3 jours après son piratage mémorable de 150 000 caméras de surveillance, Till « Tillie » Kottman voyait la police toquer à la porte de son appartement situé à Lucerne, en Suisse. Elle avait publié sur Twitter des captures d’écran du flux vidéo des caméras piratées, et raconté les détails de la fuite à Bloomberg. Cet incident fut la goutte de trop pour la justice américaine. Tillie Kottman, personne non-binaire de 21 ans (qui souhaite se faire appeler par les pronoms « iel » ou « elle »), n’en était pas à son premier coup d’éclat. Loin de là.
Aussi connue sous les pseudonymes « tillie crimew » et « deletescape », la hackeuse a publié, au cours des deux dernières années, les données confidentielles de plus de 100 entreprises sur son site git.rip et sur la chaîne Telegram « ExCondidential ». Parmi les entreprises concernées, on retrouve de grands noms comme Intel, Mercedes-Benz, Disney, Nintendo, Microsoft, Toyota, ou encore Pepsi. Tillie est aussi connue pour l’activité de son compte Twitter et ses échanges réguliers avec la presse. À Bloomberg, elle donnait ses motivations : « beaucoup de curiosité, le combat pour la liberté d’information et contre la propriété intellectuelle, une grande dose d’anticapitalisme, et une pincée d’anarchisme ».
La lutte contre la propriété intellectuelle est au cœur de ses revendications, et elle considère la publication illégale des données confidentielles des entreprises comme une ouverture forcée de leur code.
Une hackeuse spécialisée dans la trouvaille d’identifiants
Pour pénétrer des systèmes informatiques, il existe plusieurs techniques, que l’on peut comparer à différentes façons de s’introduire dans une maison. Certains vont chercher à crocheter la porte, d’autres veulent casser le verrou, et d’autres encore vont tenter de passer par la porte de derrière ou une fenêtre moins protégée. Tillie Kottman, elle, s’est fait comme spécialité de trouver les clés cachées sous le paillasson ou dans le pot de fleurs près de la porte. Son intrusion sur le réseau du fabricant de caméras de surveillance Verdaka est un bon exemple de son mode opératoire : elle a trouvé les identifiants d’un compte « super administrateur » de la startup dans le détail d’un morceau de code publié sur un dépôt, et accessible à n’importe qui.
L’hacktiviste risque entre 2 et 20 ans de prison
Mais plutôt que de prévenir l’entreprise de sa trouvaille, elle a utilisé les identifiants pour voir jusqu’où elle pouvait aller sur le système interne de Verdaka. Puis elle a publié des captures d’écrans, et s’est tournée vers les journalistes, toujours sans dire mot aux principaux concernés. Kottman fonctionne ainsi depuis 2019 : elle cherche les dépôts de code source mal configurés, puis en publie le contenu, ce qui peut placer les entreprises et agences gouvernementales concernées dans une situation pour le moins délicate.
La procureure Tessa M. Gorman, en charge du dossier, balaie de façon virulente la démarche de Kottman, dans des propos rapportés par The Record Media :« voler des identifiants et des données, publier du code source et des informations sensibles sur le web ne rentre pas sous la liberté de parole, c’est du vol et de la fraude. » Elle développe : « ces actions peuvent augmenter le nombre de vulnérabilités pour tout le monde, des larges entreprises aux consommateurs. Emballer cette démarche par des motivations prétendument altruistes n’enlève pas la puanteur criminelle de ce genre d’intrusion, vol et fraude. »
Les charges avancées contre Kottmann pourraient mener à une peine comprise entre 2 et 20 ans de prison ferme. Mais faut-il encore qu’elle soit extradée vers les États-Unis puis jugée coupable.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !