SERVICES
|
|
|
Chaos Computer Club
Fondation12 septembre 1981Berlin-OuestTypeGroupe de défense d'intérêts (pirate en sécurité informatique), association à but non lucratif, association, computer club
Forme juridiqueAssociation enregistrée de droit allemandSiègeHambourgPaysAllemagneOrganisationMembres7 810 (8 juin 2022)FondateursWau Holland, Steffen Wernéry (d), Klaus Schleisiek (d)Chiffre d'affaires443 956 euros (2020)Site web(de) www.ccc.deLe Chaos Computer Club, que l'on désigne souvent par le sigle CCC, est l'une des organisations de hackers les plus influentes en Europe. Le Club se décrit plus poétiquement en tant que communauté galactique des êtres de la vie, indépendante de l'âge, du sexe, de l'origine ethnique ou de l'orientation sociale, qui œuvre par delà les frontières pour la liberté d'information.
Le Chaos Computer Club est principalement actif dans les pays germanophones mais les différents congrès qu'il organise depuis 1984 attirent des milliers de personnes à travers l'Europe et ailleurs dans le monde.
Un Chaos Computer Club France a vu le jour dans les années 1980 mais il ne s'agissait en réalité que d'un faux groupe de pirates informatiques monté par Jean-Bernard Condat pour le compte de la Direction de la Surveillance du territoire.
ActivitésObjectifs et communicationLe Chaos Computer Club est une communauté mondiale, qui fait campagne pour la liberté de l'information et de la communication sans aucune censure – par n'importe quel gouvernement ou compagnie – et qui étudie autant les possibilités de la technologie que ses impacts sur la société et l'individu.
Le CCC se considère comme étant une plate-forme de communication pour les pirates informatiques dits chapeaux blancs (white hats) et ceux qui veulent le devenir.
Le Chaos Computer Club est un organisme influent non seulement dans le milieu du « hacking » mais aussi auprès du gouvernement allemand, en agissant comme un contre-pouvoir sur les questions liées à la protection de la vie privée, la sécurité informatique ou la démocratie. Le député européen Jan Philipp Albrecht estime que « Le CCC a grandement contribué à la tenue d'un débat éclairé sur la cybersécurité et la gouvernance de l'internet en Allemagne ».
Ainsi, si les points de vue du CCC sont souvent sollicités par diverses structures, il n'est pas uniquement le sujet des couvertures des médias mais il a également accès à ceux-ci : à travers leurs actions, le haut niveau de connaissances technologiques de ses membres est souvent l'occasion de communiquer vers différents publics, ce qui lui permet de politiser des thèmes précis. Le club diffuse les résultats de ses investigations ou ses réflexions par l'intermédiaire d'une variété de canaux : congrès, événements publics et participations aux réunions et discussions politiques. Il possède sa propre radio, Chaosradio.
PhilosophieLe nom du club fait référence à la théorie du chaos, car pour son cofondateur Wau Holland, c'est ce qui explique le mieux la façon dont le monde fonctionne5.
Les activités et la philosophie du Chaos Computer Club reposent sur les principes énoncés en 1984 par Steven Levy dans son livre L'Éthique des hackers, auxquels le club ajoute les deux dernières ligne :
Sans représenter des règles strictes, ces principes offrent des lignes directrices aux membres du CCC. Ainsi, lorsque Hans Hübner (Pengo), un des protagonistes de l'affaire du « KGB Hack » (voir le chapitre Piratage du KGB) déclare après coup :
« Pour moi, pirater des ordinateurs étrangers était déterminé et guidé par le plaisir et la fascination. Quand je le faisais, je ne me posais aucune question sur l’éthique hacker [...] La fascination pour la technologie a mené plus ou moins automatiquement à une fascination pour le pouvoir. »
Wau Holland répond alors : « [...] Le Chaos Computer Club n’est pas juste un groupe de techno-freaks. Dès le début, nous avons réfléchi aux conséquences sociales de la technologie, et je crois que notre force vient en partie de nos normes morales. […] Nous acceptons la fascination, mais être fasciné, c’est être enchaîné. Quiconque est fasciné est asservi : voilà où est la limite. Chacun doit affronter la question : Qu’est-ce que je fais, au juste ? »
HistoireLe 1er septembre 1981 dans une tribune du Die Tageszeitung, Wau Holland fait part de sa crainte de voir les entreprises et les autorités abuser de leurs pouvoirs grâce à l'émergence de l'informatique. Il note cependant la nécessité de permettre à un grand nombre de personnes d'accéder plus facilement à ce medium naissant. Selon lui, les ordinateurs peuvent donner du pouvoir au peuple et être utilisés en faveur des droits de l'homme en rendant les choses plus transparentes. Dans cette tribune, cosignée par quatre autres personnes et intitulé « TUWAT,TXT Version » (« Faites quelque chose, version texte »), Waw Holland appelle les passionnés d'informatique (« Komputerfrieks ») à une réunion le 12 septembre à Berlin. Il propose des thèmes nombreux et variés : réseaux, « droit des données », matériel, chiffrement ou encore jeux informatiques et langages de programmation. Deux douzaines de personnes participent cet évènement qui peut être considéré comme la première réunion du Chaos Computer Club. Deux ans plus tard, Holland rencontre Steffen Wernéry lors d'une autre réunion tenue dans une librairie de Hambourg qui attire une poignée de personne.
