Adrien Lamole pirate probablement le plus connu pour s’être introduit dans Le New York Timesdu réseau et pour le reporting Chelsea Manningdu vol de documents classifiés au FBI, a été retrouvé mort dans un appartement du Kansas mercredi. Lamo a été largement vilipendé et critiqué pour avoir dénoncé Manning, mais ce chapitre de sa vie a éclipsé le profil d’un individu complexe qui m’a beaucoup appris sur la sécurité au fil des ans.
La panoplie de surnoms alternatifs qu’il utilisait alors sur messagerie instantanée mettait en lumière une personnalité difficile à appréhender : Protagoniste, Bitter Geek, AmINotMerciful, Unperceived, Mythos, Arcane, truefaith, FugitiveGame.
En cela, comme à bien d’autres égards, Lamo était une étude de contradictions : contrairement à la plupart des autres pirates qui s’introduisent dans les réseaux en ligne sans autorisation, il n’a pas essayé de se cacher derrière l’anonymat des pseudonymes ou des réseaux de clavardage Internet.
Au moment où je l’ai rencontré, Adrian avait déjà mérité le surnom de « le hacker sans-abri » car il n’avait pas d’adresse fixe et trouvait refuge la plupart des soirs dans des bâtiments abandonnés ou sur les canapés d’amis. Il lançait la majeure partie de ses missions depuis des cybercafés ou via les connexions commutées disponibles les plus proches, en utilisant un vieil ordinateur portable Toshiba auquel il manquait sept touches. Sa méthode était la même dans tous les cas : trouver des failles de sécurité ; proposer de les réparer ; refuser le paiement en échange d’une aide ; attendez que le trou soit réparé ; alerter les médias.
Lamo avait précédemment piraté des personnes comme AOL Time Warner, Comcast, MCI Worldcom, Microsoft, SBC Communications et Yahoo après avoir découvert que ces entreprises avaient activé l’accès à distance à leurs réseaux internes via des proxy Web, une sorte de sécurité par l’obscurité qui permettait à toute personne connaissant l’adresse Internet et le numéro de port du proxy de parcourir les partages internes et d’autres ressources réseau des entreprises concernées.
En 2002, Lamo avait commencé à m’appeler fréquemment au téléphone pour me raconter ses divers exploits, usurpant souvent son numéro de téléphone pour donner l’impression que l’appel provenait d’un endroit inquiétant ou important, comme la Maison Blanche ou le FBI. À l’époque, je ne prenais activement aucune mesure pour crypter mes communications en ligne, ou pour suggérer que mes différentes sources fassent de même. Cependant, après quelques semaines de conversations téléphoniques presque quotidiennes avec Lamo, il est devenu très clair qu’il s’agissait d’un oubli majeur.
En février 2002, Lamo m’a dit qu’il avait trouvé un proxy ouvert sur le réseau du New York Times qui lui permettait de naviguer sur l’intranet de la salle de rédaction. Quelques jours après cette conversation, Lamo s’est présenté à la salle de rédaction de Washingtonpost.com (alors à Arlington, en Virginie). Juste au coin de la rue se trouvait un Kinkos, et Adrian a insisté pour que je le suive sur place afin qu’il puisse se connecter et me montrer sa découverte de première main.
Alors qu’il était à l’intérieur de l’intranet du Times, il a téléchargé une copie de la liste des sources du Times, qui comprenait les numéros de téléphone et les coordonnées de noms familiers tels que Yogi Berra, Warren Beatty et Robert Redford, ainsi que des personnalités politiques de premier plan – y compris Le dirigeant palestinien Yassir Arafat et le secrétaire d’État Colin Powell. Lamo a également ajouté ses propres coordonnées au dossier. Mon histoire exclusive dans Newsbytes sur le piratage du Times a rapidement été repris par d’autres médias.
En août 2003, les procureurs fédéraux ont émis un mandat d’arrêt contre Lamo en relation avec le piratage du New York Times, entre autres intrusions. Le mois suivant, les avocats du Washington Post a reçu une lettre du FBI les exhortant à ne pas détruire toute correspondance que j’aurais pu avoir avec Lamo, et avertissant que mes notes pourraient être citées à comparaître.
