Un ado pirate 150 000 imprimantes pour montrer que cette histoire d’internet des objets va mal finir

Le samedi 4 février 2017, au Royaume-Uni, un « étudiant du secondaire en colère », comme il se décrit lui-même, assis devant son ordinateur, codait en écoutant Bones et Yung Lean un rootkit, un ensemble d'outils qui permettent à un utilisateur non autorisé de prendre le contrôle d'un système informatique. Puis, pensant à de récentes nouvelles à propos d'imprimantes piratées, il passe à la vitesse supérieure et crée un petit programme en C.

En quelques heures, environ 150 000 imprimantes connectées à internet dans le monde ont commencé à vomir de l'art ASCII et des messages informant leur propriétaire que leur imprimante a été piratée. Le hacker signait son œuvre : « Stackoverflowin. »

Toute la soirée et le lendemain, des gens ont raconté sur internet avoir trouvé ces impressions mystérieuses. Beaucoup d'imprimantes touchées étaient connectées à des terminaux de point de vente de restaurants, et des serveurs étonnés ont vu sortir ces mêmes impressions sur les reçus pour les clients.

L'année avait déjà été riche en piratages d'imprimantes. Les imprimantes connectées d'au moins trois universités américaines — Stanford, Vanderbilt et Berkeley — avaient été piratées et utilisées pour imprimer des tracts antisémites. La même semaine, des chercheurs de l'Université de Bochum, en Allemagne, ont publié un articlesur les failles de sécurité dans les logiciels d'imprimantes, tout en lançant un wiki pour cataloguer toutes les attaques de ce type. Quelques jours plus tard, Stackoverflowin agissait pour attirer l'attention sur ce problème.

Intrigué, j'ai contacté Stackoverflowin par Ricochet, une app de messagerie instantanée anonyme. On a discuté de l'internet des objets, des portes dérobées de biens produits en Chine, et de son mépris pour les skids, les incompétents qui utilisent des scripts ou des programmes pour pirater des ordinateurs mais ne savent pas créer leurs propres programmes.

Motherboard : Comment as-tu fait et comment les utilisateurs peuvent-ils se protéger?
Stackoverflowin : J'ai envoyé des images sur les imprimantes en utilisant le protocole LPD (port 515), l'IPP (port 631) et le port 9100. En plus de ça, j'ai utilisé un RCE [un code exécuté à distance, un exploit permettant au hacker d'installer un code arbitraire sur la machine ciblée], ce qui a affecté le panneau de commandes web de Xerox. Je pouvais créer des images et utiliser mon propre PostScript à ma guise. Honnêtement, il faut que les gens déconnectent leur imprimante de l'internet quand ils n'en ont pas besoin. Quand ils ne peuvent pas faire autrement, il faudrait qu'ils utilisent un sous-réseau IPs/IP [qui approuvent les connections d'une adresse IP mais bloquent toutes les autres] ou un accès VPN pour se connecter au réseau local.

Et tu as automatisé le processus, si j'ai bien compris?
Oui, j'ai créé un petit programme avec C pour faire ça.

Certains des messages envoyés à des imprimantes dans le monde entier.

Dans les messages, tu disais aux gens que leurs machines faisaient partie d'un botnet, alors que c'était faux. Pourquoi?
C'est le premier truc qui m'est venu à l'esprit et, avec toutes les inquiétudes qu'il y a autour de la sécurité de l'internet des objets, j'ai pensé que c'était plutôt approprié.

Pourquoi s'attaquer aux imprimantes? Es-tu simplement intéressé par les questions liées à l'internet des objets?
Ouais, ça m'intéresse. Je m'étais déjà intéressé aux imprimantes (il y a quelques mois) et je m'étais amusé un peu, mais j'y suis revenu quand j'ai vu des articles sur le sujet. J'essaie de nettoyer un peu toute la merde qui entoure l'internet des objets depuis début 2015, en gros.

C'est devenu vraiment intéressant quand le logiciel malveillant Mirai qui s'attaque aux objets connectés est apparu, et que le monde a commencé à prendre conscience du problème. Mais je ne m'en suis pas trop mêlé, vu que d'un coup tout le monde s'y intéressait. Franchement, je ne suis pas sûr que le monde comprend vraiment ce que c'est, l'internet des objets. Et les médias exagèrent un peu. Les gens se mettent à croire que leur grille-pain se fait pirater quotidiennement.

Ils ont peur que quelqu'un s'attaque à leur frigo.

Il y a risque énorme que ça tourne mal. La plupart des appareils utilisés dans les attaques sont vendus par une entreprise, mais produits par une autre — souvent par des développeurs chinois qui manquent de rigueur. Ce n'est pas du racisme. Leur code est souvent inquiétant et il y a beaucoup de portes dérobées sur ces appareils connectés à internet.

