Un hacker américain a été condamné à plus de 3 ans de prison pour avoir réalisé un script qui profitait d'une faille béante de sécurité de l'opérateur AT&T, pour récupérer les adresses e-mail des possesseurs d'un iPad.

Curieuse justice. Alors que le suicide d'Aaron Swartz a créé aux Etats-Unis un débat sur la disproportion des poursuites pénales entamées contre les hackers qui ne causent aucun dommage à la société, voici qu'un nouveau jugement intervient qui ne fera rien pour rassurer sur la santé du système judiciaire américain. Le magazine Wired rapporte en effet que le hacker Andrew Auernheimer a été condamné à 41 mois de prison suivis de trois ans de mise à l'épreuve, pour avoir "piraté" les identifiants de 120 000 iPad achetés par des clients de l'opérateur AT&T en 2010.

En réalité, l'homme et son complice Daniel Spitler avaient découvert une faille sur le site web d'AT&T qui permettait d'obtenir facilement l'adresse e-mail des clients. L'opérateur affichait sur sa page l'adresse e-mail du client, lorsqu'il reconnaissait l'identifiant unique ICC-ID attribué à la carte SIM de l'iPad acheté. Or, les deux hackers avaient réalisé qu'il suffisait d'envoyer au site n'importe quel numéro ICC-ID pour récupérer l'adresse e-mail correspondante.

A l'aide d'un script réalisé à l'occasion, les hackers avaient récupéré une liste de 120 000 identifiants, dont certains de personnalités médiatiques, politiques ou militaires. Ils avaient fait état de leur découverte au site Gawker, en fournissant des données pour preuve. C'est alors que AT&T a décidé de porter plainte.

Les procureurs ont poursuivi Andrew Auernheimer, mais n'ont jamais condamné AT&T pour sa négligence de sécurisation des données personnelles de ses clients. Lors du procès, ils ont affirmé que le hacker ne cherchait pas uniquement à démontrer les failles de sécurité de l'opérateur par souci de l'intérêt public, produisant 150 pages de logs IRC fournis par un informateur, dans lesquels les deux compères auraient expliqué vouloir nuire à AT&T et se faire connaître, ainsi que leur groupe Goatse Security. A aucun moment les deux hackers n'ont fait usage des données qu'ils avaient ainsi piratées.

Andrew Auerheimer a déjà fait connaître son intention de faire appel. "Quel que soit le résultat, je ne serai pas cassé. Je suis antifragile", a-t-il assuré sur Twitter.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.