C’est une figure de la scène geek helvétique qui, du jour au lendemain, passe de l’anonymat de son écran d’ordinateur aux unes de la presse internationale pour avoir fait trembler plus d’une centaine de grandes entreprises américaines en piratant les systèmes de Verkada. Cette firme californienne fournit ses solutions de vidéosurveillance aux centres pénitentiaires américains, aux hôpitaux comme à de grandes sociétés telles que Tesla. Début mars, les réseaux sociaux divulguent les images de 150 000 systèmes de vidéosurveillance de Verkada.
Derrière cette fuite monstrueuse se cache le prodige lucernois en sécurité informatique Tillie Kottmann. Après que la police lucernoise a perquisitionné chez lui le 12 mars, il a été inculpé le 18 mars pour «complot, fraude électronique et vol d’identité aggravé» par le Ministère public de l’Etat de Washington. Tillie Kottmann risque entre 3 et 5 ans de prison en Suisse. Mais qui se cache derrière cet hacktiviste (contraction de hackeur et d’activiste) de 21 ans aux longs cheveux roses et quelles sont ses motivations? Retour sur un piratage rocambolesque qui en dit long sur les tensions sécuritaires à l’ère numérique ainsi que sur les pressions américaines exercées sur les lanceurs d’alerte.
Tout bascule le mardi 9 mars 2021. Tillie Kottmann, soutenu par son collectif de hackeurs baptisé Advanced Persistent Threat, s’apprête à presser le bouton rouge de son compte Twitter. A l’écran, la soixantaine de caractères de son message et la photo qui l’accompagne vont avoir l’effet d’une bombe nucléaire. On y lit le ton sarcastique du compte @tilliecrimew: «Vous vous êtes déjà demandé à quoi ressemble l’intérieur d’un entrepôt de Tesla?» Et on y voit les images présumées de l’intérieur d’une usine de l’entreprise à Shanghai. Cette première salve virale est ponctuée du hashtag #OperationPanopticon.
>> Lire également: Et Big Brother prit le pouvoir!
D’autres messages viendront dans les heures qui suivront, illustrés par des images et des vidéos. Dont celle de la prison de Huntsville, en Alabama. @tilliecrimew provoque: «Et si on mettait tout simplement fin au capitalisme de la surveillance en deux jours?» Panopticon prend les traits d’une opération coup-de-poing exigeant une prise de conscience globale sur les enjeux de la protection des données. Sans oublier le LOL, soit la satisfaction d’avoir pu exposer au grand jour les secrets les mieux gardés.
Instantanément, la twittosphère s’emballe face à ces clichés et à ces vidéos qui révèlent l’intimité de prisons américaines, d’entreprises, d’hôpitaux ou d’écoles. Au total, ce sont 150 000 systèmes de vidéosurveillance qui se retrouvent sur la place publique. Un désastre pour l’entreprise américaine Verkada, qui avait misé toute sa communication sur la sécurité accrue de ses solutions de vidéosurveillance stockées dans le cloud. En quelques clics, la firme californienne est infiltrée, puis piratée. Pour Tillie Kottmann, c’est le début des ennuis judiciaires.
Le compte Twitter @tilliecrimew, c’est lui, elle ou eux. Le Lucernois se définit comme non binaire. Tillie Kottmann, qui a pu faire ses armes en politique sous la bannière des Jeunes socialistes lucernois en 2020, est un militant qui dénonce le capitalisme de la surveillance à l’ère numérique. Aux yeux du FBI, il est désormais un criminel passible de 20 ans de prison aux Etats-Unis en cas d’extradition. Pourtant, Tillie Kottmann n’a pas agi par appât du gain, mais dans le souci de pointer la fragilité sécuritaire des systèmes internes d’une entreprise.
Nous avons contacté le jeune hackeur pour en savoir plus. Mais il se mure dans le silence et refuse toutes les demandes des médias, pour protéger sa vie privée. Pas plus de chance du côté de son avocat zurichois, Marcel Bosonnet, qui a représenté l’ancien informaticien du service de renseignement américain (NSA) Edward Snowden. Dans le courant du mois de mars, Tillie Kottmann s’était pourtant confié à de nombreux médias américains, dont Bloomberg. Le Lucernois justifiait ses motivations par son «anticapitalisme et un soupçon d’anarchisme»: «Le vol de données visait à montrer l’omniprésence de la vidéosurveillance et la facilité avec laquelle les systèmes peuvent être piratés», expliquait-il.
Mais comment Tillie Kottmann a-t-il pu réussir un tel piratage? Dans une interview accordée à Ars Technica, un média américain spécialisé dans les technologies, le Suisse explique avoir trouvé sur internet les droits d’accès d’administrateurs lui permettant d’entrer dans l’ensemble du système de Verkada. Selon Tillie Kottmann, ces accès étaient stockés sur la Toile dans un endroit non protégé. En résumé, le Lucernois n’a eu qu’à se servir. En dévoilant publiquement ce piratage, il a voulu alerter le public face à la sécurité défaillante qui entoure la protection des données sensibles et privées.
Justicier doublé d’un lanceur d’alerte ou pirate informatique criminel, le statut de Tillie Kottmann divise. Au sein du monde du hacking suisse, les proches du Lucernois font bloc pour le défendre. L’un d’entre eux, qui s’exprime sous le couvert de l’anonymat, voit, dans la condamnation de Tillie Kottmann, une tentative d’intimidation américaine: «Vous voulez mon avis? Les Etats-Unis veulent faire de Tillie un cas d’école pour effrayer tout le monde. Leur message est clair: «Ne vous frottez pas à nous ou votre vie sera un désastre.» Les 12 pages de l’acte d’accusation sont explicites. Le Ministère public de l’Etat de Washington parle de délits contre les Etats-Unis. C’est exactement l’option stratégique prise par Washington dans la condamnation de Julian Assange, le fondateur de WikiLeaks.»
Dans son communiqué de presse, la procureure américaine Tessa M. Gorman condamne les agissements de Tillie Kottmann avec la plus grande fermeté: «Ces actions peuvent accroître les vulnérabilités de tous, des grandes entreprises aux consommateurs individuels, écrit-elle. S’envelopper dans un motif prétendument altruiste ne supprime pas la puanteur criminelle d’une telle intrusion, vol et fraude.» Précisons que le Lucernois est dans le collimateur de la justice américaine depuis plusieurs mois pour d’autres faits de piratage, dont celui du fabricant américain de microprocesseurs Intel.
En 2020, un groupe de hackeurs dont fait partie Tillie Kottmann était accusé d’avoir volé, puis publié en ligne les informations confidentielles de plusieurs entreprises publiques et privées. Selon Bloomberg, qui a pu consulter le mandat de recherche du FBI, il s’agirait notamment des codes sources et des données d’utilisateurs internes à ces entreprises. Depuis, le FBI a démantelé le site sur lequel ces informations étaient publiées. Mais, selon le Département américain de la justice, cité par la presse américaine, le site répertoriait depuis 2019 une longue liste de données confidentielles appartenant aux plus grandes entreprises. Parmi elles, Mercedes-Benz, Nissan, Pepsi, Motorola, Nintendo, Disney et bien d’autres encore. Tillie Kottmann pourrait être jugé en Suisse. Mais plus question pour lui de mettre les pieds aux Etats-Unis.