En réponse, la poste a choisi de prendre mon ordinateur de bureau au travail et de le mettre en stockage. Nous avons également reçu une lettre du FBI demandant une entrevue (cette demande a été sommairement refusée). En octobre 2003, l’Associated Press a publié un article disant que le FBI n’avait pas suivi les procédures appropriées lorsqu’il a informé les journalistes que leurs notes concernant Lamo pourraient être citées à comparaître (la politique du DOJ était de ne demander des documents aux journalistes qu’après que toutes les autres étapes d’enquête aient été épuisées. , et seulement en dernier recours).
En 2004, Lamo a plaidé coupable à un chef d’accusation de crimes informatiques contre le Times, ainsi que LexisNexis et Microsoft. Il a été condamné à six mois de détention et à deux ans de probation, et condamné à payer 65 000 $ en dédommagement.
Plusieurs mois plus tard, alors qu’il assistait à une cérémonie officielle Fondation nationale de la presse dîner au Washington Hilton, mon encombrant Palm Treo bourdonnait dans la poche de ma veste de costume, signalant un nouveau message électronique entrant. La missive était vierge, à l’exception d’une pièce jointe inhabituellement grande. Normalement, j’aurais ignoré ces messages comme spam, mais celui-ci provenait d’une adresse vaguement familière : [email protected]. Des années auparavant, Lamo m’avait dit qu’il avait mis au point une méthode pour frapper ses propres adresses e-mail .mil.
La pièce jointe s’est avérée être la liste des sources de la salle de rédaction du Times. L’idée de posséder de telles informations était à la fois écrasante et terrifiante, et pour le reste de la soirée, j’étais certain que quelqu’un allait me découvrir (cela n’a pas aidé que j’étais assis à côté d’une table remplie de journalistes du NYT et éditeurs). Il était difficile de ne pas regarder la liste des sources et de s’interroger sur les possibilités. Mais finalement, j’ai décidé que la bonne chose à faire était simplement de supprimer l’e-mail et de détruire le fichier.
JEUNESSE
Lamo est né en 1981 à l’extérieur de Boston, Mass. dans une famille instruite et bilingue. Les parents de Lamo disent que dès son plus jeune âge, il a montré une affinité pour les ordinateurs et la résolution de problèmes complexes. À l’école primaire, Lamo s’est fait les dents sur un Commodore64mais ses parents lui ont rapidement acheté un PC IBM plus puissant lorsqu’ils ont compris l’étendue de ses talents.
« Depuis qu’il est très jeune, il a montré une tendance à être un penseur latéral, et tout problème que vous lui posiez avec un ordinateur, il pouvait le résoudre presque immédiatement », a déclaré la mère de Lamo, Mary, dans une interview en 2003. « Il a un esprit analytique doué et une curiosité naturelle.
Au moment où il est arrivé au lycée, Lamo était passé à un ordinateur portable. Au cours d’un cours d’informatique de sa première année, Lamo a éclipsé son professeur en résolvant un problème informatique qui, selon l’instructeur, était insurmontable. Après une altercation avec le professeur, il a été expulsé. Peu de temps après cet incident, Lamo a obtenu son diplôme d’équivalence d’études secondaires et a quitté la maison pour vivre seul.
Pendant de nombreuses années après cela, il a vécu une existence de vagabond, voyageant presque exclusivement à pied ou en bus Greyhound, préférant la ligne de bus abordable pour être la « seule forme restante de transport en commun qui offre une sorte d’anonymat ». Lorsqu’il n’était pas chez des amis, il passait la nuit dans des bâtiments abandonnés ou à la belle étoile.
En 1995, Lamo a décroché un contrat de travail chez une start-up technologique prometteuse appelée America Online, travaillant sur « PlanetOut.com», un forum en ligne qui s’adressait à la communauté gay et lesbienne. À l’époque, les annonceurs payaient AOL en fonction du temps que les visiteurs passaient sur le site, et le travail de Lamo consistait à garder les gens collés à la page, en discutant avec eux pendant des heures.
