ok, merci beaucoup d'avoir pris le temps de discuter avec moi. La marionnette a bien bossé aussi ce soir. Elle va te plaire, je pense.

Vice Cyber Investigative Journalist Squad

Ça me plaît.

Sérieusement, dans votre article sur Variety Jones, vous dites plusieurs fois "une source indépendante a pu avoir accès à...", ce qui est probablement un euphémisme pour dire que quelqu'un a hacké quelque chose illégalement. Comment je peux faire pour être payé pour ce genre de "journalisme d'investigation" ?

J'imagine que tu coûterais cher en Bitcoin. Tu acceptes le Dogecoin ou le Kanyecoin ?

Bitcoin, Dogecoin, Faircoin. Un autre truc marrant que tu devrais mentionner dans l'interview : mes premiers pas dans le monde du hacking, c'est quand j'ai commencé à créer des virus à travers mon groupe de prière à l'église parce que ma mère voulait que je prenne des cours d'informatique l'été via l'église.

Wow, donc on doit remercier l'église ? Merci pour cette anecdote en tout cas.

Pas de souci. Quand je sortirai de prison, au lieu de la jouer "hacker honnête", j'envisage de me lancer dans le stand up. Tu crois que ça peut marcher ?

Écoute ton coeur, Phineas.