Dans « Lève-toi et code »*, « Rabbin des bois » raconte ses dix ans passés à pirater. Aujourd’hui, après avoir gagné énormément d’argent, il se proclame lanceur d’alerte et met en garde contre les dangers du dark Web.
Quand un hacker sort du bois, forcément, on a envie de le rencontrer. Mais interviewer « Rabbin des bois » - c’est son pseudo - est compliqué car le jeune homme tient à son anonymat. Quand il accepte enfin de venir dans les locaux du Parisien-Aujourd’hui en France, c’est sous condition : être masqué, méconnaissable.
Evidemment, quand ce hacker s’est présenté au siège de notre journal, Borsalino gris tombant sur de larges lunettes de soleil, et masque noir sur le bas du visage avec fermeture éclair imprimée en guise de bouche… les services de sécurité ont fait barrage. « Je suis habitué », s’amuse le jeune homme qui vient de publier le 16 mai ses mémoires de hacker : « Lève-toi et code »*. Un livre d’alerte qui tombe à pic, quelques semaines après le scandale Facebook-Cambridge Analytica, pour nous mettre en garde contre ce qui se trame dans les tréfonds du Web.
Enfant de Chevilly-Larue, dans le Val-de-Marne, Rabbin des bois a plongé à 15 ans dans le « dark Web », le côté obscur de la toile. Durant dix ans, il a pillé les données personnelles sur les sites de grandes écoles, d’assureurs, exploitant les failles d’acteurs de premier plan comme PayPal ou BlackBerry, vendant des faux likes ou followers par millions pour s’enrichir en mode express. Repenti, le « data dealer », comme il se décrit, tire aujourd’hui la sonnette d’alarme : « Un cyber 11 septembre aura lieu d’ici cinq ans qui va tout déstabiliser ».
Pourquoi sortez-vous du bois, et sous un pseudonyme ?
Quand on est hacker, normalement, on reste dans les ténèbres. J’ai écrit ce livre parce que je veux montrer ce qui risque d’arriver : d’ici cinq ans, un cyber-11 Septembre. Il y a, dans ce qu’on appelle le dark Web, des armées des hackers qui chaque jour attaquent les entreprises, les Etats… Je veux interpeller ceux qui n’ont pas de conscience numérique, qui ne réalisent pas ce qui se passe derrière l’écran. Je voulais témoigner aussi de ce que j’ai vu, de toutes les défaillances de sécurité. J’ai détecté une faille dans le système de Sciences-po, j’ai siphonné des millions de données personnelles pendant deux jours.
Quand vous êtes-vous repenti ?
J’avais postulé à Sciences-po et je voulais leur montrer de quoi j’étais capable. J’étais aussi prêt à prendre ma part de pouvoir grâce à ces milliers de données de première classe ! Au dernier moment, j’ai décidé d’être utile ; je leur ai dit où se trouvait la faille de sécurité en échange de la promesse de ne pas porter plainte. Et j’espérais intégrer l’école. Mais ils ont porté plainte. Voilà comment on traite en France les lanceurs d’alerte. Dans ces conditions, qui demain prendra le risque d’alerter ?…
Redoutez-vous d’être reconnu, poursuivi ?
Je ne suis pas serein, c’est sûr. Mais la police me connaît depuis l’affaire Sciences-po. J’ai eu droit à un rappel à la loi alors que je risquais deux ans de prison et 100 000 euros d’amende. La première règle du hacker, c’est ne jamais se faire prendre, sinon on est fini. C’est pour ça qu’on est tous parano. J’étais très connu sur le dark Web, j’ai pris un risque avec Sciences-po, j’ai perdu. Mais maintenant, je suis du côté Jedi de la force, je veux alerter sur le danger. Pour préserver l’authenticité de mon message, je dois conserver l’anonymat.
Dans votre livre, on comprend que vous avez engrangé énormément d’argent. Combien au total ?
Beaucoup, c’est vrai. Mais on n’est jamais assez riche… Quand j’avais 13 ans, je voulais gagner 10 000 euros par mois ; quand je les ai eus, je voulais gagner 10 000 euros par jour. J’ai gagné beaucoup parce que j’ai tout converti en Bitcoins, qui depuis a flambé, et qu’on peut facilement transférer d’un pays à l’autre. Pour le reste, je ne peux rien dire de plus.
N’avez-vous pas mauvaise conscience de ce vous avez fait et d’exposer des arnaques dont certains pourraient s’inspirer ?
