211service.com
Les documents de l'affaire
La lettre de Carl Payne est arrivée au printemps 1998. Elle était écrite à la main, sans papier à en-tête. J'étais méfiant. Être chroniqueur pour Le Boston Globe et auteur de sept livres, je reçois ma part de communications de manivelles, de fous et de forçats. Mais Payne, je me suis vite rendu compte, n'était rien de ce qui précède.
Payne a écrit qu'il était l'accusé dans une affaire criminelle de piratage informatique. En décembre 1994, à l'âge de 28 ans, il avait aidé à démarrer un fournisseur de services Internet dans l'Utah qui a finalement été nommé Fibernet. Mais à l'automne 1996, le conseil d'administration a voté en faveur de l'éviction de Payne après qu'il se soit opposé à l'homme qui était sur le point de devenir le nouveau président de Fibernet.
Une semaine après que Payne a quitté Fibernet, quelqu'un a piraté les ordinateurs de l'entreprise et saccagé leurs systèmes. Fibernet avait immédiatement pointé du doigt Payne et persuadé le bureau du procureur du comté de l'Utah de l'accuser d'avoir enfreint la section 76-6-703 du Code criminel de l'Utah, Computer Crimes, un crime au deuxième degré. L'accusation avait un tas de preuves, l'affaire allait être jugée et il avait besoin de mon aide.
À première vue, Payne ressemblait en effet au coupable probable. Des études ont montré que la plupart des crimes informatiques sont perpétrés par des employés mécontents. La plupart des affaires de piratage informatique qui parviennent à une salle d'audience tournent autour d'un certain aspect de la loi, par exemple si le piratage était illégal et non sur le fait que le suspect l'ait réellement fait. Je n'avais jamais entendu parler d'une affaire dans laquelle le pirate informatique accusé aurait clamé son innocence, en particulier dans le
lumière de preuves tangibles. Pourtant, c'est exactement ce que Payne faisait. Intrigué, je l'ai appelé.
Au téléphone, Payne était bavard, amical et très inquiet. Nous avons convenu qu'il m'enverrait toutes les preuves que le bureau du procureur du comté avait fournies à son avocat. J'évaluerais sa qualité et rédigerais un rapport. Si l'affaire passait en jugement et qu'il me voulait toujours, je viendrais en Utah et je témoignerais. Ce serait mon premier passage en tant que témoin expert rémunéré.
Une semaine s'est écoulée et un épais paquet est arrivé dans ma boîte aux lettres. Il contenait le récit de l'incident de Payne, le rapport de police, les dépositions de toutes les personnes impliquées et près de 200 pages d'impressions informatiques. Après quatre heures passées à étudier les documents, je suis sorti dans le salon et j'ai dit à ma femme : Les choses ne vont pas bien pour M. Payne.
Le dernier jour de travail de Payne était le 30 octobre 1996. Le 6 novembre, quelqu'un s'était connecté à chacun des ordinateurs principaux de Fibernet et avait commencé à supprimer des fichiers. Les pages Web et les e-mails des clients ont été effacés. Les informations comptables ont été effacées. Ensuite, l'attaquant a eu accès à chacun des ordinateurs de communication spécialisés de l'entreprise, appelés routeurs, et a supprimé leur programmation. En fin de compte, l'entreprise a perdu plus de la moitié de ses clients, licencié de nombreux employés, laissé ses dirigeants sans salaire et a failli fermer ses portes.
Payne, qui avait été le directeur technique de Fibernet, avait certainement les connaissances nécessaires pour réussir l'assaut. Et après son départ chaotique, il avait peut-être un mobile : la vengeance. Certains autres détails semblaient également pointer dans la direction de Payne : parmi les nombreux comptes utilisés dans le piratage, il y en avait un appelé carl, qui lui appartenait vraisemblablement, un compte appelé dbowling, qui appartenait à l'un de ses
amis, et un appelé usenet. Quelque temps avant l'attaque, quelqu'un avait modifié le compte usenet et lui avait donné tous les privilèges système, créant - pour utiliser le jargon de la sécurité informatique - une porte dérobée.
Mais le document le plus accablant du paquet était peut-être le rapport du policier qui s'était rendu chez Payne après l'attaque. Lorsque l'officier est arrivé, il a découvert que Payne avait reformaté le disque dur de son ordinateur personnel et réinstallait le système d'exploitation. Dans la poubelle à côté de l'ordinateur était
une pile de disquettes. L'agent n'a ni mis en fourrière l'ordinateur de Payne ni saisi les disquettes - il a ensuite déclaré devant le tribunal qu'il avait supposé que toute preuve potentiellement utile avait déjà été détruite.
