Itinéraire du hacker qui a sauvé Internet d’un virus mondial.
En 2017, le geek britannique Marcus Hutchins est parvenu seul à terrasser le virus WannaCry, plus grand piratage à rançon de l’histoire d’Internet. Mais quelques mois plus tard, il se faisait arrêter par le FBI. Malentendu ou résurgence d’un passé trouble
Il est 7 heures du matin en ce jour d’août 2017 et Marcus Hutchins ouvre la porte au livreur venu lui apporter son Big Mac dans la villa de Las Vegas où il séjourne depuis bientôt deux semaines. Tout va bien à ceci près que le jeune homme aperçoit un 4x4 noir garé de l’autre côté de la rue. Un véhicule très utilisé par les agents du FBI en planque, il le sait. Du haut de son mètre quatre-vingt-dix, il observe la voiture en se demandant, l’esprit enfumé par l’herbe légale du Nevada, si son tour est enfin venu. Mais il se calme en se disant que si les fédéraux voulaient l’attraper, ils n’iraient pas se poster juste en face de son lieu de résidence. Hutchins salue le livreur et s’installe au bord de la piscine pour déguster son repas. Puis il fait ses bagages et se rend à l’aéroport pour rentrer chez lui, en Angleterre. Marcus vient de passer dix jours à Las Vegas à l’occasion du Def Con, l’un des plus grands rassemblements de hackers au monde. Il y a été accueilli en héros car trois mois plus tôt, il a ni plus ni moins sauvé Internet de la plus grosse cyberattaque de l’histoire, déclenchée par un malware du nom de WannaCry. Un acte de bravoure qui a fait de lui une légende dans le milieu. Accompagné de quelques amis, il a passé le séjour à se faire payer des verres et à répéter son histoire à la presse : lui le nerd timide perdu au fond de la campagne anglaise a terrassé le plus terrifiant cybermonstre jamais créé. En route pour l’aéroport, Hutchins ne se soucie plus du 4x4 noir et ne se rend pas compte qu’il est suivi. Il passe sans encombre les portiques de sécurité et attend tranquillement son vol dans le lounge en tweetant un peu. Jusqu’à ce qu’il entende une voix lui dire : « Vous êtes Marcus Hutchins ? » Il lève la tête et aperçoit un homme roux et trapu avec un bouc, flanqué de deux agents des douanes. Il répond que oui, c’est bien lui, puis est invité à suivre le trio dans un bureau : arrivé sur place, il est aussitôt menotté. « Qu’est-ce qui se passe ? » demande-t-il, paniqué. « On va y venir », répond le roux. Serait-ce un fond d’herbe qui traîne dans ses bagages ? Ou… s’agirait-il plutôt de cette vieille histoire qu’il pensait enfouie pour toujours ? Il est installé dans la salle d’interrogatoire, où une femme blonde rejoint l’homme au bouc. Ils sont du FBI et évoquent d’abord, sur un ton plutôt amical, son actuel travail chez Kryptos Logic, une société de cybersécurité. Puis ils lui demandent s’il connaît un programme appelé Kronos. « Kronos… je crois que ça me dit quelque chose », répond Marcus, qui comprend alors qu’il va louper son avion.
Marcus Hutchins est né en 1995 d’une mère écossaise et d’un père jamaïcain. Avec son petit frère, ils grandissent sur la côte sud-ouest anglaise, dans le Devon,
au milieu de la nature et des animaux. Marcus est un enfant réservé et réfléchi. « Il a vite compris le sens du bien et du mal », explique son père, Desmond, un travailleur social. Étant l’un des rares métis de son école et préférant largement le surf au foot, il ne se fond pas toujours parfaitement parmi ses petits camarades. Et dès l’âge de 6 ans, il développe une véritable passion pour les ordinateurs... ainsi qu’un don. Ses parents le voient régulièrement démonter leur PC et bientôt il apprend à coder en HTML, le langage des sites internet. Il comprend que celui-ci peut lui servir de « passerelle vers un monde où l’on peut fabriquer tout ce qu’on veut », dit-il aujourd’hui. Arrivé au collège, il s’ennuie en cours d’informatique et parvient, à l’aide de la fonction Visual Basic de Microsoft Word, à rédiger des scripts qui lui permettent de contourner les interdictions mises en place sur les ordinateurs de l’école. Pour ses 13 ans, il se fait offrir une nouvelle bécane, beaucoup plus performante que le vieux Dell de ses parents – pour être plus précis, il reçoit les éléments qu’il a commandés, un par un, pour les assembler. Il continue de surfer mais passe désormais le plus clair de son temps devant son écran, à jouer aux jeux vidéo ou à affiner ses connaissances en programmation.
