Farrar, Straus et Giroux
En novembre 1988, un étudiant diplômé de l’Université Cornell nommé Robert Morris, Jr. a déclenché par inadvertance une crise nationale en lâchant un ver informatique auto-répliquant sur un ordinateur VAX 11/750 dans le laboratoire d’intelligence artificielle du Massachusetts Institute of Technology. Morris n’avait aucune intention malveillante; c’était simplement une expérience scientifique pour voir combien d’ordinateurs il pouvait infecter. Mais il a commis une grave erreur en fixant son taux de réinfection beaucoup trop élevé. Le ver s’est propagé si rapidement qu’il a détruit tout le réseau informatique de l’Université Cornell, paralysé ceux de plusieurs autres universités et même infiltré les ordinateurs des laboratoires nationaux de Los Alamos et de Livermore.
Pire encore, son père était un informaticien et cryptographe qui était le scientifique en chef du National Computer Security Center de la National Security Agency. Même si ce n’était pas intentionnel et que des témoins ont déclaré que Morris n’avait pas « un os frauduleux ou malhonnête dans son corps », il a été reconnu coupable de fraude informatique criminelle. Le juge a été miséricordieux lors du prononcé de la peine. Plutôt que 15 à 20 ans de prison, Morris a obtenu trois ans de probation avec travaux d’intérêt général et a dû payer une amende de 10 000 $. Il a ensuite fondé Y Combinator avec son ami de longue date Paul Graham, entre autres réalisations.
Le « Morris Worm » n’est qu’un des cinq cas de piratage que Scott Shapiro met en lumière dans son nouveau livre, Fancy Bear se lance dans l’hameçonnage : la sombre histoire de l’ère de l’information en cinq piratages extraordinaires. Shapiro est un philosophe juridique à l’Université de Yale, mais enfant, son père mathématicien – qui travaillait aux Bell Labs – a suscité un intérêt pour l’informatique en ramenant à la maison divers composants, tels que des micropuces, des résistances, des diodes, des LED et des planches à pain. Leurs sorties père / fils comprenaient la participation annuelle à la convention de l’Institute of Electrical and Electronics Engineers à New York. Ensuite, un camarade de classe de la classe de biologie du lycée de Shapiro l’a initié à la programmation sur le TRS-80 de l’école, et Shapiro est devenu accro. Il est passé à travailler sur un Apple II et s’est spécialisé en informatique à l’université, mais a perdu tout intérêt par la suite et est allé à la faculté de droit à la place.
Avec son collègue de Yale, Oona Hathaway, Shapiro a co-écrit un livre intitulé Les internationalistes : comment un plan radical pour interdire la guerre a refait le monde » règles » s’appliqueraient. Le sujet semblait être un choix naturel pour son prochain livre, en particulier compte tenu de la formation de Shapiro en informatique et en codage.
Malgré ce contexte, « honnêtement, je ne savais pas quoi dire à ce sujet », a déclaré Shapiro à Ars. « J’ai juste trouvé tout cela extrêmement déroutant. » Il a ensuite été invité à co-enseigner un cours spécial, « Le droit et la technologie du cyberconflit », avec le département d’informatique de Hathaway et Yale. Mais le mélange égal d’étudiants en droit et d’étudiants en informatique essayant d’apprendre deux domaines hautement techniques très différents s’est avéré être une combinaison difficile. « C’était la pire classe que j’aie jamais enseignée dans ma carrière », a déclaré Shapiro. « A tout moment, la moitié de la classe s’ennuyait et l’autre moitié était confuse. Je n’en ai rien appris, et aucun des élèves non plus. »
Cette expérience a poussé Shapiro à passer les prochaines années à essayer de casser cette noix particulière. Il a approfondi le C, le code d’assemblage x86 et Linux et s’est plongé dans l’histoire du piratage, réalisant son premier hack à l’âge de 52 ans. Mais il a également abordé la question à partir de son domaine d’expertise. « Je suis un philosophe, donc j’aime aller aux premiers principes », a-t-il déclaré. « Mais l’informatique n’a qu’un siècle, et le piratage, ou la cybersécurité, a peut-être quelques décennies. C’est un domaine très jeune, et une partie du problème est que les gens n’y ont pas réfléchi à partir des premiers principes. » Le résultat a été Fancy Bear se lance dans l’hameçonnage.
Le livre est une lecture vivante et engageante remplie d’histoires fascinantes et de personnages hauts en couleur : le tristement célèbre hacker bulgare connu sous le nom de Dark Avenger, dont l’identité est encore inconnue ; Cameron LaCroix, un jeune de 16 ans du sud de Boston connu pour avoir piraté le Sidekick II de Paris Hilton en 2005 ; Paras Jha, un étudiant de Rutgers qui a conçu le « botnet Mirai » – apparemment pour se sortir d’un examen de calcul – et a presque détruit Internet en 2016 lorsqu’il a piraté Minecraft; et bien sûr, le piratage titulaire de Fancy Bear par les renseignements militaires russes qui était si central pour l’élection présidentielle de 2016. (Fait amusant : Shapiro note que John von Neumann « a construit un automate auto-reproducteur en 1949, des décennies avant tout autre hacker… [and] il l’a écrit sans ordinateur. »)
Mais Shapiro apporte également un aperçu pénétrant des raisons pour lesquelles Internet reste si peu sûr des décennies après son invention, ainsi que comment et pourquoi les pirates font ce qu’ils font. Et sa conclusion sur ce qui peut être fait à ce sujet pourrait s’avérer un peu controversée : il est pas de solution permanente au problème de la cybersécurité. « La cybersécurité n’est pas un problème principalement technologique qui nécessite une solution principalement technique », écrit Shapiro. « C’est un problème humain qui nécessite une compréhension du comportement humain. » C’est son mantra tout au long du livre : « Le piratage concerne les humains. » Et cela laisse présager, pour Shapiro, « la mort du ‘solutionnisme' ».
Ars a parlé avec Shapiro pour en savoir plus.