Il remonte l'avenue O'Connell sur ses rollers. C'est un pirate à roulettes, queue de cheval et bandeau autour du crâne. Après un jeu de piste sur le Net, quelques appels sur son portable, voila enfin Tobozo, hacker français de 29 ans expatrié à Dublin. Son dernier coup de griffe? Sa signature, déposée en décembre dernier sur le site web de l'American University of Paris: «Hacked by Tobozo.» Juste quelques mots. Pour signaler qu'il a pu violer le système, depuis un cybercafé. Tobozo n'a rien d'un crack, c'est un pirate ordinaire. «Pour certain, je suis même un lamer, ce qui est vraiment une insulte dans le milieu», concède-t-il. Il refuse le débat lexical. Hacker (informaticien très doué), cracker (le même, mais qui se sert de ses connaissances de manière illégale) ou simple bidouilleur, peu importe. Comme tant d'autres, il lit assidûment les sites web consacrés au hacking, y puise des logiciels, des conseils, des astuces.

Club informatique

On le suit dans une petite maison à quelques pubs du centre-ville. Un ordinateur désossé sur le sol, une affiche du Che, une autre des Simpsons. Quelques pétards l'aident à remonter le temps. «A 14 ans, mon père m'a botté le cul pour que j'aille au club informatique.» L'Internet était encore un gadget de scientifiques américains. Les jeux piratés circulaient partout. Tobozo repère les noms des stars du genre, «ceux qui crackaient les logiciels». Il commence à explorer son ordinateur en détail, les copains passent à la maison avec des disquettes. En 1996, il découvre l'Internet. Et les sites sur le hacking. Des pages et des pages où sont expliquées toutes les méthodes pour violer les systèmes informatiques. Et où sont fournis les logiciels ad hoc. Ses premières expérimentations commencent. «La boîte d'informatique dans laquelle je bossais était en grève, raconte-t-il. Pour soutenir le mouvement à ma manière, j'ai utilisé un truc qui s'appelle Wingenocide, qui a planté toutes les machines de l'entreprise.» Sans but précis, juste «par curiosité, pour voir si ça marchait». Tobozo s'emballe. Découvre le jargon du hacking, les sniffers (qui reniflent les mots de passe en transit sur le réseau), les chevaux de Troie (lire encadré), le phreaking (piratage des réseaux de télécom).

Catacombes

«Je me suis trouvé un mentor», confie-t-il, très sérieux, à quatre pattes sur la moquette pour chercher un tournevis. «Quelqu'un qui m'a guidé, m'a expliqué ce qu'était le hacking.» En 1997, cet amateur de virées dans les catacombes parisiennes s'aperçoit qu'un des habitués des lieux a mis en ligne sur un site web un plan des sous-sols de la capitale. Tobozo s'agace: «Je ne voulais pas être envahi par les touristes.» Il décide de s'attaquer au site, hébergé par l'un des grands fournisseurs d'accès français. Plutôt que de viser directement les ordinateurs de l'entreprise, il opte pour le social engineering, une des méthodes favorites des cyberintrus, qui consiste à «parier plutôt sur les failles d'un être humain que sur celles d'un ordinateur, précise-t-il. Passer des portes, ce n'est pas uniquement être bon en technique, il faut posséder la bonne information». Une relation dans la place, une embrouille, un coup de téléphone en se faisant passer pour un autre: Tobozo obtient un mot de passe, clé magique pour forcer l'une des bases de données du fournisseur d'accès. Il affiche sur le site de l'amateur de catacombes le mot de passe confidentiel de son auteur. «Le type l'a mal pris, il a gueulé auprès du fournisseur d'accès.» Tobozo ne contrôle plus rien. La base de données dans laquelle il a réussi à s'introduire contient aussi les coordonnées bancaires des clients. Le fournisseur d'accès s'alarme, une banque suit. Une plainte contre X est déposée. «J'ai carrément flippé, se souvient Tobozo, je me suis cassé.» Destination: l'Irlande, ses pubs, «le pays du monde où il y a le plus de filles rousses». Et des boulots en informatique pour ceux qui savent manier un clavier.

«C'est un peu comme dans la "Guerre des étoiles", il y a le bon côté et le mauvais côté de la Force. Je m'étais laissé aspirer par le mauvais côté. Je l'ai beaucoup regretté.»

Ethique du hacking

Goût du challenge, envie de se glisser dans les endroits interdits, fantasme du petit génie informatique: les hackers ordinaires, épaulés par les myriades de guides en ligne, plus ou moins sérieux, sur le piratage informatique, se multiplient. Nul besoin d'être un sorcier, il suffit d'être curieux et de fouiner sur le Web. «Les premiers pirates informatiques étaient véritablement des génies du clavier, écrit Grégory Destouche, dans un livre à paraître sur le cyberterrorisme (1). Aujourd'hui, ils n'ont plus à élaborer eux-mêmes les programmes qui leur serviront à pénétrer les systèmes informatiques.» Le hacking se démocratise, et un simple fana de technique, comme Tobozo, peut causer de réels dégâts. «Dans les grandes entreprises, il y a des gens chargés de la sécurité informatique», explique Frédéric Huynh, responsable de la communication du Clusif (Club de la sécurité informatique français). «Mais dans les moyennes ou petites, c'est loin d'être le cas.» Tobozo assure vouloir respecter une certaine «éthique du hacking». C'est à peine s'il espère rééditer quelques intrusions sans grande conséquence, comme celle de l'American University of Paris. «J'aimerais bien pirater le site de l'entarteur, dit-il. Je mettrais un photomontage de lui entarté sur la page d'accueil.» Décidé à rentrer en France «dès que possible», Tobozo ne compte pas lâcher l'informatique. Il aimerait même, pourquoi pas, «passer de l'autre côté et bosser dans la sécurité des systèmes».

Le jeu dangereux des petits chevaux de Troie 

Ça débute comme une proposition sympa, qui s'affiche à l'écran: «Tu voudrais jouer aux cartes?» Avant même que l'on ait répondu, le logiciel Solitaire apparaît tout seul sur l'écran de l'ordinateur. Magie noire? Non: cheval de Troie. Un petit programme vicelard glissé quelques minutes plus tôt par Tobozo, le hacker dublinois, dans le disque dur de la victime. Le petit logiciel a été envoyé par e-mail, de façon anodine, accompagné d'un petit mot pour signifier qu'il s'agissait là d'une animation. Une fois lancé, le logiciel infeste l'ordinateur. Et le hacker, à distance, peut en prendre le contrôle. Accéder aux mots de passe, au courrier, lancer des logiciels. Voire éteindre l'ordinateur. «C'est très dangereux, explique Frédéric Huynh, responsable de la communication du Clusif (Club de la sécurité informatique français). Un e-mail envoyé à une secrétaire, elle clique et voilà le réseau de l'entreprise envahi par un pirate.» Ces «chevaux de Troie», aux noms variés – Socket23, Back Orifice –, sont disponibles sur le Web, gratuitement. Envie d'essayer? En deux minutes, on télécharge la bestiole. Un petit e-mail piégé à un ami, genre «clique sur ce programme, tu verras une femme nue». Et hop! C'est parti...