Comment une querelle sur un forum de télescopes s’est terminée par une peine de prison

Lorsque le FBI s’est présenté sur le pas de la porte de David Goodyear en août 2016, il a commencé à lui poser des questions sur les télescopes. Cet informaticien de 42 ans et passionné d’étoiles avait fréquenté un forum d’astronomie appelé Cloudy Nights. Or, quelqu’un avait mis le forum hors ligne avec une attaque par déni de service, et les preuves pointaient vers Goodyear.

Goodyear a d’abord juré son innocence, mais après des questions de plus en plus pointues, il a avoué. Un de ses comptes avait été banni il y a quelques semaines, a-t-il dit. Dans un accès de colère, il a inondé le site de pornographie, puis a posté son adresse sur un site appelé HackForums.net, demandant à quelqu’un de l’attaquer. « Je me suis demandé pourquoi j’avais été banni. J’étais juste énervé », a-t-il raconté à ses visiteurs – un membre du Federal Bureau of Investigation et un autre du Los Angeles Police Department. « Ses visiteurs semblaient légèrement amusés par le drame du forum, et il a discuté avec eux de sa collection de télescopes à 100 000 $ avant de partir. Mais un an plus tard, Goodyear a été arrêté. En décembre 2018, il a été condamné à plus de deux ans de prison pour avoir violé la loi sur la fraude et les abus informatiques.

C’est une peine que même les victimes de Goodyear ne veulent pas qu’il purge. Un seul message sur un forum a suffi à diriger une attaque temporairement dévastatrice sur une petite entreprise, alors que les lois fédérales sur la criminalité informatique signifiaient que ce même message pourrait maintenant avoir des conséquences qui changent la vie.

Les attaques par déni de service distribué (ou DDoS) sont l’une des cyberattaques les plus simples : elles inondent un site d’énormes quantités de trafic jusqu’à ce qu’il ne puisse plus servir de pages aux vrais utilisateurs. À grande échelle, ces attaques peuvent être incroyablement perturbatrices. La DDoS Mirai de 2016 a mis hors service de grandes sections du web, en détournant des appareils intelligents non sécurisés pour créer une armée de bots. Même à plus petite échelle, elles peuvent causer de réels dommages – comme la demande de Goodyear l’a fait pour les propriétaires du forum Cloudy Nights.

Cloudy Nights est géré par Astronomics, une société basée en Oklahoma qui vend des télescopes et autres équipements d’astronomie. Le vice-président Michael Bieler estime que le forum compte environ 115 000 utilisateurs enregistrés qui échangent des conseils, des photos de l’espace et des opinions sur les télescopes. Bieler décrit Cloudy Night comme étant généralement « un coin tranquille de l’Internet » où les modérateurs ont prononcé moins d’une douzaine de bannissements à vie en plus de 15 ans d’activité. La politique est interdite, sauf sur un forum destiné à discuter des lois sur la pollution lumineuse.

Le 13 août, une personne nommée HawaiiAPUser a posté une capture d’écran d’une tentative de connexion ratée, indiquant qu’elle avait été bannie sous un autre nom. En dessous se trouvait une série d’insultes sexuelles et de liens pornographiques. « Les mods et les admins ne peuvent pas m’arrêter ! » écrit l’utilisateur. « Je pense que je vais parler avec mes contacts et juste D0S ce site ainsi que A55stronomics », une référence apparente à une attaque par déni de service.

Le lendemain, le site web de Cloudy Nights et Astronomics a commencé à être surchargé de trafic, rendant les forums peu fiables et maintenant Astronomics.com presque complètement hors ligne. « Nous sommes juste une petite entreprise familiale, et il nous a fermé essentiellement pendant deux semaines », raconte Bieler à The Verge. « Je n’ai eu aucun revenu. C’était presque inexistant. »

Alors que l’attaque se poursuivait, Bieler a appelé la police locale et un avocat qui lui a dit de contacter le FBI. « Je me disais : « Ils vont se moquer de moi quand je leur dirai que quelqu’un s’est énervé sur un forum et a décidé de faire tomber mon site web », dit-il maintenant. Mais à l’époque, il était très sérieux. M. Bieler a déclaré à l’agence qu’il craignait que sa société ne fasse faillite si les attaques se poursuivaient, et que son père – le fondateur de la société – avait été hospitalisé pour des problèmes cardiaques dus au stress. « C’est littéralement en train de le tuer », a-t-il écrit dans un courriel.