CAFÉ SOLUBLE, PIZZAS ET BOTNETS
Janet, sa mère, s’inquiète un peu et fait installer un système de contrôle parental sur l’ordinateur de Marcus, qu’il neutralise sans mal. Lorsqu’elle essaie de limiter son temps d’accès au Web, l’ado réplique en configurant un routeur qui lui permet de restaurer les paramètres d’origine. « Comme je n’y connaissais rien, il faisait ce qu’il voulait, je n’avais aucune chance de le coincer », raconte-t-elle. Marcus commence à fréquenter un forum de jeunes hackers. Il y entend parler de ces vers qui peuvent pirater des réseaux entiers, comme par exemple piéger les jeunes adeptes de MSN Messenger en leur envoyant de faux JPEG. Sans même avoir d’objectif précis en tête, il est fasciné par l’idée qu’on puisse ainsi s’infiltrer secrètement sur un autre ordinateur. Il travaille sur son propre programme d’infiltration et le poste. Il s’agit d’un simple « password stealer », un voleur de mots de passe : Hutchins a localisé où les encryptait Internet Explorer. Sur le forum, son invention est massivement approuvée : « Mais pour moi c’était juste un truc cool que j’avais réussi à fabriquer. Je ne pensais pas du tout à voler les mots de passe de qui que ce soit. » C’est en tout cas son premier malware, comme on appelle ces virus. En se lançant dans une carrière de hacker, Marcus va dégringoler sur le plan scolaire. Lui qui avait été autrefois si bon élève n’arrive plus à suivre en classe, parce qu’il passe ses nuits à programmer. Bientôt il sèche la majorité des cours au vu et au su de ses parents découragés. En 2009, la famille Hutchins déménage dans une nouvelle maison et Marcus prend ses quartiers dans une chambre sous les combles, dont il ne sort que pour se faire du café soluble et mettre des pizzas au micro-ondes. Il s’isole de plus en plus et apprend sur des forums à concevoir des botnets, c’est-àdire des réseaux d’ordinateurs contrôlables à distance, qui servent entre autres d’armées de data aux pirates souhaitant lancer une attaque. Il devient également expert en rootkits, des capes d’invisibilité digitale, qui permettent de pénétrer dans l’ordinateur d’un tiers en y restant indétectable. Il impressionne ses camarades de forum en y postant des échantillons de
ses rootkits et voit un usager lui proposer de l’argent, via la plateforme de monnaie numérique Liberty Reserve, pour qu’il lui fabrique un puis deux outils de hacking. Hutchins considère que ses produits ne sont pas illégaux puisqu’il ne vole l’argent de personne. Et puis un jour, il est approché par un autre internaute qui va le faire passer dans une zone qui s’affranchit un peu plus de la morale.
Cet homme s’appelle Vinny. Dans ses messages, il s’exprime d’une façon qui le distingue des autres hackers que connaît déjà Marcus. Il a l’air très pro, très adulte, n’évoque jamais de sujets personnels et ne communique que par voie cryptée. Il commande à Hutchins un projet de rootkit multifonctions qu’il voudrait vendre sur des sites de hackers confirmés. Le projet s’appelle UPAS Kit et Vinny propose à Marcus qu’ils se partagent les profits de chaque vente, à 50/50. L’Anglais accepte et se lance dans un chantier de programmation qui va durer neuf mois.
