Poursuivi dans une affaire de logiciel malveillant, l’informaticien a finalement échappé à la prison aux États-Unis. L’abandon de ses vieilles pratiques et son rôle dans la lutte contre la propagation du malware WannaCry ont joué en sa faveur.

C’est un dénouement heureux pour Marcus Hutchin, alias MalwareTech : poursuivi aux États-Unis en raison d’un logiciel malveillant qu’il avait créé il y a plusieurs années pour dérober des informations bancaires, l’expert en sécurité informatique de nationalité britannique, âgé aujourd’hui de 25 ans, échappe à la prison. Il pourra même quitter les États-Unis et retourner dans son pays natal.

« Je vous suis incroyablement reconnaissant de la compréhension et de la clémence du juge », a réagi le jeune homme le 26 juillet, à l’issue du verdict, sur son compte Twitter. Il risquait en effet gros : jusqu’à dix ans de prison ferme, rappelle la BBC. Il ne sera pas non plus contraint de régler une amende pour avoir conçu Kronos, le malware bancaire qui a commencé à faire parler de lui en 2014.

Seule contrainte, Marcus Hutchin sera un an sous liberté surveillée. Il risque également de ne plus avoir le droit d’entrer sur le territoire américain à cause de son passé trouble, comme il le suggère dans un autre message. Toutefois, ses avocats prévoient de tenter de lui obtenir une grâce. Marcus Hutchin pourrait être amené à se rendre aux USA à l’avenir, par exemple pour participer à des évènements en sécurité.

WannaCry

WannaCry s’installait sur les machines et verrouillait des documents pour ensuite exiger une rançon contre leur libération.

Arrêté en 2017 par le FBI

C’est au début du mois d’août 2017 que MalwareTech avait été arrêté par le FBI, alors qu’il se trouvait à Las Vegas pour assister à la DEF CON, un grand rassemblement de hackers outre-Atlantique. Lors de l’audition de l’intéressé, le procureur Dan Cowhig a affirmé que l’accusé avait reconnu la « paternité » du malware. Ce qui sera confirmé entre autres dans une déclaration publique sur son blog :

« J’ai plaidé coupable pour deux accusations liées à l’écriture de logiciels malveillants dans les années précédant ma carrière en sécurité. Je regrette ces actions et j’accepte l’entière responsabilité de mes erreurs. Ayant grandi, j’utilise depuis les mêmes compétences que celles que j’avais utilisées à des fins constructives. Je continuerai à consacrer mon temps à protéger les gens des attaques de logiciels malveillants ».

Le changement de profil de MalwareTech, qui n’est plus impliqué dans la création de logiciels malveillants avait été reconnu par les enquêteurs dans des documents datant du mois d’avril 2019. Mieux : pour les avocats, son « importante contribution » au maintien de la sécurité dans le monde a été reconnue par le tribunal et il était donc plus que normal de le laisser partir en homme libre.

Parade trouvée par hasard

Marcus Hutchin connaît une notoriété mondiale lorsqu’il trouve une première parade à la cyberattaque Wannacry. Dès le 12 mai 2017, jour même du début de l’attaque, il se penche dessus. Alors que les hôpitaux publics britanniques sont plus ou moins paralysés, il sort ses outils et commence à décortiquer le logiciel malware. Il découvre alors qu’un site web essaie d’être contacté.

Le site, au domaine improbable (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), est alors acquis par Marcus Hutchin. « Le but était juste de surveiller la propagation [du virus] pour voir si on pouvait y faire quelque chose plus tard », explique-t-il au Guardian. « Mais on a en fait arrêté la propagation juste en réservant le nom de domaine ». Cela ne lui coûte qu’une dizaine d’euros.

bouton

Un kill switch. Allégorie. // Source : włodi

Alors que le nom de domaine était visé par des milliers de connexions par seconde, du fait de la propagation importante et croissante de WannaCry, il est constaté une chute notable du nombre de nouvelles infections. La raison ? Le nom de domaine en question s’avère être une sorte d’interrupteur d’urgence (« kill switch »), qui permet, en principe aux auteurs de WannaCry (voir notre dossier), de stopper sa diffusion à distance.

Au départ, l’expert informatique ne saisit pas la portée de ce qu’il vient de faire. Il pense même un temps avoir au contraire favorisé la propagation du virus. Avec ses collègues de Kryptos Logic, l’entreprise de sécurité informatique dans laquelle il travaille, il a eu l’idée de connecter le nom de domaine à un DNS sinkhole, qui s’apparente à une sorte de trou noir du web. Par la suite, des variantes sont apparues sans ce kill switch.

Les poursuites contre MalwareTech avaient suscité de l’inquiétude dans le milieu de la cybersécurité, car des pratiques en cause font partie de l’exercice normal de la profession. Marcus Hutchin a ainsi reçu du soutien de la part de ses pairs et des organisations de défense des libertés individuelles, ce qu’il n’a pas manqué de signaler sur Twitter, entre deux remerciements.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.