Le Chaos Computer Club est établi de façon formelle en 1984 alors qu'il publie le premier numéro de son magazine Die Datenschleuder et organise le premier Chaos Communication Congress attirant environ une centaine de personnes.
Rüdiger Proske (de) interview Steffen Wernéry (chemise bariolée) et Wau Holland (chemise rouge), fin 1984.
Cette même année, le CCC devient mondialement célèbre lorsque Wau Holland et Steffen Wernéry attaquent le Bildschirmtext (de), un système Vidéotex similaire au Minitel, réussissant à pénétrer une banque locale et à détourner plus de 134 000 DM (48 000 dollars de l'époque) sur son compte bancaire. L'argent sera retourné le lendemain.
En 1990, Andy Müller-Maguhn étend la base du club, traditionnellement située à Hambourg, en ouvrant une section locale à Berlin qui attire de nombreux « hackers » de l'ex-RDA. Ces derniers apportent au CCC une nouvelle dynamique ainsi que leur expérience sur les techniques utilisées par un régime autoritaire pour destabiliser des groupes.
En 1988, Rena Tangens et Barbara Thoens créent Haecksen (un jeu de mots relatif à « Hexen », qui signifie Sorcières), une association de femmes issues du Chaos Computer Club.
Au milieu des années 2000, le Chaos Computer Club joue un rôle important dans l'émergence des fab lab aux États-Unis, les hackers américains n'ayant jusqu'alors pas de lieux adaptés ni pour se rencontrer, hormis dans leur résidence, à l'école ou à l'université, ni pour se rassembler et se rendre visibles vis-à-vis de leur communauté. Une association est alors créée, la Hacker Fondation. Deux ans plus tard, en 2007, une délégation de 40 américains, les « Hackers on a Plane » (dont font partie Mitch Altman et Bre Pettis (en)) installe sa tente au Chaos Communication Camp. Ils font ensuite une tournée des hackerspaces d'Allemagne et d'Autriche afin de comprendre leur fonctionnement et de ramener l'idée aux États-Unis. Le voyage se termine au 24e Chaos Communication Congress en décembre 2007 où les fondateurs du CCC de Cologne et Düsseldorf leur apprennent tout ce qu'ils savent sur la gestion d'un hackerspace. L'année suivante, les hackerspaces comme Noisebridge, HacDC (en) ou NYC Resistor (en) ouvrent leurs portes et huit ans plus tard, la Hacker Fondation en fédère plus de 400 aux États-Unis et plus de 1200 sur la planète.
Constitué au milieu des années 1980 par environ 150 personnes, le Chaos Computer Club rassemble aujourd'hui plusieurs milliers de membres, une trentaine de sections locales en Allemagne et d'autres dans le monde.
Événements réguliersDepuis 1984, le Chaos Computer Club organise un congrès annuel, le Chaos Communication Congress qui a lieu habituellement entre Noël et le jour de l'an à Berlin, Hambourg ou Leipzig. Un slogan différent est donné à chaque congrès, à l'exception de celui tenu en 2013, l'année des révélations d'Edward Snowden. Le projet WikiLeaks est présenté par Julian Assange durant le Chaos Communication Congress de 2007.