PRIS AU PIÈGE SOUS AMPHÈT
Au cours de cette période, il explique un jour à Vinny, en marge d’une conversation technique, qu’il ne trouve jamais d’herbe de qualité dans sa région. Son client lui parle de Silk Road, un marché noir du darknet que Marcus ne connaît pas encore. Il lui explique qu’il peut lui faire envoyer des substances illicites par colis et qu’il n’a besoin que de son adresse postale, de son vrai nom et de sa date de naissance. Le jeune hacker sait qu’il ne devrait pas mais il lui livre quand même ses informations. Le jour de ses 17 ans, il reçoit un beau paquet contenant un assortiment d’herbe, de champignons et d’ecstasy. Cadeau de Vinny. À l’été 2012, UPAS Kit est prêt à la vente. Marcus reçoit des milliers d’euros en bitcoins pour son travail. Il se sent assez fier d’avoir passé un cap dans sa vie de hacker et ses parents le laissent tranquille depuis qu’il leur a expliqué qu’il gagnait sa vie en tant que programmeur freelance. Vinny songe déjà à commercialiser une deuxième version, mais les mises à jour qu’il a en tête inquiètent un peu le jeune programmeur. Il veut ainsi mettre en place un webinject, un procédé qui pirate les codes temporaires envoyés par les banques à leurs clients pour sécuriser les paiements. Il s’agit pour le hacker de simuler un champ de texte sur l’écran de l’usager et d’ainsi identifier les quelques chiffres qu’il va taper sur son clavier. Hutchins ne peut plus faire l’autruche : il sait bien que ce type de stratagème est typique des fraudes bancaires. Et il répond donc à Vinny qu’il refuse de concevoir un tel outil. Celui-ci insiste, mais finit par accéder aux exigences morales de son employé en supprimant le webinject de la V2.
Marcus décide de reprendre des études en parallèle. Il y prend goût et se retrouve donc à suivre les cours le jour et à programmer la nuit. Pour tenir, il consomme des amphétamines et se montre de plus en plus fébrile. En 2013, au terme de presque un an de codage intensif et nocturne, il livre sa V2. Mais alors qu’il pensait être soulagé et pouvoir passer à autre chose, Marcus va tomber de haut : Vinny lui explique qu’il n’a jamais eu l’intention de supprimer les webinjects d’UPAS et qu’il a simplement fait appel à un autre hacker pour concevoir cette partie du rootkit. Marcus ayant conçu l’essentiel du programme, c’est lui qui va devoir intégrer le webinject au reste de son édifice. Le jeune homme est pris au piège : « Je n’avais aucun moyen de pression sur lui, là où lui connaissait mes coordonnées. Un jour ou l’autre, le FBI viendrait
me chercher pour avoir conçu ce malware hyper néfaste. » Il se retrouve donc reparti sur un énorme chantier, continuant à être payé mais peinant chaque jour un peu plus à la tâche. Il procrastine, culpabilise, augmente les doses de speed. Et il faut attendre l’été 2014 pour qu’il achève le projet. Entre-temps, Vinny a décidé de rebaptiser le rootkit Kronos.
Marcus a alors 19 ans et déménage encore, avec ses parents, dans la ville balnéaire d’Ilfracombe, toujours dans le Devon. Il vit en quasi-autarcie dans une chambre au sous-sol avec cuisine et salle de bains. Après avoir achevé la V2 complète de Kronos, il doit maintenant en assurer la maintenance auprès des usagers. Il passe son temps à réécrire le code et à répondre à Vinny qui lui transmet les doléances des acheteurs mécontents. Il ne cesse pas pour autant d’aller à la fac et passe régulièrement trois ou quatre jours sans dormir. Addict aux amphétamines, il passe de l’euphorie à la déprime, de l’apathie à la terreur mais se lie néanmoins sur un forum de hackers avec un certain Randy. Un garçon sympathique avec lequel il parle beaucoup, et pas seulement de hacking. Et qui lui demande s’il serait partant pour l’aider à monter une plateforme à visée éducative : un projet philanthrope qui plaît bien à Marcus. Randy est généreux et lui confie même 10 000 euros à faire fructifier sur le marché du bitcoin. Un soir, Marcus, épuisé, s’endort devant son ordinateur et se réveille le lendemain en constatant qu’une panne de courant a frappé les environs pendant la nuit. Les spéculations bitcoin en cours sur le PC se sont donc arrêtées, et les 10 000 euros de Randy ont été réduits à néant. Catastrophé, Marcus décide d’avouer son erreur à son ami et lui propose de le rembourser en lui