Il y a tout juste trois ans, le rançongiciel WannaCry semait le chaos dans le monde entier. C'est un hacker de 22 ans, employé par la firme de cybersécurité Kryptos Logic, qui a réussi à le stopper.
Trois mois plus tard, il était pourtant arrêté par le FBI à l'aéroport de Las Vegas, les agents fédéraux évoquant sa contribution à un malware baptisé Kronos.
Marcus Hutchins, alias MalwareTech, grandit au Royaume-Uni dans la région rurale du Devon. Il montre un talent précoce pour l'informatique, fabriquant son premier ordinateur à 13 ans.
Rapidement, l'adolescent fréquente des forums de hackers et commence à programmer des logiciels malveillants «pour le sport», tout en se désintéressant de l'école.
Péché originel
En 2009, Hutchins crée un service payant et clandestin, Gh0sthosting, qui propose d'héberger «tous les sites illégaux» –à l'exception de la pédopornographie. Il amasse de l'argent mais s'en détourne rapidement.
Le hacker est alors contacté par un certain «Vinny», qui lui offre de travailler pour lui sur le logiciel malveillant UPAS Kit. Il accepte, s'enrichit encore et s'amuse beaucoup.
Vinny ne tarde pas à lui demander de plancher sur une nouvelle version du malware capable d'enregistrer chaque frappe sur le clavier de la victime, de visualiser son écran et de superposer de faux formulaires à ceux des pages qu'elle consulte, par exemple quand elle tape ses mots de passe –ce que l'on appelle une injection de code dans les applications web.
Cette requête alerte Marcus, car elle sent la fraude bancaire à des kilomètres. Il refuse. Mais il a fait l'erreur de transmettre son identité et son adresse à Vinny, pour qu'il puisse lui envoyer un «cadeau»: un solide stock de marijuana commandé sur le site clandestin Silk Road. L'homme lui rappelle qu'en possession de ces éléments, il peut le dénoncer au FBI s'il ne coopère pas.
Hutchins accepte finalement un compromis: s'atteler à des aspects moins problématiques du malware. En parallèle, il étudie, spécule sur le Bitcoin et devient accro aux amphétamines.
Le hacker découvrira avec horreur que Vinny a fait appel à un autre programmeur pour coder l'injection et donner naissance au malware Kronos, vendu 7.000 dollars [6.500 euros] sur des places de marché clandestines comme Exploit.in and Dark0de.
Rédemption
Marcus Hutchins décide progressivement de se ranger des voitures pour analyser les malwares de type botnet –comme Kelihos et Necurs– de l'intérieur afin de les contrer. Excellant dans cet exercice, il ouvre le blog MalwareTech, un compte Twitter, acquiert une notoriété importante et est recruté par l'entreprise Kryptos Logic à un salaire mirobolant.
Il arrête d'abord le malware Mirai, en discutant de ses propres erreurs avec l'un des hackers qui en est à l'origine. Puis en mai 2017 survient WannaCry, un rançongiciel auto-répliquant qui infecte la plupart des pays du monde en très peu de temps. Il suit le virus à la trace en achetant le nom de domaine vers lequel le malware dirige ses requêtes. Au terme d'un processus long et complexe, Hutchins trouve le kill switch dissimulé à l'intérieur de WannaCry.
Devenu une véritable rockstar, Marcus célèbre son succès. Mais son passé le rattrape vite: il est arrêté en août 2017 à Las Vegas, à cause de son travail sur Kronos. Alors qu'une communauté de soutien s'organise, il est incarcéré puis libéré sous caution.
Jugé en avril 2019, il risque cinq ans d'emprisonnement. Mais le magistrat, prenant en compte les services rendus, ne le condamne qu'à la peine déjà effectuée et un an de liberté surveillée. Il est aujourd'hui presque libre.