Tout semblait suspect. Mais un autre appel à Payne a produit une perspective différente. La semaine dernière, il était chez Fibernet, m'a dit Payne, il avait remis tous les mots de passe administratifs de l'entreprise au nouveau président. Le lendemain, Payne a découvert que son mot de passe avait été modifié. Le matin de l'attaque, a déclaré Payne, il avait essayé de composer Fibernet sur son modem à plusieurs reprises, avec le peu de chance que son compte ait été réactivé d'une manière ou d'une autre, mais il ne s'était jamais connecté avec succès. En fait, il était en train de reformater
son ordinateur personnel car il plantait à chaque fois que Fibernet rejetait son mot de passe. Tous ces disques à la poubelle, a-t-il dit, étaient de vieux fichiers dont il se débarrassait en vue d'un déménagement en Californie.
Je ne savais pas qui je devais croire, mais je commençais à aimer Carl Payne. Il aurait pu être moi il y a 10 ans - un geek techniquement averti qui s'était attiré des ennuis avec un tas de costumes qui étaient plus à l'aise avec les feuilles de calcul que les compilateurs C. Peut-être qu'il l'a fait, peut-être qu'il ne l'a pas fait. Mais un examen plus approfondi des impressions informatiques qui constituaient le cœur du dossier de l'accusation m'a convaincu que,
peu importe qui était le coupable, il n'y avait pas assez de preuves pour condamner qui que ce soit.
D'une part, aucun des imprimés ne m'a permis d'identifier un numéro de téléphone ou un ordinateur à partir duquel l'attaque avait été lancée, sans parler de l'identité de l'auteur. Et quelque chose d'autre appelé le
des preuves en une question encore plus grande : il est apparu que quelqu'un avait falsifié certains des fichiers avant de les imprimer. Le journal comportait de petites erreurs typographiques - quelques espaces supplémentaires insérés sur une ligne, un
lettre déposée sur une autre - comme si quelqu'un avait pris les fichiers journaux d'origine dans un traitement de texte et coupé et collé du texte avant de l'imprimer. Cela signifiait que les informations sur ces pages étaient suspectes. Et pourquoi toutes ces preuves me sont-elles parvenues sous forme imprimée ? Où étaient les enregistrements électroniques originaux ? Coupable ou pas, je
pensée, personne ne devrait être condamné sur la base de preuves falsifiées.
J'ai envoyé un rapport de six pages à Payne et j'ai continué à suivre l'affaire. En décembre, j'ai pris l'avion pour l'Utah. Lorsque je suis arrivé au palais de justice du comté de l'Utah à Provo, les plaidoiries venaient de se terminer. La théorie de l'accusation était simple : Carl Payne était un employé techniquement brillant mais difficile à gérer.
Fibernet lui a fait savoir qu'il allait être licencié, Payne a installé une porte dérobée qui lui permettrait d'effacer les ordinateurs de l'entreprise après son départ.
Il s'est avéré qu'en évinçant Payne, Fibernet avait licencié le seul employé capable de réparer les dégâts causés par l'attaque. Ainsi, en plus d'appeler la police après l'incident, ils avaient appelé un consultant en informatique pour qu'il vienne essayer de remettre le système en marche. La consultante, Stacey Son, est devenue le témoin expert principal de l'accusation.
Le témoignage de Son a expliqué pourquoi il n'y avait que 200 pages d'impressions dans les preuves. La police non plus, il s'est avéré que l'officier
qui a visité Fibernet puis a fouillé la maison de Payne a déclaré qu'il n'avait aucune expérience avec le système d'exploitation UNIX utilisé par Fibernet et Payne. Au lieu de mettre en fourrière les ordinateurs et les disques, l'agent avait simplement accepté les imprimés papier que Fibernet lui avait remis.
À la barre, Son a admis qu'il n'avait aucun moyen de révéler l'identité de l'agresseur. Mais le plus grand trou dans la théorie de l'accusation est devenu évident lorsque la défense a interrogé Son sur l'attaque elle-même. C'était mal fait, expliqua Son : Pas assez d'informations ont été effacées. Il m'a semblé que c'était le travail
d'un amateur avec seulement une connaissance rudimentaire des systèmes UNIX, pas celle de quelqu'un des prouesses reconnues de Payne.
