Un hacker condamné à trois ans de prison pour avoir exploité un bug

De notre correspondant en Californie

Alors que les médias se passionnent surtout pour le procès de Lindsay Lohan, une décision a fait grand bruit chez les geeks, lundi, aux Etats-Unis: Andrew Auernheimer, plus connu sous son pseudo «weev», a été condamné à 41 mois de prison pour avoir exploité une faille du site Internet de l'opérateur téléphonique AT&T en 2010, dévoilant plus de 100.000 adresses email d'utilisateurs d'iPad. Il avait déjà annoncé qu'il ferait appel.

Selon le verdict d'un jury populaire, Auernheimer était coupable d'«usurpation d'identité» et d'«accès à un ordinateur sans autorisation». La justice s'est appuyée sur le Computer Fraud Act de 1986, déjà très critiqué par plusieurs élus pour son caractère trop vague après le suicide de l'hacktiviste Aaron Swartz.

Pas d'effraction

Le problème dans cette affaire, c'est que weev n'a pas piraté de base de données. Il a simplement exploité une faille de site d'AT&T. Il suffisait en effet de rentrer un numéro d'identifiant d'iPad (généré automatiquement par Auernheimer et son compère Daniel Spitler) pour obtenir l'adresse email d'un utilisateur. «Je vais aller en prison pour avoir fait de l’arithmétique», se lamente le jeune-homme de 27 ans, qui n'a ni piraté, ni divulgué les mots de passe associés.

Son cas divise l'interweb. Car Auernheimer, qui se présente comme un chercheur indépendant en sécurité informatique, n'a pas signalé la faille a AT&T comme l'aurait fait un gentil hacker, baptisé «white hat». Il n'a pas non plus vendu son carnet d'adresses, qui comprenait notamment celles de Michael Bloomberg et de plusieurs membres du Pentagone, pour plusieurs centaines de milliers de dollars, comme l'aurait fait un «black hat». A la place, il a fourni la liste aux médias, selon ses détracteurs, davantage pour attirer l'attention sur son exploit que sur la faille.

Une personnalité controversée

Sa session Ask Me Anything sur Reddit en atteste, weev était détesté en ligne. Il passait son temps à troller sous LSD juste pour le «lulz», avec des messages de provocation parfois racistes, souvent homophones et toujours de mauvais goût. Malgré tout, la communauté des experts en sécurité informatique s'inquiète du verdict, estimant qu'il pourrait jeter un froid sur leur activité –car il faut par nature exploiter un bug pour prouver son existence.

Récemment, l'élue californienne Zoe Lofgren a déposé un projet de loi visant à amender le Computer Fraud Act afin de l'adapter aux temps modernes et garantir que certains actes de piratage ne fassent pas l'objet de poursuites au pénal. Andrew Auernheimer était sans doute coupable d'être un sale type. Reste à savoir s'il mérite trois ans de prison pour cela.