Qui est Marcus Hutchins, le "gentil" hacker soupçonné d'avoir conçu un logiciel malveillant ?

Trois mois. C'est le temps qu'il aura fallu à Marcus Hutchins, plus connu sous le pseudo "MalwareTech", pour passer de "white hat", ces experts en sécurité informatique qui signalent aux entreprises et gouvernements les failles de leur système, à celle de "black hat", hackers mal intentionnés.

Le Britannique, qui s'était rendu célèbre pour avoir largement contribué à stopper le rançongiciel WannaCry en mai 2017, a été arrêté mercredi 2 août aux Etats-Unis. Il est accusé d'avoir fabriqué et distribué le logiciel Kronos, conçu pour voler des informations liées aux transactions bancaires en ligne en Europe. Qui est ce hacker ? Que lui reproche-t-on ? Eléments de portrait.

Un chercheur en cybersécurité de 23 ans

D'après le Telegraph, le jeune homme de 23 ans vit à Ilfracombe, une station balnéaire du sud-ouest de l'Angleterre, avec ses parents, qui travaillent tous deux dans le secteur médical, et son jeune frère. 

Marcus Hutchins est un autodidacte, qui s'est initié au code sans passer par l'université. En 2016, tout juste sorti du lycée, il est recruté comme "chercheur en cybersécurité"  par l'entreprise Kryptos Logic, raconte le site Wired. "J'ai trouvé du boulot grâce au premier traqueur de netbots [réseaux d'ordinateurs infectés par un virus, ndlr] que j'ai conçu, l'entreprise pour laquelle je travaille aujourd'hui l'a remarqué, m'a contacté et m'a demandé si je cherchais un job", expliquait l'intéressé au Guardian au mois de mai. 

Le héros qui stoppa WannaCry

Quelques jours avant cette interview, il avait trouvé une parade pour ralentir la propagation du virus WannaCry, un "rançongiciel" qui a fait au moins 200 000 vicitimes dans le monde et mis une usine Renault à l'arrêt en France. Le principe du programme : verrouiller les fichiers des utilisateurs et les forcer à payer une somme d'argent sous forme de monnaie virtuelle, le bitcoin, pour en recouvrer l'usage. En étudiant le code du virus, Marchus Hutchins constate la présence d'un nom de domaine placé là "pour permettre aux cybercriminels de suspendre l'attaque au moment qui leur semble opportun", explique Le Parisien. En l'enregistrant, Marcus Hutchins, qui s'en est rendu compte par hasard, vient à bout de WannaCry.

Ce coup d'éclat fortuit lui confère une certaine célébrité. "Je n'ai fait que mon boulot", glisse-t-il alors, apparaissant comme le parfait chevalier blanc. "J'espère ne pas devenir le contact de référence des journalistes sur les 'rançongiciels'. Il y a des millions de personnes plus qualifiées que moi", tweete-t-il fin juin. 

Hope I'm not going to be the goto person for journalists seeking statement on ransomware attacks. There's millions of people more qualified.

— MalwareTech (@MalwareTechBlog) 28 juin 2017

Traqué par la presse, courtisé par les services secrets

Pour son geste, la plate-forme HackerOne, qui récompense les pirates vertueux, lui offre 10 000 dollars (environ 8 400 euros), qu'il assure à l'époque vouloir reverser à des associations. Le reste de l'argent doit faciliter "l'accès à des ressources éducatives pour les gens qui souhaitent se former en sécurité informatique", affirme-t-il au Telegraph. 

Peu après l'épisode WannaCry, ce sont les services du renseignement britannique qui lui proposent un emploi. Il refuse. Motif ? "Le salaire proposé couvrirait à peine les impôts que j'ai payés l'année dernière."

I just realized that the salary GCHQ offered me is so low that the amount of tax I paid last year would have covered my entire salary.

— MalwareTech (@MalwareTechBlog) 23 juin 2017

Cette notoriété naissante n'a pas que des bons côtés et le jeune homme déchante rapidement : "Je savais que mes cinq minutes de célébrité seraient horribles, mais j'avais sous-estimé à quel point… Les tabloïds britanniques sont super envahissants". Car si son compte Twitter gagne des milliers de followers en quelques jours, la presse people britannique le traque jusqu'à son domicile.

I knew 5 minutes of fame would be horrible but honestly i misjudge just how horrible.... British tabloids are super invasive.

— MalwareTech (@MalwareTechBlog) 20 mai 2017

Gentil hacker ou malfaiteur ?