Les modérateurs deCloudy Nights, quant à eux, avaient une bonne idée de qui était derrière l’attaque. Goodyear avait été un visiteur régulier jusqu’en 2013, lorsqu’il a été banni pour – comme il l’a dit – avoir « ouvert la bouche » aux modérateurs. (Les documents judiciaires brossent un tableau plus sombre, disant qu’il a suivi avec un message menaçant « demandant de se battre » avec l’un d’entre eux). Il a créé plusieurs autres comptes depuis lors, et les modérateurs ont continué à les bannir. La capture d’écran de HawaiiAPUser comportait un horodatage, ce qui a permis de vérifier quels comptes étaient actifs à ce moment-là et si d’autres personnes s’étaient connectées à partir de la même adresse IP. Les anciens comptes de Goodyear sont apparus.

Le 31 août, le FBI et la police de Los Angeles se sont rendus au domicile de Goodyear à El Segundo, en Californie. Goodyear a professé sa perplexité quant aux raisons de leur venue, affirmant qu’il n’était pas derrière le poste. « Je me suis en quelque sorte lavé les mains de ce site web », a-t-il dit, suggérant qu’un employé ou un pirate informatique aurait pu utiliser son réseau.

Les agents ont menacé de commencer à déposer des mandats de perquisition. « Le FBI sait ce qu’il fait », a averti l’un d’entre eux sur un ton sinistre. « Nous avons attrapé Oussama Ben Laden, non ? On peut attraper quelqu’un qui fait un DDoS. »

L’argument a apparemment convaincu Goodyear. « J’ai bien posté cette connerie de les frapper. J’ai aussi mis sur un forum de piratage, disant, ‘Hey, pouvez-vous faire tomber ce site ?' » Il a admis. « Je pense que c’est peut-être allé plus loin que ce qu’il aurait fallu. » Mais il a insisté sur le fait qu’il n’avait aucune expertise en matière de piratage et qu’il n’avait payé personne pour l’attaque. Lorsqu’on lui a demandé s’il pouvait faire cesser les attaques, il a répondu qu’il « ne savait pas assez bien ».

Il n’est pas totalement clair comment la campagne DDoS s’est effectivement terminée. Selon une capture d’écran de septembre 2016 du compte HackForums.net de Goodyear, la dernière fois qu’il s’est connecté – du moins sous son nom d’utilisateur original – était le 29 août. La dernière tentative de DDoS réussie a eu lieu le 30 août, la veille du jour où Goodyear a parlé au FBI. Les attaquants ont peut-être cessé volontairement après cela, ou ils ont pu être contrariés par les nouvelles défenses d’Astronomics, puisque Bieler avait engagé un expert en cybersécurité pour l’aider.

Dans un communiqué de presse, le ministère de la Justice a souligné « l’importance de dissuader les cybercrimes sophistiqués, qui sont difficiles à tracer et donc particulièrement importants à punir. » Mais la façon dont Goodyear a décrit son crime était presque ridiculement peu sophistiquée. Lors de son entretien avec le FBI, il a déclaré avoir cherché sur Google des moyens de se venger de Nuit blanche. « Je cherchais d’autres moyens pour voir si je pouvais les éliminer, si je pouvais pirater… obtenir un botnet ou quelque chose comme ça. » Il a trouvé HackForums.net, s’est dit « tant pis » et s’est inscrit.

D’une façon ou d’une autre, un jury a déclaré Goodyear responsable d’un chef d’accusation de « dommages intentionnels à un ordinateur protégé ». Un juge l’a condamné à une amende de 2 500 dollars, à une restitution de 27 352 dollars et à 26 mois de prison.

Bieler avait supposé que l’affaire était close jusqu’à ce que le FBI arrête Goodyear un an plus tard et convoque Bieler au tribunal. Il a été choqué lorsqu’il a appris la longueur de la peine. Il n’a jamais voulu que Goodyear soit emprisonné, encore moins pour deux ans. « Honnêtement, je pense que c’est extrême, ce qui s’est passé », dit-il. « En fait, nous avons demandé dans notre lettre qu’il ne soit pas condamné à une peine de prison. Nous voulions simplement qu’il cesse d’attaquer notre site web. »

Le Computer Fraud and Abuse Act (CFAA), vieux de 34 ans, que l’expert en politique technologique Tim Wu a appelé « la pire loi en matière de technologie », est controversé pour de nombreuses raisons. L’une des plus courantes est la sévérité de ses règles de condamnation.

