Boston, 1992. Dans un loft miteux du South End qui ressemble plus à un squat qu’à un labo, une bande de hackers bidouille tranquillement. On est dans la cave de la cave du 59 Hamilton Street, à côté du Boston Ballet. Le loyer est de 150 dollars par mois et le bail au nom d’un certain Brian Hassick qui squatte le lieu pour l’art et la musique. L’équipement qu’on y trouve, ce sont surtout des cables Ethernet coaxiaux de récup, des ordinateurs dépareillés et un T1 piraté sur un routeur Cisco mal configuré d’une boîte voisine. C’est là que naît L0pht Heavy Industries, avec un zéro à la place du O, parce que c’est plus l33t speak, vous comprenez.

Le groupe rassemble les meilleurs hackers de la côte Est. D’abord, y’a Count Zero (John Tan) qui loue l’espace pour 300 balles par mois et le sous-loue aux autres. Un type discret qui préfère rester dans l’ombre mais qui connaît les systèmes Unix comme sa poche. Ensuite arrive Mudge (Peiter Zatko), un mec qui a bossé sur BBN Technologies et qui comprend le protocole TCP/IP mieux que ceux qui l’ont inventé. Space Rogue (Cris Thomas), barbu et sarcastique, spécialiste des failles web avant même que le web existe vraiment. Weld Pond (Chris Wysopal), le mec qui peut transformer n’importe quelle ligne de commande en interface graphique Windows. Kingpin (Joe Grand), le génie du hardware qui peut souder les yeux fermés. Stefan von Neumann, le cryptographe. Brian Oblivion, l’énigmatique. Et plus tard, Dildog (Christien Rioux), le gars qui code en assembleur pour le fun et qui créera Back Orifice, le trojan qui fera trembler Microsoft.

Pendant que les script kiddies s’amusent avec leurs outils téléchargés sur les BBS, les mecs de L0pht développent des outils qui vont révolutionner la sécurité informatique. Leur philosophie ? “Making the theoretical practical.” On pourrait traduire ça comme : on prend les vulnérabilités théoriques que les chercheurs trouvent dans leurs labos universitaires, et on code des exploits qui marchent vraiment. C’est de la recherche appliquée niveau cyber street cred !

La première bombe de L0pht, c’est L0phtCrack, sorti au printemps 1997. Mudge développe les algos de dictionnaire et de brute force dans un outil en ligne de commande. Le truc de base, quoi. Mais là où ça devient génial, c’est quand Weld Pond ajoute une interface graphique pour Windows. Parce que les admins Windows de l’époque, ils savent pas ce que c’est qu’un terminal. Et Dildog ? Il optimise tout en assembleur à la main. Du coup, un Pentium II 400 MHz de 1998 peut casser un mot de passe Windows NT de 8 caractères alphanumériques en une journée.

Le secret de L0phtCrack c’est qu’il exploite la faiblesse monumentale du hash LANMAN que Microsoft continue d’utiliser pour la rétrocompatibilité. Cette merde de protocole datant de l’époque où Steve Ballmer avait encore des cheveux divise les mots de passe en chunks de 7 caractères, les met en majuscules et les hashe séparément. Autant dire que niveau sécurité, c’est comme protéger Fort Knox avec un cadenas de vélo. Et le pire c’est que Microsoft stocke le hash LANMAN faible juste à côté du hash NTLM plus fort. Autant mettre la clé de chez vous sous le paillasson avec un panneau sur lequel il est écrit “La clé est ici”.

Bien sûr, Microsoft flippe sa race. Tellement que L0phtCrack les force finalement à désactiver LANMAN par défaut dans les versions ultérieures de Windows. Mais entre-temps, L0pht vend des milliers de licences de L0phtCrack à 100 dollars pièce. Les admins sys l’achètent pour “auditer” leurs réseaux… Et les hackers aussi, mais eux c’est pour “auditer” les réseaux des autres. Business is business !

Et le loft devient alors rapidement LE lieu de rassemblement de la scène hacker de Boston. Les mecs organisent des réunions hebdomadaires où ils partagent leurs découvertes. Mudge publie des papiers sur les buffer overflows qui deviendront des références et Space Rogue lance Hacker News Network (HNN) en 1998, l’un des premiers sites d’actualités sur la sécurité informatique. C’est l’ancêtre spirituel de tous les blogs sécu actuels.

Mais le moment qui fait entrer L0pht dans la légende, c’est le 19 mai 1998. Les sept membres sont convoqués devant le Comité sénatorial sur les affaires gouvernementales pour témoigner sur le thème “Weak Computer Security in Government”. Les sénateurs s’attendent à un show de geeks intimidés mais ce qu’ils obtiennent, c’est un électrochoc.