L'accusation s'est arrêtée jeudi, au troisième jour du procès. Cette nuit-là, dans ma chambre d'hôtel, j'ai de nouveau examiné ces impressions critiques. Les pièces les plus importantes de l'accusation étaient les pages 151 et 152, qui indiquaient le nom de chaque compte, le numéro d'identification de l'utilisateur, le numéro de groupe, le mot de passe crypté et un troisième numéro.
à des fins comptables. Le numéro d'identification de l'utilisateur avait fait l'objet de nombreux témoignages, car sa
la manipulation a été une étape critique dans la création de la porte dérobée. Personne n'avait discuté de l'importance du numéro comptable.
Vendredi matin, je me suis réveillé dans ma chambre d'hôtel à 5 heures du matin. J'avais une intuition sur le dernier numéro insaisissable. J'avais besoin de vérifier la documentation de la version d'UNIX que Fibernet utilisait. Je n'avais pas le manuel avec moi, mais j'ai démarré mon ordinateur portable et je l'ai trouvé sur Internet ; il expliquait que le numéro était utilisé pour avertir les gens lorsqu'il était temps de changer leur mot de passe - il indiquait le nombre de jours entre le 1er janvier 1970 et la dernière fois que le mot de passe avait été modifié.
Je me sentais stupide. C'était peut-être l'élément de preuve le plus important de tout le procès, et je ne l'avais même pas réalisé jusqu'au matin où j'étais censé témoigner ! La date à laquelle le mot de passe avait été modifié pour la dernière fois était codée dans l'enregistrement du mot de passe de chaque compte. En décodant le numéro, j'ai pu établir précisément quand la porte dérobée a été créée. Dans les heures qui ont précédé le procès, j'ai écrit un petit programme pour traduire les nombres.
Ce que mon programme maison m'a montré a permis de conclure l'affaire. La porte arrière avait été installée le 31 octobre, le lendemain du dernier jour de travail de Payne et après que son accès au système Fibernet avait déjà été coupé. Payne n'aurait pas pu le créer. De plus, le changement de mot de passe d'un autre compte datait de plus de deux semaines après l'attaque, un détail qui serait impossible si l'impression était vraiment la même que celle que Son avait faite ce jour-là. Cela montrait irréfutablement que la chaîne des preuves avait été rompue.
A 10h, j'ai pris la barre. J'ai décrit mes informations d'identification, la gestion appropriée des incidents de sécurité, le manque de preuves et les indications révélatrices que les impressions avaient été modifiées. Enfin, j'ai témoigné de ce que j'avais appris ce matin-là. A partir de là, tout s'est accéléré. Payne et sa femme ont témoigné, les avocats ont présenté les arguments de clôture et le jury a commencé ses délibérations vers l'heure du dîner. En fin de soirée, ils sont revenus avec le seul verdict que je pensais pouvoir raisonnablement atteindre : non coupable de tous les chefs d'accusation.
Aujourd'hui, Carl Payne supervise un grand réseau informatique en Californie. Fibernet, quant à lui, est en plein essor. Au cours du procès, j'en suis venu à croire en l'innocence de Payne, mais je n'ai jamais eu l'impression d'avoir appris la vraie histoire. Dans les arguments de clôture, la défense a suggéré quelques possibilités : Quelqu'un chez Fibernet aurait pu mener l'attaque. Un employé que Payne a licencié en juillet 1996 l'a peut-être fait. Ou peut-être le
le crime a été commis par un pirate informatique inconnu sur Internet, une coïncidence malheureuse avec le licenciement de Payne.
Fibernet, pour sa part, a refusé de commenter cet article.
Il n'y a vraiment aucun moyen de savoir ce qui s'est passé, car la police de l'Utah n'a pas mené d'enquête sérieuse. Ils ont simplement demandé à la victime, qui l'a fait ? et Fibernet a répondu : Carl Payne. La société a ensuite fourni toutes les preuves utilisées dans l'accusation. La police n'a jamais
auraient suivi de telles procédures aléatoires à la suite d'une effraction physique - ils auraient fait leur propre travail de détective, collectant et préservant soigneusement les preuves. Alors que de plus en plus de crimes se produisent dans le quartier que nous appelons le cyberespace, la police a besoin de meilleurs outils et d'une meilleure formation. Sans cela, nous risquons des enquêtes bâclées et la possibilité très réelle que des personnes innocentes soient reconnues coupables des piratages des autres.