Les juges fondent les peines d’emprisonnement sur une fourchette définie avec la rubrique United States Sentencing Guideline, qui calcule un nombre représentant la gravité d’un crime. Le CFAA rend ce chiffre exceptionnellement facile à gonfler. Les procureurs peuvent gonfler le coût estimé d’un piratage avec des dépenses vaguement liées, ou le réduire si le défendeur coopère. Ils peuvent ajouter des peines supplémentaires pour l’utilisation de « moyens sophistiqués » et de « compétences spéciales », même pour des actions assez simples comme l’exécution d’un script.

« C’est, pour moi, une peine disproportionnée », dit l’avocat Tor Ekeland de la peine de 26 mois de Goodyear. « Malheureusement, c’est un peu typique ». Tor Ekeland a représenté des personnalités comme le chercheur en sécurité Justin Shafer et le journaliste Matthew Keys dans des affaires de cybercriminalité, et il est l’un des critiques les plus virulents de la CFAA. Selon lui, il n’existe pas de cadre juridique précis pour condamner les auteurs d’attaques DDoS, car ce type de crime est relativement nouveau. Mais il pense que les procureurs portent souvent devant les tribunaux des affaires même manifestement faibles, à la fois parce qu’elles sont relativement faciles à plaider et parce qu’il y a un « facteur sexy » dans les crimes informatiques.

Le ministère de la Justice s’est montré particulièrement habile dans les poursuites contre les DDoS sous Trump, poursuivant les créateurs du botnet Mirai et, plus récemment, l’homme à l’origine de plusieurs attaques contre des réseaux de jeux majeurs. Ces poursuites n’aboutissent pas toujours à de longues peines, mais comme le suggère le communiqué de presse du ministère de la Justice, les tribunaux punissent sévèrement certains cybercrimes individuels à des fins de dissuasion, puisque seule une fraction des contrevenants est attrapée.

Les crimes en ligne sont difficiles à tracer, et c’est un véritable problème pour les personnes qui luttent contre les menaces en ligne, les canulars de swatting ou les opérations de ransomware. Et loin de réagir de manière excessive à tous les crimes sur Internet, les forces de l’ordre et les tribunaux peuvent ignorer ou minimiser le harcèlement en ligne, par exemple.

Ekeland pense que les tribunaux traitent de nombreux crimes « pirates » comme étant indûment menaçants, cependant, par rapport aux crimes non informatiques qui causent des dommages financiers – ou un mauvais comportement des entreprises. La ligne sur la sophistication de l’attaque DDoS est particulièrement « absurde », dit-il. « Il ne s’agissait pas d’un crime informatique sophistiqué. Et le fait que le tribunal ait pensé cela souligne le problème de ce type d’affaires. »

Le CFAA n’est qu’une facette des problèmes du système judiciaire américain, bien sûr. Beaucoup d’infractions autres que les cybercrimes peuvent entraîner des peines disproportionnées. Et le problème n’est pas seulement les peines de prison trop longues. Ce sont les conditions inhumaines des prisons américaines, qui affectent des millions de personnes beaucoup moins privilégiées que Goodyear, dont certaines n’ont même pas été condamnées pour un crime.

Presque toutes les personnes impliquées dans l’arrestation de Goodyear semblaient un peu déconcertées par toute cette saga. « Comment faites-vous pour être banni d’un site d’astronomie ? » s’est demandé l’agent du FBI qui est arrivé pour l’interroger. « Y a-t-il un débat sur une dixième planète ou quelque chose du genre ? » Et selon l’estimation de Goodyear, tout ce qu’il avait fait était de se connecter à un forum, de demander « Hé, les gars, vous pouvez pirater ça ? » et de retourner à la vie comme d’habitude. Il a reconnu que ce qu’il avait fait était mal, mais il a semblé surpris d’entendre qu’il pouvait avoir de vrais problèmes pour cela.

Aujourd’hui, Bieler trouve « insensé » qu’un homme nourrisse une rancune de trois ans contre un forum d’astronomie avec tant d’amertume qu’il tenterait effectivement de mettre une entreprise en faillite pour se venger. « Si les gens pouvaient s’éloigner de leurs claviers pendant cinq secondes, beaucoup de choses ne se produiraient pas », dit-il. Mais alors que l’affaire touche à sa fin, il se sent simplement mal pour toutes les personnes impliquées – y compris Goodyear.

« Écoutez, perdre de l’argent, ça craint. Avoir mon entreprise en panne pendant quelques semaines, ça craint. Ne pas savoir ce qui va se passer parce que vous n’avez pas de revenus pour payer les salaires des gens, ça craint », dit Bieler. « Perdre deux ans de votre vie parce que vous avez fait quelque chose de stupide craint encore plus. »

.