Quatre murs bleus, un poster de foot un peu passé et une frise Astérix à mi-hauteur. L'antre du pirate est une chambre d'enfant. L'enfant a grandi. Il n'est jamais parti mais a voyagé loin, profond dans les arcanes du Web, jusqu'à se retrouver en procès demain pour avoir ébranlé Twitter , le phénomène 2.0 du moment. Stratégie d'attaque : infiltrer le carré paillettes de la twittosphère, soit les comptes de Britney Spears, Lily Allen, Ashton Kutcher, Lindsay Lohan et, tant qu'à faire, de Barack Obama. Tout ça le plus tranquillement du monde, sans bouger du pavillon familial de Beaumont, Puy-de-Dôme. Ce qui en fait mine de rien, sinon la troublante incarnation d'un Internet prophétisé village global, du moins le seul hacker français dont les aventures disent quelque chose à votre voisin.
«M. et Mme Cousteix et leurs enfants», annonce la boîte aux lettres. Il est aide-soignant au CHU voisin, elle s'occupe de leurs quatre filles et deux garçons. François, 24 ans, est l'aîné. Tignasse brune sur regard écarquillé, teint pâle, no look tee-shirt-baskets, tout de nervosité rentrée. «Renfermé, solitaire» , constate-t-il. Pas un loquace, c'est certain, et pourtant limite prolixe quand il s'agit d'expliquer comment il s'y est pris pour aller picoter les chevilles de Twitter. «Presque simple.» Presque. D'abord, repérer les noms des «administrateurs» maison, soit les salariés aux manettes. Traquer les infos personnelles qu'ils ont laissé traîner sur les réseaux sociaux, Facebook et blogs en premier lieu, jusqu'à connaître le nom de leur hamster et la date d'anniversaire de leur copine. De là, tâtonner (on résume). Deviner leur mot de passe, grâce à la question secrète prévue en cas d'oubli ( «couleur préférée ?» «prénom de votre petite-cousine ?» ). Entrer sans se gêner.
Le procédé, évidemment, demande du temps. Le jeune Auvergnat, en plus d'être «patient et tenace» , n'en manque pas. Abonné à l'envoi de CV, hormis quelques intérims, depuis un BTS d'électronique et quatre mois de formation en maintenance informatique, il passe dix, douze heures par jour devant son écran. Des années durant, sous son pseudo «Hacker Croll» (référence accessible aux seuls adorateurs de Pac-Man, ancêtre culte des jeux vidéos), il a écumé les forums et blogs, sondé le deep Web , territoire de jeu qu'il partage avec ses amis virtuels. Il n'en a pas d'autres, «pas du genre à passer les soirées en boîte ou au stade» . Claquemuré consentant, au risque d'une dépendance à sa bulle qu'il ne nie pas. Débranché du monde, rebranché à un autre. Il ne se force à faire des pauses que pour rassurer ses parents inquiets de le voir s'isoler chaque jour davantage mais dépassés par ce Web qu'ils comprennent mal, dont il leur répète que c'est sa «passion» et, bientôt si tout va bien, son «métier» . Créateur de sites web.
Vocation logique d'un pur produit de la génération Internet ? Oui et non. Premier ordinateur à 8 ans, il ne s'informe qu'en ligne, a fait ses armes de gamer sur World of Warcraft et n'ignore aucune appli iPad. Mais Facebook n'est «pas pour lui» et il n'a «jamais été un gros téléchargeur» . Passer le mur de Twitter lui aura pris «quelques semaines» . Sésame : «Saint-Louis» . Ville de naissance d'une des administratrices et porte d'entrée de plusieurs de ses comptes. Via Gmail et Yahoo, il remonte la chaîne et accède aux boîtes mail, comptes Paypal, coordonnées bancaires d'un pan de la famille Twitter. Il «passe» chez Obama et consorts, sans changer les statuts, ni rien écrire en leur nom. Poursuivant son tour du propriétaire, il tombe sur des documents plus qu'internes: compte-rendus de réunions, plans des locaux, mails, grilles des salaires, agendas… Léger vertige. Il ne comprend pas les trois quarts de ce qu'il lit mais envoie des captures d'écrans à des sites spécialisés, façon «I was there» . Il aurait pu en tirer profit, ne le fait pas. «Ça n'est pas mon éthique.»
Car précisons que le garçon ne se dit pas hacker, tout Hacker Croll qu'il soit. «Trop négativement connoté. Le hacker, c'est celui qui casse, nuit aux autres.» On tente un moins agressif «pirate» . A la rigueur, mais du clan des «White Hats» alors (dans le cyberjargon, les gentils qui «ne détruisent pas» , contrairement aux méchants «Black Hats»). De la sous-catégorie des «perceurs», pour être exact : des petits malins pas spécialement surdoués de la programmation mais qui savent «exploiter les failles humaines du système» . Il répète n'avoir «pas agi par malveillance mais pour montrer à quel point il peut être facile à une personne mal intentionnée d'accéder à des informations sensibles sans trop de connaissances» . Manque sans doute au discours la part de défi, le brin de fierté. Il confirme d'un sourire, pas plus.
Son avocat, Jean-François Canis, le décrit comme «un type intelligent comme tout, sous ses dehors lunaires» . Et ajoute : «Il a voulu se tester, voir jusqu'où il pouvait aller. Il a vu.» «Il voulait d'abord être reconnu de la communauté» , lui fait écho Adeline Champagnat, chef adjoint de l'office de lutte contre la cybercriminalité à la police judiciaire. La cellule avait déjà l'animal dans ses fichiers depuis 2007, coincé pour bidouillage sur des sites de jeux. Il dit en avoir tiré «3000, 4000 euros» , réinvestis en matériel informatique. La posture de chevalier blanc en prend un coup. Il plaide l'erreur de jeunesse, payée de huit mois de sursis. Cette fois, c'est en laissant tout bien en ordre qu'il referme la porte de Twitter. La conscience tranquille, n'était le pressentiment d'avoir grillé l'allumette de trop. A raison. Il ne faudra pas vingt minutes pour que Twitter repère l'intrusion.
Huit mois plus tard, à l'aube, le FBI sonne à la porte des Cousteix. Quatre types en noir flanqués de quatre autres de la police judiciaire. Les parents, qui tombent des nues, se souviennent de «trois Asiatiques et d'un autre très américain. Très polis» . Ils embarquent les disques durs et un François qui n'en mène pas large. Garde à vue. «Flippé» , il répond à tout avec une précision qui laisse les enquêteurs pantois. «J'espère que mon action aura contribué à améliorer la sécurité des internautes» , leur dit-il dans une sorte d'aplomb naïf. Il risque 30 000 euros d'amende et deux ans de prison. Dix s'il avait été jugé aux Etats-Unis.
S'il s'en sort bien, il s'installera à Paris. Rentabiliweb, poids lourd du webmarketing et micropaiement en ligne, l'a embauché à l'essai il y a un mois, comme par hasard. Le job consiste en gros à surveiller la Toile, du sur-mesure. Son patron, Jean-Baptiste Descroix-Vernier, coutumier de la reconversion d'ex-hackers (dont un bataillon de Russes et de Roumains), avait repéré Cousteix bien avant qu'il ne postule.L'intéressé dit ne demander que ça, «changer», «aller de l'avant» . Ces dernières semaines, il s'est levé tôt, a découvert le jogging et s'est même mis sur Facebook. Sans pseudo, au grand jour.
Paru dans Libération du 24 juin 2010