Le sénateur Fred Thompson (républicain du Tennessee et futur acteur dans Law & Order) pose LA question : “Pourriez-vous rendre Internet inutilisable pour toute la nation ?” Sans hésiter, Mudge répond : "C’est juste oui. En fait, l’un d’entre nous pourrait le faire avec juste quelques envois de paquets." Silence de mort dans la salle. Mudge continue : “L’Internet lui-même pourrait être mis hors service par n’importe lequel des sept individus assis devant vous avec 30 minutes de frappes bien orchestrées.”

La vulnérabilité en question dont parle Mudge ?

Une faille dans le protocole BGP (Border Gateway Protocol) que L0pht a découverte quelques temps avant. BGP, c’est le protocole qui permet aux routeurs d’Internet de savoir où envoyer les données. La faille permettrait de créer un effet boule de neige où quand un routeur tombe, il envoie des infos foireuses au suivant avant de mourir, qui les transmet au suivant avant de mourir, et ainsi de suite. En moins de 30 minutes, tout Internet s’effondrerait comme un château de cartes. Heureusement, les constructeurs ont déjà été prévenus et ont patché, mais la majorité des routeurs en production sont toujours vulnérables.

Space Rogue se souvient : “C’était l’idée de Mudge de lâcher cette bombe pendant le témoignage. On s’est dit que ça ferait réagir.” Et ça marche puisque ça fait beaucoup plus que réagir. Les médias s’emballent. CNN, NBC, tous les journaux en parlent. Pour la première fois, le grand public réalise qu’Internet, c’est pas juste magique, c’est aussi fragile. Et que des mecs en t-shirt Metallica peuvent le faire tomber depuis leur sous-sol.

Les sénateurs sont tellement impressionnés qu’ils demandent alors aux membres de L0pht de devenir consultants pour le gouvernement. John Tan raconte : “Ils nous ont proposé des badges et tout. On a dit qu’on préférait rester indépendants.” Mais l’impact est énorme et ce témoignage de L0pht marque le début de la prise de conscience sur la cybersécurité au niveau gouvernemental.

En parallèle de leur témoignage, Dildog travaille sur un projet qui va faire encore plus de bruit : Back Orifice. Présenté à DEF CON 6 en août 1998, c’est un outil d’administration à distance pour Windows qui fait exactement ce que fait le produit commercial de Microsoft (SMS - Systems Management Server), sauf qu’il est gratuit et qu’il peut être utilisé comme backdoor. Le nom est un jeu de mots sur Microsoft BackOffice. Très subtil.

Back Orifice permet donc de prendre le contrôle total d’une machine Windows 95/98/NT à savoir, voir l’écran, enregistrer les frappes clavier, transférer des fichiers, lancer des programmes. Le tout en 120 Ko. Microsoft pète un câble et qualifie ça de “malware”. Dildog répond : “C’est exactement ce que fait votre produit à 5000 dollars, sauf que le nôtre est gratuit et mieux codé.” Et paf, dans les dents !

La version 2000 de Back Orifice, sortie en 1999, est encore plus délirante. Elle supporte les plugins, le chiffrement, et peut même se cacher dans d’autres processus. Plus de 100 000 téléchargements en quelques semaines et les antivirus la détectent, mais Dildog sort des mises à jour plus vite qu’ils ne peuvent suivre. C’est le jeu du chat et de la souris, sauf que la souris code comme une dingue en assembleur.

Tout ce bordel attire alors l’attention des investisseurs et en 1999, le loft déménage dans de vrais bureaux à Watertown. Fini le T1 piraté, ils ont enfin une vraie connexion Internet maintenant et les membres commencent à gagner leur vie avec des consultations en sécurité. Mudge facture 1000 dollars de l’heure pour auditer des systèmes. Space Rogue vend des formations. Kingpin conçoit des badges électroniques sécurisés pour la DEF CON.

Et le 10 janvier 2000, c’est le tournant ! L0pht fusionne avec @stake, une startup de conseil en sécurité fondée par des anciens de Cambridge Technology Partners et leur idée c’est de combiner l’expertise technique de L0pht avec le côté business de @stake. Sur le papier, c’est génial. Dans la réalité, c’est le début de la fin.

Le moins qu’on puisse dire c’est que la transition est brutale. Space Rogue est viré du département marketing après quelques mois. “Ils voulaient que je porte un costume et que j’arrête de dire ‘fuck’ dans les réunions. J’ai dit que c’était pas négociable”. Et Mudge craque complètement. Il passe six mois en arrêt maladie pour dépression et quitte @stake après seulement deux ans. “On est passé de hackers qui changent le monde à consultants qui remplissent des PowerPoints. C’était déprimant.”