Tous les quatre ans depuis 1999, le club organise également le Chaos Communication Camp. Pendant du congrès annuel, le camp de 60 à 100 000 m2 en plein air a pour objectif de « promouvoir les échanges entre les idées et les concepts techniques, sociaux et politiques afin de trouver de nouvelles manières de rendre ce monde un petit peu plus amical pour les êtres intelligents ».
Entre 2009 et 2013 (sauf en 2011), le Chaos Computer Club organise une conférence annuelle à Cologne, centrée sur les aspects techniques et sociaux du numérique, notamment la surveillance. Nommée SIGINT (de l'anglais « Signals Intelligence »), l'évènement est créé afin d'alléger la charge du Chaos Communication Congress, mais il est finalement abandonné en 2014.
Actions notoiresEn 1984, le Chaos Computer Club prévient la Deutsche Bundespost que son système Bildschirmtext (de) (BTX) comporte une faille de sécurité mais la mise en garde est ignorée par la poste allemande. Wau Holland et Steffen Wernéry découvrent en effet qu'un défaut dans le système d'édition des pages révèle en clair les codes d'accès du réseau télématique de la caisse d'épargne de Hambourg (de).
Afin de sensibiliser l'opinion publique de la piètre sécurité du BTX (à ce titre, une cible privilégiée des hackers de l'époque), les deux hommes organisent le piratage du serveur de la banque (de). La facturation reposant sur le principe de paiement à la demande (9,97 deutsche mark), ils font en sorte que le BTX de l'institution appelle celui du CCC de façon récurrente durant toute la nuit du 16 au 17 novembre 1984. Afin de marquer les esprits, l'idée est que la somme dérobée atteigne 100 000 DM, soit un montant dix fois supérieur à ce que peut rapporter un bracage de banque. Ils récolteront 134 694 deutsche mark.
« Nous avons démarré le truc chez Steffen dans sa piaule, puis je suis allé chez moi. Steffen a dormi sur place, et je sais qu'il a merveilleusement bien dormi parce que le relais faisait toujours « clac-clac, clac-clac », et il savait que deux fois clac-clac signifiait 9 marks 97 »
Le lundi, une conférence de presse est convoquée et l'argent restitué en direct devant les caméras. Le Chaos Computer Club force ainsi la Deutsche Bundespost à colmater les failles de sécurité du BTX tout en se faisant connaitre auprès du grand public grâce à ce piratage aujourd'hui devenu légendaire.
R2D2En octobre 2011, lorsque l'avocat Patrick Schladt consulte les preuves présentées contre un de ses clients, il suspecte que l'ordinateur de celui-ci soit la cible d'un cheval de Troie placé par les autorités allemandes, et demande au Chaos Computer Club d'analyser le disque dur de la machine.
Le CCC découvre effectivement le logiciel espion qui aurait été installé dans l'ordinateur lors d'un contrôle aux douanes à l'aéroport de Munich. En plus d'enregistrer les communications VoIP et les frappes au clavier, le cheval de Troie est capable de prendre des captures d'écran, d'activer le microphone, la caméra et d'installer d'autres logiciels. Piloté via un serveur situé aux États-Unis, les données envoyées par le logiciel sont insuffisamment chiffrées et celles qu'il reçoit ne le sont pas du tout, permettant ainsi à un tiers d'en prendre le contrôle, ce que le CCC parvient à faire en fabriquant son propre terminal de contrôle. Baptisé 0zapftis ou Bundestrojaner, mais plus souvent R2D2 car figurant dans une chaîne de caractères trouvée dans son code source, le Frankfurter Allgemeine Sonntagszeitung publie une partie de celui-ci dans cinq des pages du journal.
Selon le Chaos Computer Club, ce cheval de Troie, de par ces caractéristiques, enfreint les lois du pays. Si le recours à un logiciel espion par les autorités n'est pas prohibé en soi, son utilisation est strictement encadrée par le jugement de la cour constitutionnelle allemande du 27 février 2008 : un tel dispositif ne devant être mis en place que dans le cas de circonstances exceptionnelles constatées par un juge et en aucun cas prendre le contrôle du système informatique visé, afin de ne pas porter atteinte à l'intégrité de la preuve. Le jugement de la cour oblige également que soit préservé le « noyau dur » de la vie privée (les sentiments ou les relations intimes).