Parle-moi du moment précis du piratage. J'essaie d'imaginer. On est samedi, tu t'ennuies chez toi et tu décides de tenter le coup?
Je n'ai jamais pensé que ce serait aussi énorme, pour être honnête. Quand j'ai vu que 158 000 appareils répondaient, j'ai halluciné. Et je ne pensais pas non plus qu'on en parlerait autant. Oui, c'était samedi et j'étais chez moi et je buvais un café en écoutant Yung Lean. Je crois que je travaillais un peu sur Linux ou alors sur LD_PRELOAD [un type de rootkit]. C'était juste un soir où je m'ennuyais.

Certaines des impressions sont signées Michael Jensch et tu as écrit dans ton profil Twitter que tu es un chercheur de 23 ans qui vit en Allemagne. Mais tu as dit à d'autres que tu étais au secondaire en Angleterre.
Oh, Michael c'est mon pote. Il m'a demandé de faire ça. Mais ouais, je suis au Royaume-Uni. Je suis au secondaire. Un étudiant en colère qui a foutu en l'air son avenir dans l'informatique.

J'en doute, vu que personne ne sait qui tu es.
Non, dans la vraie vie. Je n'ai pas eu les notes que j'espérais. J'imagine que je vais continuer de faire ce genre de trucs toute ma vie.

À ton avis, pourquoi tu n'as pas eu les notes que tu voulais? Que penseraient tes profs s'ils savaient ce que tu fais le week-end?
Je suis obsédé par la programmation. Je faisais ça 14 heures par jour à ce moment-là. Donc ouais, ça a un peu niqué mes résultats. Mon problème, c'est que personne ne remarque ce dont je suis capable. Tous ceux que je connais qui ont mon âge et mes compétences sont soit des hackers malveillants, soit dépressifs. Il n'y a rien pour nous.

Ce serait quoi ton job de rêve?
J'espère être mon propre patron un jour, lancer une entreprise. Mon job de rêve, ce serait sans doute d'être programmeur ou consultant en sécurité. Quelque chose lié à la sécurité et à la conception de logiciel.

Beaucoup de propriétaires d'imprimantes se sont précipités sur internet pour tenter de comprendre, comme sur ce forum Hewlett-Packard.

Tu penses aller à l'université?
Non, je n'ai pas eu des notes suffisantes pour ce que je veux. Maintenant, je vais devoir suivre une formation que je n'ai pas envie de suivre. Enfin, c'est quand même l'université, mais c'est loin de ce que je voudrais faire. J'aimerais vraiment qu'on propose des choses de notre temps aux jeunes de mon âge qui ont ce type de compétences. Il y a rien de bien. En France, ils ont des écoles de code et tout (comme 42, Epitech, etc.)

Vous n'avez pas de cours en science informatique au Royaume-Uni?
Oui, il y en a, mais ils sont mauvais. Par exemple, ma filière actuelle s'appelle officiellement « informatique », mais personne dans ma classe n'est capable de programmer quoi que ce soit, et aucun n'a l'air intéressé par le sujet. Il s'agit juste de voir qui peut recopier ce qui est écrit dans le manuel le plus vite. Et ils trouvent ça dur. Il n'y a pas de hackathons, de conférences ou de capture du drapeau. Mes compétences en programmation ne me servent à rien. Je suis loin devant les autres là-dedans.

J'ai l'impression que ce que tu décris est assez commun chez les hackers. C'est la curiosité et le goût des défis qui vous conduisent là. Pourquoi ne lancerais-tu pas toi-même un truc qui t'intéresserait?
Je ne connais pas assez de monde. Je ne parle pas de tout ça avec mes amis. Ça n'intéresse personne. Et les profs m'ont déjà assez emmerdé avec l'informatique.

Par exemple?
Je me suis déjà fait engueuler pour avoir signalé des vulnérabilités, des défaillances. Je faisais ça en dehors de l'école, mais l'école s'en est servie contre moi. J'ai eu beaucoup de problèmes à cause de ça. Même si j'avais fait mon rapport de mon côté, en privé, proprement. J'ai fait ce qu'il fallait faire, mais ça m'a causé des soucis et ils m'ont dit de « ne pas m'en mêler », alors que le système en question contenait beaucoup d'informations sensibles concernant des étudiants. Mais c'est juste un exemple. Il y a plein de problèmes dans ce genre. On ne s'en sort pas.

Si tu trouvais d'autres moyens de satisfaire ta curiosité et d'exercer tes talents, tu continuerais à hacker des imprimantes?
Non, je ne ferais plus ça. À moins que… Je ne sais pas vraiment. C'est une histoire de personnalité. Je pense que je ne le referai plus. Je veux passer à autre chose. On en a beaucoup parlé, pour de mauvaises raisons, en plus. Aux autres jeunes hackers, je conseillerais de s'entourer de personnes qui pensent comme eux et ont les mêmes centres d'intérêt. C'est la meilleure façon de mûrir quand on aime ce genre de choses, parce que ça peut être très solitaire. Et ne soyez pas arrogants. Les gens détestent ça, et ce n'est pas très compliqué. Ne faites rien de stupide, non plus. Et ça comprend connecter à internet des appareils qui n'en ont pas besoin.