Aile d’Ira, un expert en sécurité chez l’un des plus grands fournisseurs de services Internet du pays, a rencontré Lamo cette année-là à PlanetOut et les deux sont devenus rapidement amis. Il ne tarda pas à se joindre à l’une des distractions préférées de Lamo, qui se révélerait être une étrange émanation des penchants en ligne du jeune hacker : explorer le labyrinthe des réseaux d’égouts souterrains et des mines abandonnées de Californie.
Depuis lors, Lamo est resté en contact par intermittence, entrant et sortant de la vie de Wing à intervalles irréguliers. Mais Wing s’est avéré un ami digne de confiance et loyal, et Lamo lui a rapidement accordé une procuration sur ses affaires s’il rencontrait des problèmes juridiques.
En 2002, Wing a enregistré le domaine « freeadrian.com », comme une blague. Il avait plus tard remarqué à quel point cette décision avait été prémonitoire.
« Adrian est comme un objet en mouvement rapide qui a un impact important sur la vie de quiconque qu’il rencontre », a déclaré Wing à ce journaliste en 2003. « Et puis il passe à autre chose. »
L’AFFAIRE MANNING
En 2010, Lamo a été contacté par message instantané par Chelsea Manningun soldat transgenre de l’armée qui était alors connu sous le nom de Bradley Manning. Le soldat de l’armée a confié qu’elle avait divulgué une vidéo classifiée d’une attaque d’hélicoptère à Bagdad qui a tué 12 personnes (dont deux employés de Reuters) à Wikileaks. Manning a également admis avoir remis à Wikileaks quelque 260 000 câbles diplomatiques classifiés.
Lamo a signalé le vol au FBI. En expliquant sa décision, Lamo a déclaré aux publications d’information qu’il craignait que la fuite de données classifiées ne mette des vies en danger.
« Il ne faisait que saisir des informations là où il pouvait les obtenir et essayait de les divulguer », a déclaré M. Lamo. dit Le Temps en 2010.
Manning a ensuite été reconnu coupable d’avoir divulgué plus de 700 000 documents gouvernementaux et a été condamné à 35 ans de prison. En janvier 2017, le président Barack Obama a commué la peine de Manning après qu’elle en ait purgé sept ans. En janvier 2018, Manning déposé pour briguer un siège au Sénat dans le Maryland.
SANS-ABRI À WICHITA
Le même mois, il a signalé Manning aux autorités fédérales, Lamo dit Wired.com qu’il avait été diagnostiqué Syndrome d’Asperger après avoir été brièvement hospitalisé dans un service psychiatrique. Lamo a déclaré à Wired qu’il soupçonnait que quelqu’un avait volé son sac à dos et que les ambulanciers avaient été appelés lorsque la police répondant aux rapports de vol présumé l’avait observé agir de manière erratique et peut-être brouiller son discours.
Wired a ensuite mis à jour l’histoire pour noter que le père de Lamo l’avait signalé au bureau du shérif de Sacramento, disant qu’il craignait que son fils ne se soigne trop avec des médicaments sur ordonnance.
En 2011, Lamo a déclaré au média Al Jazeera qu’il se cachait parce qu’il recevait des menaces de mort pour avoir trahi la confiance de Manning et l’avoir dénoncé aux autorités. En 2013, il dit au Guardian qu’il avait lutté contre la toxicomanie « pendant un certain temps ».
On ne sait pas encore ce qui a conduit à la mort de Lamo. Il a été retrouvé mort dans un appartement de Wichita le 14 mars. Selon L’aigle de Wichita, Lamo vivait dans la région depuis plus d’un an. Le journal citait un résident local Lorraine Murphy, qui se décrit comme une collègue et amie de Lamo. Lorsque Murphy lui a envoyé un message en décembre 2016 lui demandant ce qu’il faisait, il aurait répondu « sans-abri à Wichita ».
« Adrian a toujours été sans abri ou sur le point de l’être », aurait déclaré Murphy. «Il a beaucoup rebondi, sans raison particulière. Il était un adepte de la Cure Géographique. Peu importe ce qui ne va pas dans votre vie, déménager l’améliorera. Et il connaissait des gens dans tout le pays.
L’Eagle rapporte que la police de Wichita n’a trouvé aucun signe d’acte criminel ou quoi que ce soit de suspect concernant la mort de Lamo. Un test toxicologique a été commandé mais les résultats ne seront pas disponibles avant plusieurs semaines.