ConnexionMasters of Deception - Les premiers rois du cyberespace
Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !
Cet aprem, je vous propose de retourner en 1990. Fermez les yeux et imaginez alors 3 ados de Queens avec un modem 2400 bauds et l’ego de la taille de Manhattan qui d’un coup décident de clasher des mecs du Texas qui se la pètent grave sur leurs BBSes. Et oui, vous assistez là, à la première vraie cyberguerre de l’Histoire qui aura pour impact 70 millions d’appels téléphoniques dans les choux et le FBI qui débarque chez maman à 6h du mat'.
Vous pensez qu’Anonymous a inventé le hacking moderne ? Vous croyez que les ransomwares russes c’est le summum de la cybercriminalité ? Et bien détrompez-vous, car avant même que le grand public sache comment allumer un PC, une bande de gamins de New York avait déjà pigé que celui qui maîtrise les télécoms contrôle le monde. Leur nom de guerre : les Masters of Deception et leur héritage c’est d’avoir transformé du bidouillage d’ados en véritable industrie de la cybersécurité qui pèse aujourd’hui des centaines de milliards.
Bref, l’histoire démarre en 1989, une époque bénie où Internet c’était de la science-fiction pour 99% de la population et où avoir un modem 2400 bauds faisait de vous un drôle d’extraterrestre. Paul Stira (aka “Scorpion”) et Elias Ladopoulos (alias “Acid Phreak”), deux lycéens de Queens avec vraiment plus de curiosité que de bon sens, s’éclatent à explorer les systèmes téléphoniques de New York. C’est l’âge d’or où AT&T règne en maître absolu sur les télécoms américaines et où chaque central téléphonique planque des trésors numériques que personne, mais alors personne, ne sait protéger correctement.
Nos deux compères tombent alors sur un monde parallèle complètement fascinant : celui des centraux téléphoniques 5ESS et 4ESS, des mainframes IBM qui gèrent littéralement des millions d’appels par jour, des bases de données qui stockent tout et n’importe quoi depuis vos factures de téléphone jusqu’aux numéros directs ultra-secrets de la CIA. Le seul problème de nos ados, c’est qu’ils captent que dalle aux subtilités du phreaking et du protocole SS7. Du coup leur solution c’est de contacter directement le seul mec de leur génération qui maîtrise vraiment ce délire : Mark Abene, plus connu sous le pseudo de Phiber Optik.
Mark Abene alias Phiber Optik
À seulement 17 piges, Phiber Optik c’est déjà le Mozart du phone phreaking. Membre ultra-respecté de la Legion of Doom (LOD), LE groupe de hackers le plus prestigieux de l’époque, ce gamin du Bronx connaît les entrailles du réseau téléphonique américain mieux que les ingénieurs d’AT&T eux-mêmes. Le mec peut vous expliquer dans le détail comment fonctionne un central 4ESS, comment exploiter les failles du protocole SS7, comment générer des tonalités MF (Multi-Frequency) pour router des appels, et accessoirement comment prendre le contrôle de n’importe quelle ligne téléphonique aux States.
Mais voilà le truc, Phiber Optik vient tout juste de se faire virer de Legion of Doom. La raison officielle ? “Incompatibilité d’humeur” avec les anciens, surtout avec Chris Goggans alias “Erik Bloodaxe” et Lloyd Blankenship dit “The Mentor”. En vrai, les vieux de la garde texane trouvaient ce New-Yorkais trop arrogant, trop médiatique, trop… New-Yorkais justement. Grosse erreur tactique de leur part, mais excellente nouvelle pour Paul et Elias qui récupèrent LE meilleur prof de hacking sur le marché underground.
