Pour la justice américaine, le « prétendu altruisme » d'une hacktiviste ne justifie pas ses actes
3 jours après son piratage mémorable de 150 000 caméras de surveillance, Till "Tillie" Kottman voyait la police toquer à la porte de son appartement situé à Lucerne, en Suisse. Elle avait publié sur Twitter des captures d'écran du flux vidéo des caméras piratées, et raconté les détails de la fuite à Bloomberg. Cet incident fut la goutte de trop pour la justice américaine. Tillie Kottman, personne non-binaire de 21 ans (qui souhaite se faire appeler par les pronoms « iel » ou « elle »), n'en était pas à son premier coup d'éclat. Loin de là.
Aussi connue sous les pseudonymes « tillie crimew » et « deletescape », la hackeuse a publié, au cours des deux dernières années, les données confidentielles de plus de 100 entreprises sur son site git.rip et sur la chaîne Telegram « ExCondidential ». Parmi les entreprises concernées, on retrouve de grands noms comme Intel, Mercedes-Benz, Disney, Nintendo, Microsoft, Toyota, ou encore Pepsi. Tillie est aussi connue pour l'activité de son compte Twitter et ses échanges réguliers avec la presse. À Bloomberg, elle donnait ses motivations : « beaucoup de curiosité, le combat pour la liberté d’information et contre la propriété intellectuelle, une grande dose d’anticapitalisme, et une pincée d’anarchisme ».
La lutte contre la propriété intellectuelle est au cœur de ses revendications, et elle considère la publication illégale des données confidentielles des entreprises comme une ouverture forcée de leur code.
Une hackeuse spécialisée dans la trouvaille d'identifiants
Pour pénétrer des systèmes informatiques, il existe plusieurs techniques, que l'on peut comparer à différentes façons de s'introduire dans une maison. Certains vont chercher à crocheter la porte, d'autres veulent casser le verrou, et d'autres encore vont tenter de passer par la porte de derrière ou une fenêtre moins protégée. Tillie Kottman, elle, s'est fait comme spécialité de trouver les clés cachées sous le paillasson ou dans le pot de fleurs près de la porte. Son intrusion sur le réseau du fabricant de caméras de surveillance Verdaka est un bon exemple de son mode opératoire : elle a trouvé les identifiants d'un compte « super administrateur » de la startup dans le détail d'un morceau de code publié sur un dépôt, et accessible à n'importe qui.
Mais plutôt que de prévenir l'entreprise de sa trouvaille, elle a utilisé les identifiants pour voir jusqu'où elle pouvait aller sur le système interne de Verdaka. Puis elle a publié des captures d'écrans, et s'est tournée vers les journalistes, toujours sans dire mot aux principaux concernés. Kottman fonctionne ainsi depuis 2019 : elle cherche les dépôts de code source mal configurés, puis en publie le contenu, ce qui peut placer les entreprises et agences gouvernementales concernées dans une situation pour le moins délicate.
La procureure Tessa M. Gorman, en charge du dossier, balaie de façon virulente la démarche de Kottman, dans des propos rapportés par The Record Media :« voler des identifiants et des données, publier du code source et des informations sensibles sur le web ne rentre pas sous la liberté de parole, c'est du vol et de la fraude. » Elle développe : « ces actions peuvent augmenter le nombre de vulnérabilités pour tout le monde, des larges entreprises aux consommateurs. Emballer cette démarche par des motivations prétendument altruistes n'enlève pas la puanteur criminelle de ce genre d'intrusion, vol et fraude. »
Les charges avancées contre Kottmann pourraient mener à une peine comprise entre 2 et 20 ans de prison ferme. Mais faut-il encore qu'elle soit extradée vers les États-Unis puis jugée coupable.