La pirate informatique suisse Maia Arson Crimew* sème à nouveau la zizanie aux Etats-Unis. Vendredi, elle a publié les quelque 1,5 million de noms de terroristes connus et de personnes soupçonnées de terrorisme de l’agence américaine de sécurité des transports (TSA). Or, ceux-ci se trouvaient sur un serveur non sécurisé, a-t-il précisé – ils étaient donc facilement accessibles au public. Depuis, les politiques américains demandent une enquête pour vérifier cette information.
Que de telles données explosives des autorités américaines se retrouvent un jour ou l’autre sur la toile n’étonne pas Sandro Nafzger, expert en cybercriminalité. «Le secteur de l’aviation dans son ensemble n’est pas connu pour s’équiper d’une sécurité numérique suffisamment solide», explique le CEO de Bug Bounty Switzerland, société lucernoise spécialisée dans la lutte contre la criminalité en ligne. Son travail? Jouer les intermédiaires pour des «hackers éthiques». Autrement dit, des hackers qui recherchent des points faibles dans les systèmes informatiques pour le compte d’entreprises et de gouvernements.
Les données sensibles continuent à être diffusées sous forme de listes malgré les risques que cela comporte, avance-t-il. «C’est très problématique, ajoute l’expert. Il serait tout à fait possible de choisir de faire appel à des systèmes informatiques protégés, demandant des autorisations d’accès précisément réglementées.» Les systèmes informatiques devraient être contrôlés en permanence quant aux failles de sécurité. «De tels problèmes peuvent être résolus de manière proactive», poursuit le spécialiste.
La liste met en évidence les dysfonctionnements
Sandro Nafzger a examiné la procédure de la hackeuse suisse. La liste était-elle aussi facilement accessible qu'elle l'affirme? «L’ensemble du hack est intelligemment conçu», avance-t-il. Mais techniquement, la procédure est assez simple: pas besoin d’être un hacker de haut vol pour trouver la faille, promet-il. Ce serait quelque chose de très simple pour un professionnel. «Il s’agit d’un problème d’hygiène informatique très courant.»
L’expert est formel: pour la compagnie aérienne concernée et les autorités américaines, l’incident est très embarrassant. Ce problème doit absolument servir de wake-up call, poursuit-il. L’intérêt du public pour la publication de ces listes secrètes est souvent au rendez-vous. Elle permet de jeter un coup d’œil dans les coulisses. Ce qui entretient la motivation des cybercriminels. Mais la fuite de telles données amène à une conclusion difficile à entendre: des centaines de milliers de personnes, dont des citoyens ordinaires, peuvent se retrouver sur de telles listes. «Pour ces personnes, cela peut avoir des conséquences très lourdes.»
Or, des hackers peuvent déceler en peu de temps des problèmes parfois extrêmement complexes. Il en fait l'expérience tous les jours. «Avec les bonnes compétences, il est facile de fomenter de telles cyberattaques.» Et pas seulement aux Etats-Unis. «Nous observons aussi de tels défauts de sécurité en Suisse», affirme-t-il. Il reprend: «Imaginez que le système informatique d’une infrastructure critique soit paralysée. Des vies humaines seront très rapidement en jeu!»
Un enfant de huit ans sur la liste
Revenons à la liste qui vient d’être publiée. Qu'en sait-on? Les détails précis sur son contenu n’ont pas été publiés par Crimew. Mais plusieurs noms connus figureraient sur le catalogue, notamment celui du marchand d’armes russe Viktor But, récemment libéré.
Comme l’explique la hackeuse au portail Daily Dot, il comprend aussi des centaines de noms d’emprunt. Le nombre effectif de personnes sur ce répertoire est donc nettement inférieur au 1,5 million d’entrées. Dans un cas particulièrement extrême: l’un des terroristes présumés cités n’aurait que huit ans selon la date de naissance indiquée.
Le «pire des cas» pour la poursuite pénale
Ce n’est pas la première fois que la jeune femme fait des vagues aux Etats-Unis. La Suissesse serait à l’origine du piratage de plus de 150’000 caméras de surveillance en mars 2021. En 2020, elle aurait piraté les systèmes internes de l’entreprise Intel et publié sur son ancien site web des instructions de construction de processeurs informatiques. La plateforme a depuis été saisie par le FBI.
Que risque-t-elle? «Si l’on se retrouve dans le collimateur des autorités pénale américaines, on s’expose à de gros problèmes», tranche l’avocat Martin Steiger, spécialiste du droit de la protection des données et du droit informatique. D’après lui, les procédures américaines sont beaucoup plus sévères qu'en Suisse. Et les peines auxquelles on s’expose, nettement plus élevées. «Sans compter le fait que les autorités américaines ne lâchent pas l’affaire, s’inquiète-t-il. Elles n’hésitent pas à poursuivre les personnes accusées dans le monde entier.»
Derrière les barreaux pour 20 ans
En raison de ses activités, Maia Arson Crimew, son appartement ainsi que celui de ses parents ont été perquisitionnés par la police suisse en 2021. Les autorités américaines ont également déposé plainte contre la hackeuse, notamment pour «conspiration». Martin Steiger est formel: la plainte en cours pourrait à elle seule conduire la génie de l’informatique derrière les barreaux pour 20 ans. «La dernière affaire pourrait donner lieu à une autre dénonciation et à une peine plus lourde, poursuit le spécialiste. Aux Etats-Unis, les procédures cumulées sont fréquentes. Ce qui signifie que les peines sont additionnées.»
Combien d’années de prison risque-t-elle au total? Impossible pour l’expert d'estimer un chiffre. «Ce qui est sûr, c’est qu’elle ne peut vraiment pas quitter la Suisse en ce moment. Elle risquerait d’être immédiatement arrêtée et de passer de nombreuses années à l’ombre.»
*Arson était connue sous le nom de Tillie Kottmann, mais elle a aujourd'hui changé de nom.