Interview : arrêté pour avoir téléchargé un logiciel d’espionnage

Souvenez-vous, il y a quelques semaines, nous sommes alors au mois de mai, le FBI annonçait fièrement une opération internationale d’envergure à l’encontre des utilisateurs et acheteurs du logiciel d’espionnage et de piratage informatique Blackshades.

Des dizaines de personnes, présumées malveillantes arrêtées pour avoir téléchargé et, pour certains utilisé, un logiciel d’espionnage. Dans le lot, des français. Parmi eux, Joe (un pseudo). Il a 21 ans, vit en Alsace. Administrateur réseaux dans un grand groupe français, il a été réveillé à 6 heures du matin par « Les amis du petit déjeuner ». Pourquoi ? Il nous explique en exclusivité sur zataz.com cette étrange affaire orchestrée par l’Oncle Sam.

Vous touchez à l’informatique depuis longtemps ?

Depuis tout jeune, je me suis spécialisé en informatique, notamment le réseau afin d’exercer un métier tel que je pratique actuellement. Les réseaux c’est mon truc, j’adore également « bidouiller ». La sécurité informatique m’a toujours attiré et je compte faire quelques formations afin de valider des acquis dans ce domaine. Je me suis donc intéresser au hacking, par passion d’abord puis pour en faire dans l’avenir pourquoi pas, une spécialité. Je suis surtout un gros bidouilleur. Je me cultive dans des sujets tels que les injections sql, Metasploit, man in the middle … J’étudie, je test et je m’amuse. Je m’amuse, mais je reste clair sur un point. Je n’ai jamais volé un seul centime, ou une seule donnée personnelle. C’est le côté technique qui m’attire.

Vous avez été arrêté en mai dans une vaste opération du FBI, pourquoi ?

Ce fameux jour de mai … C’est la Direction centrale de la Police judiciaire (DCPJ) qui a débarqué à mon domicile. Il était 6 heures matin, au saut du lit. Le motif était simple. Un mandat d’arrêt signé par le FBI m’était adressé. J’étais accusé d’avoir acheté le logiciel Blackshades.

Pourquoi avoir acheté/téléchargé Blackshades, un logiciel d’espionnage ?

Comme je l’ai dit précédemment, je suis un bidouilleur. En 2011, j’avais à peine 18 ans, je n’étais pas encore en formation informatique, mais je voulais déjà repousser mes limites dans mes connaissances. Comment ne pas céder à 18 ans à un logiciel si puissant afin de le tester et voir de quoi on est capable avec un tel outil ? J’ai donc acquis Blackshades. J’ai testé le soft sur un ami, avec son accord et on a bien rigolé. J’ai testé toute les fonctionnalités ensuite sur une machine virtuelle pour voir de quoi était capable Blackshades. J’ai aussi regardé ou il pouvait s’installer, ou le keylogger était enregistré, … afin de pouvoir détecter moi-même les menaces si j’avais eu à rencontrer son infection. J’ai volé 0 centimes, 0 données.

Comment les policiers vous ont-ils retrouvé ?

Très simplement ! Le FBI a réquisitionné le serveur ainsi que toute la base de données hébergée par le développeur de Blackshades. Les autorités Américaine n’avait plus qu’à dispatcher et envoyer les adresse ip des utilisateurs ayant acheté le soft pour chaque autorité compétente sur les différents continents. Une grosse moisson ! Il y a eu des perquisitions au niveau international. Tous les acheteurs du logiciel ont ou seront perquisitionnés, afin d’en vérifier l’usage, et être déféré devant un tribunal. Il y aura plusieurs vagues d’arrestations selon « mes » enquêteurs, et j’étais dans la première vague. Ils ont pris et investi tout mon matériel informatique. Clés USB, mes postes, même celui de mon travail et mes disques dur externes. J’ai eu de la chance, et une écoute des enquêteurs. J’aurai dû être mis en garde à vue, mais ils m’ont laissé libre. J’avais, le jour de l’arrestation quelque chose de très important de prévu au niveau professionnel. J’ai donc été entendu un autre jour.