envoyant un exemplaire de Kronos, dont Randy ignore tout jusqu’ici. Hutchins sait qu’en mettant Randy dans la confidence, il prend le risque d’être un jour démasqué. Mais il n’a pas le choix : « Je sentais les fédéraux s’approcher, littéralement. La moindre sirène de police me terrorisait. » Après cet incident, Marcus entreprend de se désintoxiquer des amphétamines. Pendant de longs mois, il alterne crises de panique quotidiennes et bingewatching de séries. Il n’arrive plus à coder et répond de moins en moins aux relances de Vinny qui, au bout d’un moment, finit par ne plus lui écrire, et forcément ne plus le payer. Le voici donc libéré de cet engagement si angoissant, et bientôt de ces drogues si vicieuses. Il sort un peu, notamment pour contempler les gigantesques vagues qui s’abattent sur les côtes de sa région. Et commence à voir le bout du tunnel en réactivant un blog qu’il avait démarré en 2013, où il s’intéressait anonymement aux malwares et autres botnets : MalwareTech. Plutôt que de retomber dans la semi-clandestinité,
HUTCHINS SAIT QU’EN METTANT SON POTE VIRTUEL DANS LA CONFIDENCE, IL PREND LE RISQUE D’ÊTRE UN JOUR DÉMASQUÉ. MAIS IL N’A PAS LE CHOIX : « JE SENTAIS LES FÉDÉRAUX S’APPROCHER, LITTÉRALEMENT. CHAQUE SIRÈNE DE POLICE ME TERRORISAIT. »
Marcus va rédiger de longues analyses de ces outils prisés des cybercriminels, en insistant sur les failles de certains. Il est autant lu par les hackers mal intentionnés – les black hats – que par les hackers bien intentionnés – les white hats. Les deux camps apprécient la méthode de reverse-engineering qu’adopte Hutchins pour expliquer le fonctionnement des rootkits, y compris celui d’UPAS/Kronos, sans toutefois préciser qu’il en est l’auteur. Il met aussi au point une sorte de radar à botnets, qui parvient à les manipuler de l’intérieur en imitant leur langage. Le blog MalwareTech commence à être très suivi par la communauté de la cybersécurité et Marcus est approché par Salim Neino, le directeur de Kryptos Security, qui lui propose de concevoir pour lui un outil de tracking qui avertirait les internautes en cas de prise de contrôle de leur machine par un botnet. Il se met au boulot, livre une V1 quelques semaines plus tard et touche 10 000 dollars en échange. Neino lui commande un autre tracker et là aussi Hutchins s’acquitte de sa tâche avec succès. Il est alors embauché à plein temps chez Kryptos, contre un salaire annuel à six chiffres. « Marcus avait un don avec les botnets et en trois ou quatre mois, il nous a permis de presque tous les neutraliser », résume aujourd’hui le CEO. À l’automne 2016 apparaît un nouveau genre de malware, Mirai, qui s’attaque entre autres aux objets connectés. L’auteur de ce poison numérique a publié le code de façon à ce que d’autres l’imitent et détruisent à leur tour des téraoctets d’innocentes données. Marcus essaie de comprendre comment stopper le phénomène et se débrouille, à force de reverse-engineering, pour identifier l’un des auteurs de ces attaques – qui vise la Lloyds Bank – et le convaincre de cesser son entreprise. Mais quelques mois plus tard, en mai 2017, il doit recourir à des méthodes plus radicales pour empêcher ce qui reste encore aujourd’hui la plus terrible cyberattaque de l’histoire : celle du malware WannaCry.
LA PAGE FANTÔME ET LE RICOCHET
WannaCry est apparu simultanément aux quatre coins du globe le vendredi 12 mai 2017. En Angleterre, il a particulièrement touché les hôpitaux, mettant en péril la vie des patients et imposant le chaos dans l’ensemble des infrastructures médicales, hautement informatisées. Ce jour-là, Marcus Hutchins a posé des congés et prend connaissance de cette tornade en approche après avoir rapporté à déjeuner chez lui. Pas le bon moment pour se reposer, pense-t-il. Il lit que le virus est ce qu’on appelle un ransomware, c’est-à-dire qu’il encrypte toutes les données des machines qu’il pirate puis demande aux usagers de payer une rançon pour les décrypter. C’est un redoutable fléau qui s’attaque à d’autres énormes structures, comme la Deutsche Bahn, Renault, FedEx ou Boeing. « On avait l’impression de voir un tsunami se préparer », raconte un analyste cybersécurité des British Telecom. En un aprèsmidi, 250 000 ordinateurs sont détruits, représentant entre 4 et 8 milliards de dollars de pertes.