Les autres membres partent alors un par un. Kingpin retourne à l’électronique et devient une star de l’émission “Prototype This!” sur Discovery Channel. Stefan von Neumann disparaît dans la nature. Brian Oblivion aussi. Seul Nash reste jusqu’au bout, quand Symantec rachète @stake en 2004 pour 49 millions de dollars. À ce moment-là, il ne reste plus rien de l’esprit L0pht.

Mais certains rebondissent. Weld Pond et Dildog fondent Veracode en 2006, une boîte d’analyse de code qui cartonne qui est ensuite rachetée par Broadcom en 2018 pour 950 millions de dollars. Pas mal pour des anciens squatteurs ! Mudge rejoint la DARPA comme program manager où il lance le Cyber Fast Track, un programme pour financer la recherche en sécurité. Et il bosse ensuite chez Google, puis Stripe, puis Twitter comme chef de la sécurité (jusqu’à ce qu’Elon Musk le vire en 2022 après le rachat).

Space Rogue devient quant à lui strategist chez IBM X-Force. Il continue son blog et reste actif sur Twitter où il balance régulièrement sur l’industrie de la cybersécurité. “La moitié des boîtes de sécu actuelles vendent de la poudre de perlimpinpin. Au moins, nous, on cassait vraiment des trucs.”

Le 22 mai 2018, exactement 20 ans après leur témoignage historique, quatre membres originaux (Space Rogue, Weld Pond, Kingpin et Mudge) retournent à Washington pour un briefing intitulé “A Disaster Foretold - And Ignored”. Organisé par le Congressional Internet Caucus Academy et streamé sur Facebook (l’ironie !), ils font le bilan : “Internet était très fragile. Il est toujours très fragile. Et il y a probablement plus d’une façon de causer des problèmes similaires aujourd’hui qu’à l’époque.”

Mudge enfonce le clou : “En 1998, on parlait de 30 minutes pour faire tomber Internet. Aujourd’hui, avec l’IoT, les infrastructures critiques connectées, les voitures autonomes, on peut faire bien pire en bien moins de temps. Mais personne n’écoute vraiment. Les entreprises préfèrent investir dans le marketing que dans la sécurité.”

L’héritage de L0pht est immense. Ils ont montré qu’on pouvait être hacker ET légitime. Qu’on pouvait casser des systèmes pour les améliorer. Ils ont forcé Microsoft à revoir sa sécurité. Ils ont réveillé le gouvernement américain sur les cyber-menaces et ont inspiré toute une génération de chercheurs en sécurité.

Et aujourd’hui, L0phtCrack existe toujours !! Après plusieurs changements de propriétaire (Symantec, puis rachat par les auteurs originaux, puis Terahash, puis reprise pour défaut de paiement), il est devenu open source en 2022. La version 7 sortie en 2016 peut même casser les hash Windows 10 en quelques heures sur un GPU moderne. Et la version 8, encore en développement, promet de casser n’importe quel mot de passe Windows en moins d’une heure avec les bonnes ressources. Bref, 25 ans après sa création, l’outil reste une référence.

Le loft du 59 Hamilton Street n’existe plus évidemment. L’immeuble a été rénové et transformé en condos de luxe à 2 millions de dollars. Une plaque commémorative ? Non, rien. Pas même une mention sur Wikipedia de l’adresse exacte. C’est comme si l’histoire avait été effacée. Mais pour ceux qui savent, c’est là que tout a commencé, depuis un sous-sol pourri.

Aujourd’hui, la cybersécurité est une industrie de 200 milliards de dollars et des entreprises comme CrowdStrike valent plus que General Motors. Les bug bounties peuvent rapporter des millions, les hackers éthiques sont des rock stars qui donnent des conférences TED et tout ça, c’est aussi grâce à des pionniers comme L0pht qui ont montré que la sécurité informatique n’était pas un luxe mais une nécessité.

L0pht Heavy Industries, c’était l’âge d’or du hacking, quand on pouvait encore croire qu’on allait changer le monde avec du code et de l’idéalisme. C’était avant que tout devienne business, mise en conformité et certifications. C’était l’époque où être hacker voulait encore dire quelque chose et où “transformer le théorique en pratique”, n’était pas juste un slogan marketing mais une philosophie de vie.

Bref, L0pht, c’était les vrais, les OG, les hackers avant que ce soit cool. À vous de voir maintenant si vous préférez cette époque où on cassait des systèmes pour le fun et la gloire, ou aujourd’hui où on remplit des rapports de conformité pour des clients qui ne comprennent rien…

Sources : Washington Post - Net of Insecurity: A Disaster Foretold and Ignored, Space Rogue - Transcription of L0pht Testimony, Wikipedia - L0pht, Wikipedia - L0phtCrack, The Parallax - L0pht Hackers Return with Dire Warnings