Je ne pense pas inciter au crime et je n’ai fait de mal à personne. J’étais juste un marchand. Ce que faisaient les acheteurs de mes données, j’en sais rien et ça ne m’intéresse pas. Quand j’ai gagné de l’argent, c’est le système, les assureurs, les entreprises… qui étaient lésés. Les plateformes du marché noir dont je parle ont disparu. Je veux juste dire qu’on peut utiliser le Web comme ascenseur social. De chez soi, on peut gagner énormément d’argent dans la légalité : en faisant du graphisme, du webdesign, en codant - j’ai appris à coder tout seul ! Regardez Zuckerberg, Bezos…
En quoi y a-t-il danger pour nos données personnelles ?
Elles permettent de savoir qui vous êtes, vos habitudes, ce que vous aimez. Elles permettent de vous mettre dans des boîtes qui sont revendues cher à des entreprises, des agences de pub qui font du targetting : la publicité ciblée. C’est le capitalisme 2.0 qui pousse - de façon très limite - à la consommation. Ceux qui publient leurs données sur les réseaux ou ailleurs en se disant « Je n’ai rien à cacher », se trompent. Quand vous faites l’amour, vous fermez les rideaux, non ? Il y a un dicton simple : « quand c’est gratuit, c’est que vous êtes le produit »…
Vous avez vraiment abandonné toute activité ?
Je vends encore des services à des entreprises parfois connues que je ne citerais pas et qui cherchent de la notoriété facile et rapide ; je vends un euro les mille faux followers. J’ai même des gamines de 14 ans qui ont moins de followers que leurs copines… Les règles des réseaux sociaux n’interdisent pas tout ça, j’en profite.
Devient-on addict au hacking ?
J’ai eu mon premier ordinateur à 11 ans et pendant dix ans, j’ai passé 15 heures par jour devant mon écran, parfois 48 heures d’affilée à surveiller des téléchargements de données, tout ça sur un ordinateur à 400 euros. J’ai toujours rêvé d’être maître du monde, depuis que je suis petit. Et là, je pouvais m’attaquer à des gros comme Sciences-po ! Mais les hackers n’ont pas de vie sociale, beaucoup deviennent dépressifs, rivés à leur écran.
Depuis vos déboires judiciaires, avez-vous reçu des offres d’emploi ?
Deux ou trois, je les ai toutes refusées. Pourquoi je travaillerais 35 heures pour un patron en gagnant moins qu’à faire ce que je veux ?….
Que redoutez-vous pour l’avenir ?
On est dans un climat de cyber-guerre mondiale. Tous les jours, il y a des milliers d’attaques contre des Etats, des entreprises… Et aujourd’hui, toute notre société repose sur le numérique. Vous savez, en Russie, on trouve dans la rue des distributeurs pour acheter des « likes », des « followers »… Ils ont une vraie conscience numérique là-bas, ils sont plus lucides que nous sur les risques… et les opportunités. Regardez comment Cambridge Analytica a truqué les élections. C’est ça qui nous guette.
Si vous avez déjà écrit toute votre vie sur le Web, c’est fichu. Le Web a de la mémoire. A ceux qui s’interrogent, je dis : n’utilisez pas toujours les mêmes mots de passe faciles à trouver. Et méfiez-vous du cloud : préférez une clé USB pour stocker vos infos.
* « Lève-toi et code, confessions d’un hacker », Rabbin des bois, aux éditions de la Marinière.
Rabbin des bois en cinq dates
Enfant de Chevilly-Larue (Val-de-Marne), Rabbin des bois (un pseudo, il est de confession juive), a « environ » 25 ans.
2004 : premier ordinateur.
2008 : avec un copain, il plonge dans le « dark Web », le côté obscur de la toile, pour « faire du fric facile ».
2008-2016 : il escroque PayPal en vendant par petites annonces des téléphones jamais livrés. Il escroque BlackBerry en exploitant une faille du service après-vente qui lui rapporte des dizaines de smartphones. Sa spécialité : la multiplication des faux comptes. Il vend les données personnelles volées, marchande des faux « like », faux « followers »…
Mars 2017 : Suite à une plainte de Sciences-Po, dont il a piraté les données, il est identifié et arrêté par la police puis jugé.
Mai 2018 : Il publie « Lève-toi et code », ses mémoires et une mise en garde.
Source : http://www.leparisien.fr/economie/un-hacker-repenti-predit-un-cyber-11-septembre-d-ici-cinq-ans-21-05-2018-7727118.php