Alors que l'affaire provoque une vague d'indignation de tout le spectre politique et des médias, le ministre de l'Intérieur Hans-Peter Friedrich appelle les Länder à suspendre l'utilisation de logiciels espions, le temps de vérifier leur conformité à la constitution.
ÉlectionsEn 2006, le Chaos Computer Club affirme que les machines à voter devant être utilisées en Allemagne sont si faciles à manipuler qu'elles peuvent être reprogrammées pour jouer aux échecs. Le constructeur des ordinateurs de vote met alors le club au défi d'y parvenir. Un mois plus tard, les machines jouent aux échecs. Les membres du CCC admettent toutefois « qu'elles n'y jouent pas très bien ». En conséquence, le Tribunal constitutionnel fédéral interdit l'utilisation de machines à voter, citant dans sa décision la démonstration effectuée par le club.
En 2017, le CCC dénonce l'existence de nombreuses failles de sécurité dans PC-Wahl, le logiciel de comptage des votes. Selon le club, les « principes élémentaires de sécurité informatique ne sont pas respectés » au point qu'il est possible de modifier le décompte des voix. Il estime que ces logiciels sont de nature à miner la confiance des électeurs car d'autres produits concurrents présentent eux aussi des vulnérabilités.
BiométrieÀ plusieurs reprises, le Chaos Computer Club démontre qu'il est possible de déjouer les systèmes de contrôle biométriques.
En 2008, alors que l'Allemagne met en place l’insertion des empreintes digitales dans les passeports, le CCC publie dans son magazine tiré à 4 000 exemplaires, les empreintes d'un doigt de Wolfgang Schäuble, ministre de l'Intérieur et promoteur de la mesure. Collectée sur un verre d'eau utilisé par le ministre durant une visite à l'université de Humboldt, les empreintes sont imprimées sur un film de caoutchouc souple, permettant ainsi aux lecteurs du magazine de les laisser où bon leur semble. Il n'a pas été possible de vérifier si l'empreinte de Wolfgang Schäuble pouvait tromper un ordinateur, mais deux douzaines de lecteurs ainsi que Jan Krissler (Starbug), le hackeur à l'origine de la démonstration, ont pu tester la méthode sur eux-mêmes avec succès.
En 2013, Jan Krissler annonce avoir réussi à contourner le Touch ID, le lecteur d'empreintes digitales du nouvel iPhone 5S. Le procédé est plutôt laborieux car il nécessite, entre-autres étapes complexes, de mouler une empreinte précise en latex à partir d'une numérisation en haute définition. Toutefois, la démonstration implique que la technologie du lecteur d'empreintes ne soit pas basée sur l'analyse en profondeur des vaisseaux sanguins comme le prétend Apple à l'époque.
L'année suivante, durant le 31e Chaos Communication Congress, Krissler réitère la démonstration. Plutôt que de collecter des empreintes laissées sur une surface, il utilise cette fois des images. À partir de photographies de presse disponibles publiquement, il parvient à fabriquer un clone des empreintes digitales d'un pouce de Ursula von der Leyen, alors ministre de la Défense du gouvernement allemand.
Durant le 35e congrès du CCC en 2018, il présente, avec Julian Albrecht, une méthode pour tromper les systèmes de reconnaissance veineuse (présentés comme plus sûr que les systèmes basés sur les empreintes digitales). Le procédé consiste à photographier une main à l'aide d'un appareil dont le filtre à rayons infrarouges est enlevé, puis imprimer l'image et l'appliquer sur de la cire d'abeille afin de reproduire la texture de la peau humaine. Albrecht et Krissler ont testé cette méthode avec succès sur les systèmes Fujitsu PalmSecure et Hitachi VeinID, les plus vendus au monde.
Piratage du KGBLe piratage du KGB – comprendre « par » le KGB – (en anglais comme en allemand, KGB Hack (de)) est une affaire de cyberespionnage (en) qui implique involontairement et indirectement le Chaos Computer Club.
ContexteChristian Stoessel, un officier de terrain du Service fédéral de renseignement (BND), observe le CCC dès l'année de sa création en 1981, ainsi que deux groupes de pirates informatiques : les VAXBusters, spécialisés dans la pénétration des ordinateurs VAX de Digital Equipment Corporation (DEC), et un groupe situé à Hanovre.