Du coup ensemble, ils fondent leur propre crew qu’ils baptisent avec beaucoup de second degré les Masters of Deception. Le nom n’est pas innocent du tout hein : MOD vs LOD, M contre L, Masters contre Legion, New York contre Texas. C’est leur façon à peine subtile de dire aux vieux croûtons de Legion of Doom qu’ils peuvent aller se rhabiller. Et pour bien enfoncer le clou jusqu’au bout, ils recrutent d’autres exclus et talents marginaux de la scène : John Lee alias “Corrupt”, Julio Fernandez surnommé “Outlaw”, et Allen Wilson dit “Wing”. Une vraie dream team de hackers !
Ce qui différencie vraiment MOD des autres groupes de hackers de l’époque, c’est leur approche carrément industrielle du hacking, car là où Legion of Doom se contentait de techniques artisanales et de coups d’éclat pour impressionner leurs potes sur les BBSes, les Masters of Deception eux automatisent absolument tout. Ils développent des programmes pour scanner et voler les mots de passe en masse, installent des backdoors permanentes sur tous les systèmes qu’ils visitent, et surtout (et ça c’est nouveau) certains membres n’hésitent pas une seconde à monnayer leurs services au black.
Leurs exploits deviennent alors rapidement légendaires dans toute la communauté underground. Ils s’infiltrent dans les systèmes de crédit de TRW (devenu Experian) et Trans Union pour pomper les dossiers financiers de célébrités. Dans leurs fichiers on retrouve les infos de crédit de Julia Roberts, du mafieux John Gotti, et même selon certaines sources non confirmées, des membres de la famille royale britannique. Acid Phreak se vante même d’avoir réussi à appeler directement sur la ligne privée de la Reine Elizabeth II grâce à ses manipulations des centraux téléphoniques internationaux via les réseaux X.25. Vrai ou pas, l’anecdote fait le tour de tous les BBSes de l’époque et contribue encore aujourd’hui à la légende de MOD.
Mais leur coup de maître absolu, celui qui va vraiment faire basculer les choses, c’est l’incident PBS. En exploitant un accès qu’ils avaient établi sur les systèmes de la chaîne de télévision publique, ils prennent le contrôle total des imprimantes du siège social et commencent à faire imprimer des messages de revendication en pleine journée sur toutes les machines. Le délire complet, sauf que là c’est le drame, un autre hacker (jamais identifié) profite de la brèche qu’ils ont ouverte pour carrément wiper l’intégralité des serveurs de PBS. L’incident fait les gros titres de tous les journaux et attire instantanément l’attention du FBI et du Secret Service sur toute la scène hacker.
Pendant ce temps, la tension monte crescendo avec Legion of Doom. Ce que les médias ont appelé plus tard la “Grande Guerre des Hackers” ressemble surtout à une bagarre de cour de récré avec des modems en guise de poings. Les membres de MOD harcèlent téléphoniquement Erik Bloodaxe et les autres membres de LOD : ils modifient leurs services téléphoniques pour faire sonner leur téléphone toutes les 5 minutes, redirigent leurs appels vers des hotlines de téléphone rose, écoutent et enregistrent leurs conversations privées, bref ils leur pourrissent littéralement la vie 24/7. En représailles, LOD tente d’infiltrer les systèmes utilisés par MOD et de saboter leurs opérations, mais force est de constater que techniquement, MOD a clairement l’avantage.
Chris Goggans aurait surtout balancé une phrase qui a mis le feu aux poudres : “MOD is nothing but niggers, spics, and white trash” (MOD c’est que des nègres, des latinos et des white trash). Qu’il l’ait vraiment dit ou que ce soit juste une rumeur importe peu car cette phrase devient alors le casus belli qui transforme une rivalité technique en guerre totale. Les membres de MOD, dont plusieurs sont effectivement issus de minorités, prennent ça très, très mal.
Et cette guéguerre de script kiddies aurait pu durer des années si un événement absolument majeur n’était pas venu tout bouleverser. Le 15 janvier 1990, jour de Martin Luther King (un lundi férié), le réseau longue distance d’AT&T s’effondre complètement. Pendant 9 heures d’affilée, la moitié des appels longue distance aux États-Unis se plantent lamentablement. 70 millions d’américains qui décrochent leur téléphone entendent tous le même message fantomatique : “All circuits are busy now.” C’est la panique totale.