Depuis quelques temps, l'intérêt pour Marcus Hutchins était retombé. Ce dernier continuait à causer hacking, langages informatiques et virus sur son compte Twitter et son blog, où la plupart des messages qui ne parlent pas de pizzas demeurent incompréhensibles pour les néophytes.

Fin juillet, il avait atterri à Las Vegas, aux Etats-Unis, pour assister à la conférence DEF CON, le plus grand rassemblement de hackers au monde, et documentait sur Twitter sa découverte du pays en publiant des photos de voitures luxueuses et de séances de tir.

tfw @kurtisebearUK upstages your rental car with a $500k Lamborghini Aventador :( pic.twitter.com/i8Sb9E6j8C

— MalwareTech (@MalwareTechBlog) 31 juillet 2017

Alors qu'il s'apprête à regagner le Royaume-Uni, il est arrêté, le 2 août, dans le salon VIP de l'aéroport de Las Vegas, rapporte le Daily Mail. La justice américaine le soupçonne, avec un autre homme dont l'identité n'a pas été révélée, d'avoir conçu et vendu sur le "dark web" le logiciel Kronos. Ce dernier est configuré pour viser notamment les systèmes bancaires du Royaume-Uni, au Canada, en Allemagne, en Pologne et en France.

Deux semaines plus tôt, un grand jury américain avait en effet retenu six chefs d'inculpation contre lui, dont celui d'avoir "sciemment provoqué la transmission d'un programme" et "tenté de causer des dégâts non autorisés à dix ordinateurs protégés ou plus". Les faits reprochés à Marcus Hutchins et son co-défendeur se seraient produits entre juillet 2014 et juillet 2015. Des dates troublantes au regard de l'un des tweets du jeune homme, publié le 13 juillet 2014 : "Est-ce que quelqu'un a un échantillon de Kronos ?" 

Anyone got a kronos sample?

— MalwareTech (@MalwareTechBlog) 13 juillet 2014

Le jeune homme avait déjà confié avoir été approché par des gens qui souhaitaient l'engager pour des activités illégales. Comme dans ce message, reçu le 23 juin 2017, dont l'auteur dit avoir "besoin d'un hacker" pour réaliser une fraude à la carte bleue.

Open DMs be like pic.twitter.com/K39gjuayTn

— MalwareTech (@MalwareTechBlog) 23 juin 2017

"Créer un logiciel malveillant n'est pas criminel"

L'arrestation de Marcus Hutchins suscite l'incompréhension de sa famille. Sa mère en est convaincue : il est "très peu probable" que le jeune homme soit impliqué, compte tenu "du nombre d'heures qu'il a passées, y compris sur son temps libre", à stopper les attaques de programmes comme Kronos. "Le système judiciaire américain a fait une grosse erreur", a commenté son ami et collègue Kevin Beaumont sur Twitter. L'ONG Electronic Frontier Foundation s'est quant à elle dite "extrêmement préoccupée par l'arrestation" de Marcus Hutchins. Fondateur de l'entreprise de consulting Fidus Information Security et ami du chercheur, Andrew Mabbitt refuse lui aussi de croire aux accusations portées contre le jeune Britannique. "Ce n'est pas du tout le MT [MalwareTech] que je connais. Il a passé sa carrière à stopper les logiciels malveillants, pas à les coder."

Marcus Hutchins a été présenté à un juge, jeudi 3 août, à Las Vegas, qui lui a communiqué les chefs d'inculpation retenus contre lui. Selon le ministère de la Justice, le chercheur fait l'objet d'une enquête de l'unité du FBI chargée de lutter contre la cybercriminalité. Son avocat a assuré qu'"il avait coopéré avec le gouvernement avant" son audience, qui devrait se poursuivre vendredi après-midi. 

Mais pour Orin Kerr, professeur de droit à l'université George Washington, les charges ne tiennent pas. Si Marcus Hutchins est accusé d'avoir codé le logiciel Kronos, rien dans l'acte d'inculpation ne prouve qu'il avait l'intention de l'utiliser à des fins criminelles. "Ce n'est pas un crime que de créer un logiciel malveillant ou le vendre. En revanche, c'est un crime de vendre un logiciel malveillant pour permettre à quelqu'un l'utilise de manière criminelle", a détaillé le spécialiste auprès de Wired.

Des paroles qui ont dû rassurer les soutiens du jeune homme, très actifs sur Twitter, où le Britannique ne s'est pas exprimé depuis mercredi. Beaucoup le comparent à Aaron Swartz, génie de l'informatique et fervent défenseur de la liberté sur le net, qui s'était suicidé en 2013, à l'âge de 26 ans, alors qu'il était poursuivi par le FBI.