En 1985, le KGB commence à recruter des hackers pour son Opération EQUALIZER dont le but prioritaire est de pénétrer des systèmes informatiques occidentaux afin de copier le code source des DEC VAX et IBM 360 et 370. La même année, le réseau ouest-allemand Datex-P (de) est relié aux autres réseaux informatiques par la passerelle internationale Tymnet (en).
Bach et Handel découvrent une porte dérobée d'administration dans les ordinateurs DEC VAX et Steffen Weirhruch développe un rootkit permettant de l'exploiter. Tous sont membres du groupe VAXBusters qui a aidé le CCC lors du célèbre piratage du Bildschirmtext (BTX) d'une banque en 1984. Les VAXBusters participent au second Chaos Communication Congress en 1985 et l'année suivante, un des thèmes discutés au troisième congrès porte sur les virus pour ordinateurs VAX.
Événements et conséquencesEn 1985, Karl Koch, un pirate informatique recruté par le KGB et futur membre du groupe de hackers de Hanovre, se rend au Chaos Communication Congress dans le but d'entrer en contact avec Hans Hübner (de) et le groupe VAXBusters.
Le réseau MILNET en 1986.Ainsi, les pirates informatiques de Hanovre, parrainés par le KGB, réunissent suffisamment de compétences pour s'introduire dans les systèmes américains à partir de la société Mitre Corporation, via la passerelle Tymnet, puis le Laboratoire national Lawrence-Berkeley (LBNL) et finalement atteindre avec succès et de manière répétée les réseaux MILNET (en) et ARPANET où 400 serveurs sont attaqués par le groupe. En 1986, l'équipe de Koch commence à s'attaquer également aux entreprises françaises Philips France et SGS-Thomson.
Bien qu'aucun des pirates en question ne soit membre du Chaos Computer Club, les services de renseignements perçoivent les deux groupes comme étant une seule entité. C'est le cas notamment lorsqu'à l'automne 1986, le service de renseignement allemand perquisitionne et arrête plusieurs membres du club à la demande des services français (DGSE) qui ne font pas la distinction entre les VAXBusters et le CCC. Ainsi, lorsque Bach et Handel du groupe VAXBusters se font arrêter et dévoilent la liste complète de toutes leurs cibles qui est transmise à la CIA et la DGSE, cette dernière prend Bach et Handel pour des membres du CCC.
Parallèlement, le Chaos Computer Club déclare en 1987 avoir collecté des mots de passe du réseau de la NASA grâce à un cheval de Troie de leur fabrication. DEC et la NASA finissent par admettre le piratage lorsque les médias allemands annoncent la nouvelle. Le 14 mars 1988, Steffen Wernery, cofondateur du CCC, se rend à Paris afin de participer à la conférence SECURICOM en tant qu'orateur sur le thème du piratage de la NASA. Une rencontre avec une équipe de Philips France est également prévue mais il est arrêté par la police française alors qu'il sort de l'avion et accusé d'avoir participé à l'intrusion d'un ordinateur VAX de l'entreprise.
En juin 1988, un pirate pénètre les ordinateurs du Jet Propulsion Laboratory (JPL) et par ricochet, d'autres systèmes dont celui de l'US Navy. Le JPL accuse dans un premier temps le Chaos Computer Club avant de préciser que si la méthode est similaire, elle est toutefois différente.
Avant la fin de la décennie, l'équipe formée par Hans Hübner (Pengo), Peter Kahl, Dirk Brescinsky, Markus Hess et menée par Karl Koch, est arrêtée pour leurs intrusions dans des ordinateurs américains et européens au profit du KGB.
Dans ce contexte et alors que les liens entre le CCC et le groupe indépendant de Karl Koch sont pourtant ténus au regard des évènements, l'affaire fait les titres des journaux au niveau international et affaiblissant grandement l'image du Chaos Computer Club dans l'opinion publique et provoque des dissensions internes, au point de menacer son existence même.
Personnalités notoiresWau Holland, cofondateur du Chaos Computer Club meurt en 2001. À partir de la fin des années 1990, son compère Steffen Wernéry s'éloigne du monde des ordinateurs, qu'il juge épuisant, pour s'adonner à sa passion du crochetage de serrure. Il cofonde Sportsfreunde der Sperrtechnik Deutschland e.V.(SSDeV), la première association sportive de crochetage de serrures au monde et donne des cours très prisés de cette activité durant les congrès du CCC.