Être pris pour un terroriste par le FBI, ça vous fait quoi ?

Rire et peur à la fois. J’ai été arrêté et pris pour un cybercriminel, juste parce que j’ai une archive, même pas extraite, de Black shades. Depuis 2011,  j’avais désinstallé le soft. Donc il y a quand même ce côté hilarant de la chose, on devient un grand pirate informatique pour possession de logiciel illégal. D’un autre coté tout cela deviens très flippant … L’internet n’est pas libre, l’internet n’est pas anonyme, tout cela n’est qu’une illusion. Les gouvernements réussissent quasiment à avoir le control total et quand il y a un risque de ne plus l’avoir, en l’occurrence ici des acheteurs de logiciels indomptables, ils n’hésiteront pas à mettre de grosses baffes pour bien médiatisées pour faire peur.

Avez-vous eu Peur ?

Peur oui, car ou sont les limites ? Je risque, pour avoir téléchargé ce programme, 5 ans de prison ferme. Les investigations continuent avec les autres logiciels sur mon poste, peut-être plus ? Gardons les pieds sur terre, ils ne vont, je l’espère, qu’appliquer du sursis. Et un casier ! Ça risque de me fermer pleins de porte au niveau professionnel.

Que retenez-vous de cette mauvaise aventure ?

Plusieurs choses ! Détenir un couteau ce n’est pas être un tueur. Détenir un logiciel potentiellement dangereux, à priori oui ! Le port d’arme est autorisé aux USA. Un simple logiciel potentiellement dangereux ne l’est pas. Dégouté d’une part, car pour moi c’est un grosse claque, mes parents mis au courant qui me prennent pour un méchant pirate, ma vie personnel foutu en l’air, tous mes pc ont été investigué et je commence même à croire que je suis un criminel. Jusqu’à ce que la raison me rattrape, je suis un jeune diplômé informatique, passionné, travaillant en CDD pour une grosse entreprise et je n’ai qu’une envie, évoluer dans le domaine de la sécurité. Je ne vais pas me laisser abattre juste parce que les Français ont décidé de suivre les USA.

Le comble, les heures d’interrogations sur mes autres softs. Pourquoi un VPN ? Pourquoi TOR ? On m’a même demandé si je cherchais à accéder à du contenu pédophile. Pourquoi j’ai Wireshark ? Je fais du sniffing ? Bah non monsieur l’agent, je suis administrateur réseau … On m’a passé en revue toutes les choses qui auraient pu être détournées, surement pour me faire avouer des faits dont je suis totalement étranger. C’est mentalement éprouvant mine de rien. Ma passion reste présente, je vais continuer mes bidouilles, mes tests et mon apprentissage, tout simplement en restant beaucoup plus prudent pour ne pas reproduire l’erreur de 2001, acheter avec une ip en clair et un compte PayPal. J’ai quand même eu pas mal de chance dans mon malheur d’être tombé sur un enquêteur tolérant, qui était je cite : « embêter d’arrêter des gens comme moi, passionnés et curieux, mais c’est la loi.»

Connaissiez-vous la loi française sur la détention d’outil de piratage et autre logiciel d’espionnage ?

Je savais bien qu’utiliser un tel outils frauduleusement était interdit et passible de poursuite. Mais comment deviner que la simple détention d’un tel programme informatique était répréhensible ? Les termes et condition que l’on accepte au démarrage et téléchargement stipulant pour synthétiser que l’utilisation doit se faire sur notre propre machine ou l’accord de la personne est totalement bidon et n’a aucune valeur. Jamais je n’aurais pensé voir débarquer la police pour une simple possession de logiciel. Je pense qu’il est important d’informer les personnes, les « bidouilleurs » que posséder un tel soft c’est comme posséder une arme en France. Même si on ne s’en sert pas, que nous ne nous reconnaissons pas comme criminel, en réalité nous somme «  dangereux ». Je n’approuve pas du tout, mais ça c’est mon point de vue. Peut-on vraiment regretter d’être trop curieux ? Je me pose encore aujourd’hui la question.