Hutchins se retrousse les manches et reçoit le code de WannaCry d’un ami hacker. Il réalise une simulation sur un postetest avec un serveur personnel qu’il a mis en place et se rend compte qu’avant d’encrypter les données, le malware envoie systématiquement une requête à un site à l’URL longue et compliquée. Lorsque
Marcus tape l’adresse en question, il s’aperçoit que le site n’existe pas. Il s’empresse alors d’aller faire enregistrer le nom du domaine et peut donc, depuis son propre ordinateur, observer puis intervenir sur la masse de flux qui transitent par cette page fantôme. Sans le savoir, il est en train d’enrayer le déploiement du virus, car il ne sait pas encore qu’en donnant une réalité à ce site, il oriente les requêtes envoyées par les hackers vers ce qu’on pourrait comparer à un dos-d’âne, vite suivi d’un cul-de-sac. Les chercheurs qui s’intéresseront ensuite au cas WannaCry remarqueront en effet que sans ce ricochet, le malware aurait poursuivi sa route destructrice.
Pour le moment, Hutchins s’aperçoit vite du nombre affolant de cibles : sur ses serveurs puis sur ceux bientôt mis à disposition par Kryptos, il observe des connexions par milliers et choisit de construire ce que le jargon du hacking appelle un sinkhole : une technique consistant à neutraliser une attaque en reproduisant sa façon de communiquer, mais sans obéir aux ordres qu’elle donne. En résumé, l’infection continue d’être commandée, mais les ordinateurs qu’elle veut contaminer sont immunisés. Comme Hutchins l’a fait sur les précédents cas qu’il a traités, il tisse une vaste toile vouée à enserrer le botnet. Seulement quatre heures après avoir fini son déjeuner, Marcus se rend compte que la dévastation provoquée par le ransomware semble avoir cessé. Le virus continue de se répandre, mais dès qu’il ricoche sur le domaine contrôlé par Hutchins, il refuse de s’exécuter et s’arrête donc là, sans faire plus de mal. Sans tout comprendre, le jeune homme a trouvé le bouton d’arrêt d’urgence de la catastrophe, son kill switch. Il saute de joie devant son écran et va même annoncer la nouvelle à sa mère, qui lui dit juste « c’est bien mon, chéri » sans s’arrêter d’émincer ses oignons. Certes, WannaCry va encore empoisonner l’Internet mondial pendant quelques jours et les serveurs de Kryptos devront être épaulés par une flotte de serveurs dépêchés par Amazon. Marcus reste vigilant jusqu’au bout, dort peu, stresse beaucoup, et quand le malware est vaincu pour de bon, son patron l’oblige à prendre un congé d’urgence pour qu’il se repose.
EXTORSION PRÉMÉDITÉE
Le seul souci qu’il va connaître à présent, c’est la sortie de l’anonymat et le début de la célébrité. Des journalistes viennent toquer à sa porte, son visage et son vrai nom sont divulgués, et il donne un entretien à l’Associated Press. Mais la notoriété présente aussi des avantages : son compte Twitter gagne 100 000 followers du jour au lendemain, les gens lui payent tout le temps des verres au pub du coin, une pizzeria voisine lui offre table ouverte à vie… Et puis surtout, il y a le Def Con de Las Vegas, où Marcus est reçu comme une rock star, si bien qu’il préfère esquiver les conférences publiques pour éviter de se faire assaillir par des hordes de fans. Avec les quelques amis qu’il a emmenés, il écume les soirées open bar, dévalise les dispensaires de cannabis et loue des bolides. La vie est belle pour celui qui, trois ans plus tôt, frôlait le burn-out en achevant son travail sur Kronos. Si belle qu’il ne pense plus du tout au jour où, peut-être, à cause de Vinny ou de Randy, on viendra le chercher pour le mettre en prison. Si belle... jusqu’à ce qu’il aperçoive, au matin de son départ, ce SUV noir garé devant
À LOS ANGELES, IL VIT LA VIE DONT IL A TOUJOURS RÊVÉ, AU GRAND AIR. MAIS AU FOND DE LUI, IL EST RONGÉ PAR LA CULPABILITÉ FACE AU SOUTIEN QU’IL REÇOIT. ET PUIS IL DÉPRIME DE SE RETROUVER SANS BOULOT NI ARGENT À LUI, DANS L’ATTENTE D’UN PROCÈS QUI LUI FAIT PEUR...
la villa qu’il a louée sur Airbnb. Et qu’il se retrouve dans cette salle d’interrogatoire, face à deux agents du FBI.
