François C. est un jeune Auvergnat de 23 ans, titulaire d’un BEP d’électrotechnique. Sur Internet, il s’appelle Hacker-Croll, et il est accusé d’avoir infiltré des comptes du réseau social Twitter. Son tableau de chasse comporte notamment les noms du président américain Barack Obama, de la chanteuse Britney Spears ou encore d’Evan Williams, l’un des fondateurs de Twitter. Traqué par le FBI et l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), il a été interpellé le 24 mars par les cyberpoliciers français et américains, avant d’être relâché au terme de sa garde à vue. Il devait comparaître libre jeudi 24 juin devant le tribunal correctionnel de Clermont-Ferrand, et encourt jusqu’à deux ans de prison pour « intrusion dans un système de données ».
L’histoire est rocambolesque. Hacker-Croll n’a eu besoin que de quelques clics et d’un peu de chance pour accéder au compte e-mail d’un employé de Twitter, qui avait sécurisé son mot de passe avec une question secrète : « Quelle est votre ville de naissance ? » En allant visiter le blog de l’employé, François C. a immédiatement trouvé la réponse : Saint-Louis. Cela s’appelle l’ingénierie sociale : plutôt que de forcer une sécurité informatique, il est souvent plus simple d’utiliser les failles humaines. Une fois entré dans la boîte de réception, il lui a suffi de chercher le mot de passe de l’interface d’administration de Twitter.
Jackpot stratégique
Non seulement François C. a pu consulter et modifier n’importe quel compte Twitter, mais il a eu accès à de nombreuses informations confidentielles de Twitter : contrats secrets, comptes rendus de réunions stratégiques, agendas, liste complète des employés de Twitter avec leurs coordonnées, leurs numéros de carte bancaire ou encore leurs préférences alimentaires, CV de candidats, etc. S’il l’avait voulu, il aurait aussi pu modifier la destination du nom de domaine twitter.com, en renvoyant vers n’importe quel site. Hacker-Croll n’a donc rien d’un méchant pirate : alors qu’il aurait pu détruire ou détourner Twitter pendant quelques heures, voire même quelques jours, il n’en a rien fait. « J’aurais pu le faire, mais ce n’est pas mon éthique », expliquait-il en juin 2009 au site Zataz. Certes, il a divulgué de nombreuses informations stratégiques, mais il ne les a pas monnayées. Pourtant, Facebook aurait payé très, très cher pour obtenir ces informations.
Avant même son interpellation, François C. avait expliqué qu’il souhaitait démontrer que les grandes sociétés « ne sont pas plus en sécurité que n’importe quel internaute ». « Anxieux » à l’approche de son procès, il « regrette d’avoir agi ainsi », selon son avocat, Me Jean-François Canis, pour qui l’affaire est « sans gravité particulière » puisqu’il n’y a pas eu de « réel préjudice » ni d' »escroquerie ». Ni Twitter, qui avait déposé la plainte, ni les autorités américaines, ni les propriétaires des comptes piratés ne se sont constitués parties civiles. Finalement, tout le monde s’accorde à dire que l’affaire n’est pas si grave, même le procureur de la République de Clermont-Ferrand, Jean-Yves Coquillat, qui a estimé que par défi, François C. était juste « entré dans une maison dont la porte était restée ouverte ». La clémence devrait donc être au rendez-vous.
Source: LePoint.fr