Techniquement parlant, la panne vient d’un bug de merde dans une mise à jour logicielle déployée mi-décembre 1989 sur les 114 centraux 4ESS du réseau AT&T. En gros, quand un central de New York plante et tente de redémarrer, il envoie un signal de “je suis de retour” aux autres centraux. Sauf que ce signal, mal géré par le nouveau code, fait planter les centraux voisins qui tentent de redémarrer et font planter leurs voisins, créant une réaction en chaîne absolument cataclysmique. Un énorme effet domino !
Mais bon, psychologiquement et politiquement, cette panne tombe au pire moment pour la communauté hacker. Pourquoi ? Et bien parce que quelques mois plus tôt, le Secret Service avait coffré un hacker de 16 ans surnommé “Fry Guy” (un gamin qui s’était fait choper après avoir hacké McDonald’s, le niveau zéro du hacking). Et sous interrogatoire, ce génie avait parlé d’un supposé projet de Legion of Doom pour faire tomber le réseau téléphonique national pendant un jour férié. Coïncidence de malade : la panne AT&T a lieu pile poil un jour férié et pour les fédéraux paranoïaques, c’est trop beau pour être une coïncidence.
Du coup, neuf jours après la panne, le 24 janvier 1990 à 6h du matin, c’est le grand débarquement. FBI et Secret Service défoncent simultanément les portes de tous les membres connus de MOD. Phiber Optik se fait réveiller par des agents armés dans sa chambre d’ado, Acid Phreak voit son appart retourné de fond en comble, Scorpion, Corrupt et Outlaw subissent le même traitement. Ordinateurs confisqués, disquettes saisies, même les posters sur les murs sont photographiés. Pour des gamins qui vivaient dans l’ombre et l’anonymat des BBSes, se retrouver face à des fédéraux avec des flingues, c’est le choc de leur vie.
L’enquête qui suit établit plusieurs premières absolues dans l’histoire judiciaire américaine. Pour la première fois, des écoutes téléphoniques sont spécifiquement autorisées contre des hackers. Le procureur Otto Obermaier déclarera plus tard qu’il s’agissait de “la première utilisation d’écoutes autorisées par un tribunal pour obtenir les conversations et transmissions de données de hackers informatiques” sur le sol américain. Les fédéraux ont littéralement enregistré des mois de conversations téléphoniques et de sessions de hacking.
Et en juillet 1992, l’acte d’accusation tombe enfin. 11 chefs d’accusation qui détaillent méticuleusement comment MOD a infiltré les systèmes de Pacific Bell, US West, Southwestern Bell, New York Telephone, et des agences de crédit majeures. Les procureurs parlent de plus de 100 dossiers de crédit volés, d’écoutes illégales, de fraude informatique à grande échelle. Certains membres de MOD monnayaient effectivement leurs services comme Corrupt qui vendait des infos de cartes de crédit à 50$ pièce ou encore Outlaw qui proposait de changer des notes universitaires contre cash. Phiber Optik, lui, a toujours nié catégoriquement avoir fait du business avec ses compétences.
Et ce procès de 1993 est surréaliste. D’un côté, des procureurs qui tentent d’expliquer à un juge septuagénaire ce qu’est un “modem” et pourquoi des “tonalités à 2600 Hz” peuvent être dangereuses pour la sécurité nationale. De l’autre, des ados brillants mais immatures qui réalisent soudain que leurs “jeux” numériques peuvent leur coûter des années de prison. Mark Abene, devenu malgré lui le visage médiatique du groupe (le New York Times l’avait mis en Une), plaide finalement coupable en juillet 1993 pour conspiration et accès illégal à des ordinateurs.