Boris Floricic dit « Tron » est considéré par ses pairs comme un hacker très talentueux. Il clone les cartes téléphoniques allemandes et pirate les décodeurs numériques de télévisions payantes. Son mémoire de thèse porte sur son prototype (fonctionnel) de téléphone RNIS pouvant chiffrer de lui-même les communications. En octobre 1998, il est retrouvé pendu dans un parc de Berlin. L'enquête conclut à un suicide mais sa famille et plusieurs membres du Chaos Computer Club, dont le porte-parole du club Andy Mueller-Maguhn, ne croient pas à cette conclusion.
Andy Müller-Maguhn est membre du Chaos Computer Club depuis 1986 et nommé porte-parole en 1990. En octobre 2000, il est l'un des cinq membres élus au comité directeur de l'ICANN. Il est aussi cofondateur de l'ONG European Digital Rights (en) et dirigeant de Cryptophones, une entreprise qui développe des téléphones mobiles chiffrés. En tant que président de la Fondation Wau-Holland (en), Müller-Maguhn visite régulièrement Julian Assange alors réfugié à l'ambassade de l'Équateur à Londres. À ce titre, il est désigné comme étant une « cible prioritaire » par David Morales de UC Global qui, tout en offrant un service de sécurité à l'ambassade, espionne illégalement les visiteurs de Assange (pour ses faits, l'entreprise est traduite devant la justice espagnole en 2020).
Tim Pritlove (de), de nationalité britannique, est né en Allemagne en 1967. Entre 1998 et 2005 il est le principal organisateur des congrès du Chaos Computer Club. Podcasteur et artiste, il transforme la façade d'un immeuble abandonné du centre de Berlin en écran géant afin de souligner le 20e anniversaire du CCC en 2001. Baptisée Blinkenlights, les passants peuvent y afficher des images à l'aide de leurs téléphones portables. L'opération est réitérée l'année suivante sous le nom de Arcade sur la tour 2 de la Bibliothèque nationale de France où, sur une surface de 3 370 m2, les passants peuvent jouer à des jeux comme Tetris ou Pacman.
Daniel Domscheit-Berg est porte-parole de WikiLeaks jusqu'en 2010, date à laquelle il quitte l'organisation avec fracas en emportant plusieurs milliers de documents et décide de monter son propre projet OpenLeaks. Durant le Chaos Computer Camp de l'été 2011, il demande aux hackers de tester la fiabilité de sa plate-forme, provoquant la colère du conseil d'administration du CCC qui ne veut pas que le club soit perçu comme un organisme de certification. Par ailleurs, Andy Müller-Maguhn (porte-parole du club) tente durant onze mois de jouer le rôle d'intermédiaire entre Julian Assange et Domscheit-Berg afin que ce dernier rende les documents à WikiLeaks, sans succès. Dans ce contexte, le conseil d'administration du CCC décide d'exclure Domscheit-Berg du club, mais la mesure étant jugée exagérée par de nombreux membres, il est finalement réhabilité durant une session extraordinaire en février 2012, ce qui conduit à la démission de Andy Müller-Maguhn.
Linus Neumann (de) est un hacker porte parole du Chaos Computer Club mais aussi blogueur, cyberactiviste, psychologue et anarchiste. Ancien journaliste à netzpolitik.org (de), il milite pour la neutralité du Net et témoigne de nombreuses fois devant le parlement allemand sur les questions reliées à la démocratie et au numérique.
Constanze Kurz (de), porte-parole du Chaos Computer Club, est une informaticienne spécialisée dans les technologies de surveillance. Née à Berlin-Est en 1974, elle est chef de projet à l'Université des sciences appliquées de Berlin jusqu'en 2014. Elle est nommée experte auprès de la cour constitutionnelle fédérale, lors de la procédure de recours contre la rétention de données, et auprès de la commission parlementaire spéciale « internet et la société numérique ».
Le piratage informatique est considéré comme un délit, cet article n'y fait pas suffisament référence. Soyez conscient que vous risquez une condanmation pénale si vous utilisez des outils informatiques frauduleux. |
|
|
|
|
|
