Il y a trois ans, le hacker Alejandro Caceres, alias P4x, était victime d’un piratage des renseignements nord-coréens. Sa vengeance a été terrible : il a privé le pays de Kim Jon-un d’Internet pendant une semaine. Désormais, il dirige sa société de cybersécurité et travaille avec le Pentagone, bien souvent en pyjama depuis sa maison en Floride. Telescope s’est entretenu avec lui.
Il a d’abord pris toutes les précautions avant de nous accorder un entretien. Pour des questions de sécurité évidentes, tout a été passé au crible. Alejandro Caceres, jeune entrepreneur colombien-américain de 38 ans retranché en Floride, a des raisons d’avoir peur. Kim Jong-un lui en veut.
Alejandro se dit souvent qu’il aurait préféré faire d’autres choix dans sa vie plus faciles à assumer, ne serait-ce que pour se rendre plus disponible auprès de ses amis. À commencer par son double cursus en physique et mathématiques à l’Université Duke (Caroline du Nord). « Honnêtement, j’avais tout prévu, j’allais aller jusqu’au doctorat, mon avenir était tracé, se rappelle-t-il aujourd’hui. Mais j’ai un eu déclic. En fait, je détestais ça, j’ai tout arrêté du jour au lendemain. » Au passage, s’il abandonne la simulation de collisions ioniques, il apprend deux ou trois trucs qui vont lui servir toute sa vie : résoudre des problèmes complexes toute la journée et le codage informatique.
« Au fond, j’étais un petit con »
Pour tuer le temps, Alejandro se fait la main sur AOL, serveur d’accès à Internet majoritairement utilisé en ce début des années 2000. Il s’amuse avec de petits programmes pirates sur les messageries instantanées balbutiantes pour modifier exagérément la taille de la police et planter l’ordinateur du destinataire. « Au fond, j’étais un petit con » ironise-t-il. Il n’empêche que ce bidouillage des premières heures va lui ouvrir les portes du hacking, cette technique de détournement d’un système de sécurité informatique pour en exploiter les failles, via des programmes comme Back Orifice, permettant d’accéder au contenu d’un ordinateur à distance en envoyant à son utilisateur un fichier malveillant, mais d’apparence inoffensive. « Je devais avoir 13 ans, j’ai proposé à un ami de jouer à un jeu vidéo totalement stupide dans lequel j’avais mis un cheval de Troie, l’équivalent d’une porte dérobée, pour accéder à son ordinateur. »
À l’époque, les adresses IP accompagnaient tous les mails que l’on envoyait, rendant la tâche d’autant plus aisée. « Pour être honnête, j’étais tellement surpris que cela fonctionne. Mais je n’ai ouvert aucun fichier personnel, j’avais simplement envie de m’amuser avec lui en lui ouvrant son plateau CD et lui envoyer des erreurs Windows complètement insensées. Mon premier hacking ! C’était vraiment drôle. »
Chapeau blanc / chapeau noir
Mais Alejandro est plutôt un garçon honnête, et reconnaît se sentir mal à ce sujet encore aujourd’hui, alors qu’il dirige une société de cybersécurité, Hyperion Gray. C’est cette conscience qui fera de lui plus tard ce que l’on appelle dans le hacking, un « chapeau blanc », comprenez un « pirate éthique », dont le but est de détecter les failles d’un système pour aider son propriétaire à l’améliorer. À l’inverse, les « chapeaux noirs » sont motivés par des intentions criminelles, d’extorsion de fonds, ou par l’envie de semer le chaos.
D’ailleurs, Alejandro n’a jamais cherché à pirater l’internet de la Corée du Nord pour s’amuser. Ce sont eux qui l’ont attaqué pour espionner ses méthodes. « Je ne pouvais pas croire que j’avais été trompé comme ça. En tant que hacker, vous voulez penser que vous ne serez jamais victime d’hameçonnage. Mais je leur dois ce mérite, ils savaient exactement quelle était la bonne carotte à me tendre : un zero-day. » Le zero-day est un type de faille qui présente un problème de sécurité inédit et qui n’a jamais fait office d’une attaque, mais qui comporterait donc un risque que cela arrive. Par prévoyance, il est donc utile de l’analyser pour anticiper un piratage à venir. Alejandro est le type de hacker à qui on fait appel dans ce cas-là.
Zero-day
Il est donc rompu à ce type d’exercice, et lorsqu’un ami lui présente un client idéal avec un cas de zero-day à régler, en 2021, il fonce tête baissée, sans s’apercevoir qu’une opération nord-coréenne se cache derrière. « Quelques jours plus tard, Google a pointé la Corée du Nord comme coupable de multiples piratages récents, cachée derrière des pseudonymes dont celui de James Willy, qui était le faux nom de mon client. Ils avaient installé une porte dérobée la plus stupide qui soit sur mon ordinateur, tout droit sorti d’un manuel de hacking pour débutant », ironise-t-il. Mais pourquoi s’en prendre à lui ? « À ce moment-là, j’étais devenu assez bon dans le zero-day, je donnais des cours et j’avais rédigé quelques outils. Ils m’avaient identifié, et ils voulaient voir de l’intérieur comment je bossais. »
Dans la foulée, un premier contact est établi avec le FBI. Alejandro raconte sa mésaventure sans trouver une oreille très attentive. Mais quelques semaines plus tard, l’agent le rappelle. « Il était déçu que je ne puisse pas les aider, alors que j’étais littéralement la victime dans cette affaire. On me demande à moi de faire quelque chose avec eux, gratuitement, alors que je dirigeais une société de recherche et de développement, Hyperion Gray bien connue par le Pentagone puisque je travaillais pour le compte de la DARPA (ndlr – Defense Advanced Research Projects Agency) sur des opérations de secret d’État. Cela m’a confirmé une chose : le gouvernement était juste impuissant. »
« J’ai acheté trois armes immédiatement »
Rancunier, Alejandro laisse passer une année, et fin janvier 2022, passe à l’attaque en exécutant des scripts de piratage pour cibler des routeurs nord-coréens responsables du trafic du pays. Par vagues successives, Alejandro sature le système et finit par les faire planter avec autant de facilité que s’il s’agissait d’un test d’intrusion pour une entreprise de taille moyenne. Tout cela en pyjama depuis son domicile en Floride. Pendant une semaine, le portail gouvernemental ou le site de réservation en ligne de compagnies aériennes gérées par l’État ont été coupés. La presse croit à une attaque de l’ampleur d’une force nationale.
Pourtant, le gouvernement américain n’a pas aidé Alejandro dans sa tâche. Sa réputation est lancée. Caché sous le pseudonyme, P4x, le hacker est contacté par des agences de renseignements et d’autres hackers. On veut le rencontrer, connaître le visage de celui qui a mis à mal l’internet du pays le plus sécurisé du monde. Lui craint pour sa vie. Il connait les risques encourus. « J’ai acheté trois armes immédiatement après, un fusil de chasse semi-automatique, un pistolet Glock 19 et un fusil Beretta M4000. Et je me suis entrainé. » Deux ans plus tard, il reconnait être toujours armé, son Glock 19 posé entre son écran d’ordinateur et son clavier.
PowerPoint
La Corée du Nord pourrait-elle assassiner un hacker de 38 ans en short, depuis le jardin de sa maison en Floride ? « On m’a prévenu que si cela devait arriver, cela ne ressemblerait pas à ce que l’on pourrait penser dans les films. Ce ne serait pas un super espion nord-coréen faisant des roulades dans mon jardin. Ils paieraient un gang local pour me voler et me tirer dessus par exemple. » Il affirme que depuis le début, les renseignements de Kim Jong-un l’avaient identifié, et qu’ils n’auraient pas intérêt à s’en prendre à un collaborateur du FBI.
Car Alejandro est devenu un véritable atout pour le gouvernement américain. Comme toute grande puissance mondiale, il est une grosse machine difficile à mobiliser au rythme des bouleversements que la cybersécurité rencontre, appuyée par des nouvelles technologies plus puissantes que jamais. Lorsqu’il fait la démonstration de sa méthode contre la Corée du Nord à des gradés de la défense nationale, l’un d’eux plaisante : « Attendez, vous n’avez pas eu besoin de passer six mois à faire des présentations PowerPoint ? ».
Pédocriminalité
Pour autant, Alejandro voudrait que les choses aillent plus vite pour être plus efficace. Les différents filtres d’autorisation et de validation qu’il doit rencontrer pour agir au nom du gouvernement américain sont un frein, selon lui. « Quand il a fallu tirer sur Oussama Ben Laden au Pakistan, et donc violer un espace aérien, interagir avec la population locale, on s’est pas souciés d’attendre des mois pour avoir des autorisations. Par nécessité, c’est comme cela que la cybersécurité doit pouvoir agir. On ne peut pas développer des logiciels et attendre trois ans pour les déployer. Ils seront obsolètes car les systèmes auront eu le temps d’évoluer. »
Alejandro le sait mieux que personne, l’Occident n’est pas suffisamment armé en matière de piratage informatique pour se protéger des régimes totalitaires. Via sa société Hyperion Gray, il officie aujourd’hui presque exclusivement pour la DARPA, reliée au Pentagone, sur des dossiers qui touchent essentiellement à la traite d’être humain, la pédocriminalité et la collecte de données. Pendant des années, son entreprise n’a gagné que très peu d’argent. Il voulait se faire connaître. C’est chose faite.