Ceci se propage sur le web : Peiter « Mudge » Zatko, le lanceur d’alerte qui en savait trop

Publié le : 24/08/2022 – 18:13

Ce n’est pas comme si Twitter ne devait pas déjà se battre contre l’homme le plus riche du monde, Elon Musk. Le célèbre réseau social doit dorénavant aussi se défendre contre l’une des légendes vivantes du monde du « hacking », Peiter « Mudge » Zatko.

C’est cet informaticien de génie de 51 ans qui, après avoir été pendant près de deux ans le responsable de la sécurité informatique de Twitter, a décidé de devenir lanceur d’alerte pour dénoncer les failles de sécurité de la plateforme de microblogging.

Un hacker décoré par les États-Unis

Face à ces révélations, détaillées par le Washington Post et CNN mardi 23 août, Twitter a tenté de dénigrer son ancien employé. « M. Zatko a été licencié il y a plus de six mois de Twitter en raison de ses mauvaises performances et de son manque de leadership, et il semble maintenant essayer de manière opportuniste de causer du tort à Twitter, à ses clients et à ses actionnaires », a déclaré Rebecca Hahn, vice-présidente de la communication de Twitter.

« Une campagne de dénigrement contre Peiter Zatko est vraiment une idée stupide. Sa personnalité, ses compétences et son sens du leadership ont fait de lui une des figures les plus admirées du secteur », a réagi sur Twitter Robert M. Lee, un pionnier de l’industrie de la cybersécurité aux États-Unis.

En fait, l’identité du lanceur d’alerte est, dans cette affaire, presque aussi dommageable pour le réseau social que le contenu des révélations. Peiter Zatko a, depuis près de trente ans, une réputation de chasseur hors pair de failles de sécurité dans les systèmes informatiques de grands groupes ou administrations publiques.

Il a même été décoré en 2013 de la médaille du service civil exceptionnel, la plus haute récompense civile du ministère de la Défense, pour son travail de promotion de la sécurité informatique.

Peiter Zatko a commencé à s’intéresser à la sécurité informatique au début des années 1990, à une époque où le commun des mortels commençait à peine à entendre parler d’Internet.

Peu après des études supérieures en musique – l’homme est un guitariste aguerri –, il commence à travailler pour BBN Technologies, un important sous-traitant de l’administration américaine qui a construit les premiers routeurs Internet pour le gouvernement américain.

De L0pht au Cult of Dead Cow et Darpa

En parallèle, il affine ses compétences de bidouilleur informatique et intègre en 1996 L0pht, le tout premier collectif de hackers « éthiques » de l’histoire des États-Unis, en adoptant le surnom « Mudge ». Le but de ces « hacktivistes » n’était pas de tirer profit des failles informatiques qu’ils découvraient, mais de les rendre publiques afin de pousser les grands groupes à les corriger.

Il fait de même au sein d’un autre groupe pionnier de hackers, le Cult of Dead Cow (« culte de la vache morte »), qui, à l’époque, s’était donné comme mission de dénoncer tous les problèmes de sécurité des logiciels de Microsoft.

C’est durant ces années que « Mudge » va mettre au point des outils, comme L0phtCrack, pour pirater les mots de passe – outils encore utilisés de nos jours. Des contributions qui lui confèrent une aura toujours plus importante dans les milieux informatiques.

Le grand public le découvre, pour sa part, à l’occasion de la première audition au Congrès de « hackers éthiques » en 1998. Ils sont sept à presser les élus américains à prendre la sécurité informatique des toutes nouvelles autoroutes de l’information plus au sérieux. Au milieu de cet attelage détonnant dans le temple de la démocratie américaine, « Mudge », cheveux longs et hirsutes, assure qu’il est capable de « faire tomber Internet en moins de 30 minutes ». ll prévient aussi que si lui peut le faire, les ennemis des États-Unis – qu’ils soient Russes, Iraniens ou autres – en ont sûrement aussi les moyens.

Les techniques qu’il décrit à cette occasion – comme les attaques par déni de service (saturer de requêtes un serveur ou un site pour le rendre inaccessible) – apparaissaient comme de la science-fiction à l’époque de cette audition. Mais ils sont depuis lors entrés dans la boîte à outils de tous les cybercriminels ou hacktivistes. Le collectif Anonymous avait fait des attaques par déni de service son arme de prédilection durant leurs heures de gloire, et la Russie s’en est servi en 2008 lors de la vague de cyberattaques qui a précédé l’offensive militaire en Géorgie.

Au début des années 2000, le président américain Bill Clinton a tout naturellement appelé « Mudge » à la rescousse lorsque les premières vagues d’attaques par déni de service frappent les entreprises américaines.

Un allié pour Elon Musk ?

Depuis lors, il n’a pas arrêté d’avoir un pied dans l’administration américaine et un autre dans le secteur privé. Peiter Zatko a notamment travaillé plusieurs années pour Darpa, l’unité de recherche en nouvelles technologies du Pentagone, à la fin des années 2000. Il a également été conseiller indépendant en sécurité informatique et a travaillé pour des monstres sacrés de la Silicon Valley comme Google.

Peiter Zatko est arrivé en sauveur chez Twitter en 2020. La plateforme venait de subir le plus important incident de sécurité de son histoire, lorsque des pirates informatiques avaient pu prendre le contrôle d’une centaine de comptes de personnalités de premier plan, comme l’ex-président américain Barack Obama, le financier Warren Buffett ou encore Elon Musk. « Mudge » devait rendre Twitter plus sûr.

Deux ans plus tard, le « sauveur » devient « persona non grata » pour la direction de Twitter. Devenu lanceur d’alerte, Peiter Zatko pourrait se révéler être une menace existentielle pour Twitter. Surtout si Elon Musk réussit à se servir de ses révélations dans le bras de fer qui l’oppose au réseau social. Le patron de Tesla a d’ailleurs annoncé qu’il allait appeler « Mudge » à témoigner dans le procès qui doit commencer mi-octobre.