La sentence tombe : un an et un jour de prison fédérale pour Phiber Optik, qu’il purgera au Federal Prison Camp de Schuylkill en Pennsylvanie. Une peine relativement légère vu les charges, mais qui reste traumatisante pour un gamin de 21 ans. Ses co-accusés s’en sortent avec des peines variées : 6 mois de camp supervisé pour Acid Phreak (qui a refusé de témoigner contre ses potes), de la probation pour les autres. John Lee “Corrupt” prend 1 an de prison, Julio Fernandez “Outlaw” écope de 6 mois.
Mais attendez car l’histoire devient encore plus dingue après. En novembre 1994, Phiber Optik sort de taule et découvre qu’il est devenu une putain de rock star. Joshua Quittner du Time Magazine l’a surnommé “le premier héros underground de l’ère de l’information, le Robin des Bois du cyberespace”. En janvier 1995, la communauté hacker organise même un “Phiberphest ‘95”, une fête géante en son honneur à l’Irving Plaza de Manhattan. L’événement attire des centaines de hackers, journalistes tech, et même des recruteurs de la Silicon Valley venus chasser les talents. C’est le Woodstock du hacking.
Photo prise lors du Phiberphest 95
Le plus fascinant dans tout ça, c’est la reconversion de ces anciens “criminels”. Elias Ladopoulos aka Acid Phreak devient ingénieur sécurité senior chez Reuters, crée plusieurs startups innovantes dans le trading algorithmique haute fréquence, et finit par intégrer l’empire financier de Steve Cohen chez Point72 Asset Management. Phiber Optik lance sa propre boîte de cybersécurité, TraceVector, spécialisée dans la détection d’intrusions temps réel, puis devient consultant pour les plus grandes entreprises du Fortune 500. Les autres membres suivent également des trajectoires similaires, transformant leur expertise underground en carrières légitimes à 6 chiffres minimum.
Avec le recul, la fameuse “Grande Guerre des Hackers” apparaît pour ce qu’elle était vraiment, c’est à dire une dispute d’ados surdoués amplifiée par les médias sensationnalistes et instrumentalisée par un système judiciaire complètement largué face aux enjeux technologiques émergents. Lors d’une conférence à HOPE en 2008, Phiber Optik himself a qualifié cette “guerre” de “d’invention complète” du bureau du procureur et de journalistes en quête de scoops juteux. “On était juste des gamins qui s’amusaient avec des ordinateurs”, dira-t-il.
Mais au-delà des anecdotes croustillantes et des légendes urbaines, l’héritage des Masters of Deception reste absolument tangible aujourd’hui. Ils ont été dans les tout premiers à démontrer que la sécurité informatique était un enjeu stratégique majeur, que quelques individus motivés avec des modems à 50 balles pouvaient mettre à genoux des infrastructures critiques nationales, et que la frontière entre curiosité intellectuelle et menace criminelle était infiniment plus floue que ce que les autorités imaginaient.
C’est has-been aujourd’hui avec le SS7 out-of-band, mais le concept d’exploiter les protocoles de signalisation reste d’actualité (hello les failles SS7 modernes) et leurs méthodes d’ingénierie sociale, de reconnaissance passive, de persistence sur les réseaux constituent les fondements de nombreuses pratiques red team actuelles.
Alors oui, les Masters of Deception ont fini derrière les barreaux, mais aujourd’hui, leurs héritiers spirituels s’appellent bug bounty hunters, pentesters ou chercheurs en sécurité, et ils protègent vos données (enfin, on espère). La boucle est bouclée, et l’esprit du hack reste intact.
Sources : “Masters of Deception: The Gang That Ruled Cyberspace” de Michele Slatalla et Joshua Quittner (1995), Wikipedia - Masters of Deception, Wikipedia - Mark Abene, Wikipedia - Great Hacker War, “All Circuits are Busy Now: The 1990 AT&T Long Distance Network Collapse”, United States v. Julio Fernandez et al. - Court Documents