Nous voici donc revenus à l’aéroport de Las Vegas, au moment où l’officier roux, qui s’appelle Lee Chartier, lance Marcus sur Kronos. Pris de court, le jeune homme répond en ne disant qu’à moitié la vérité : oui, il a écrit une partie de ce malware, mais il était encore mineur. Sauf que Chartier lui montre vite une transcription de ses échanges avec Randy, qui prouvent qu’il n’a pas cessé de bosser sur Kronos une fois majeur. Hutchins n’a pas d’avocat, perd ses moyens, comprend qu’il n’a pas d’issue et finit par entendre les fédéraux lui annoncer qu’il est inculpé de fraude et d’extorsion informatique avec préméditation. Le voici menotté à une chaise dans une cellule collective où il va rester vingtquatre heures. Il a juste la possibilité d’appeler son patron, Salim Neino, pour le prévenir de son arrestation. Rendue publique, celle-ci va scandaliser la communauté des white hats, qui ne savent pas encore que les faits reprochés n’ont rien à voir avec WannaCry et qui pensent donc que les autorités n’ont rien compris à l’exploit de leur héros – une confusion qui demeurera latente même lorsque le dossier sera clarifié. Des activistes réunissent de quoi payer sa caution et ses frais juridiques et bientôt il est mis en liberté conditionnelle. Des avocats experts en cybercriminalité acceptent de le défendre gratuitement, et l’un d’eux l’héberge même chez lui à L.A., où il connaît un quotidien agréable, entre surf et balades à vélo. D’une certaine manière, il vit la vie dont il a toujours rêvé, en Californie, au grand air. Mais au fond de lui, il est rongé par la culpabilité face au soutien qu’il reçoit, alors qu’il a selon lui commis un délit d’une extrême gravité en travaillant jadis sur Kronos. Et puis il déprime de se retrouver sans boulot ni argent à lui, dans l’attente d’un procès qui lui fait peur (il risque plusieurs années d’emprisonnement), avec un juge réputé pour ses verdicts imprévisibles.
UN LONG MEA CULPA
Il va s’écouler presque deux ans avant le jugement : Marcus et ses avocats auront le temps de changer plusieurs fois d’avis sur leur position et leur stratégie, et le jeune homme songera plusieurs fois à raconter toute la vérité pour soulager sa conscience. Un journaliste expert en cybersécurité, Brian Krebs, va prouver que Hutchins a jadis programmé des malwares, mais sans citer Kronos. Cette information ne fait pas changer d’avis les pro-Marcus et n’empêche pas l’intéressé de continuer à souffrir du complexe de l’imposteur. Il gobe de l’Adderall le jour et écluse de la
vodka la nuit. Il se dit pris par des envies de suicide : « La culpabilité me dévorait vivant », dit-il aujourd’hui. À l’approche du procès, il sent l’étau se resserrer lorsqu’il apprend, après d’âpres négociations préliminaires, que l’accusation consent uniquement à ne pas donner de recommandation de peine sans se prononcer en faveur d’un simple sursis, comme il l’avait espéré. Il va finalement poster un texte en ligne où, sans tout dévoiler, il se fend d’un mea culpa où il précise presque noir sur blanc qu’il refuse toute indulgence. Contrairement à ce que disent ses soutiens, Hutchins ne pense pas qu’il faille forcément avoir été un bon black hat pour devenir un bon white hat : « En réalité, on peut très bien devenir un pro de la cybersécurité sans jamais rien faire d’illégal. »
Le procès a lieu en juin, à Milwaukee. Marcus y arrive dans un état de profonde angoisse, semblable à celui que les amphétamines provoquaient en lui. Il prend un Xanax et laisse le juge Stadtmueller, 77 ans, ouvrir la séance. Celui-ci, malgré son expérience, n’a travaillé que sur une seule et unique affaire de hacking dans toute sa carrière et Hutchins craint qu’il ne saisisse pas les subtilités du dossier. Mais sa crainte va s’évaporer à mesure qu’il écoute le vieux magistrat. « J’ai jugé plus de 2 000 personnes dans ma vie et j’en ai vu de toutes les sortes, jeunes, vieux, riches, pauvres, innocents, coupables. Mais celui que nous avons ici devant nous aujourd’hui est un cas très à part. Il faut sans aucun doute reconnaître que ses actes de bravoure sont ternis par des actes hautement répréhensibles qu’il a commis plus tôt dans son existence. Mais il est selon moi évident que ce garçon a tourné la page du répréhensible depuis longtemps. L’exploit que vous avez réalisé face à WannaCry, M. Hutchins, est un exploit qui n’aurait pas été possible sans votre pratique et votre connaissance approfondie de ces systèmes. Les gens de votre trempe nous sont indispensables si nous ne voulons pas voir des catastrophes s’enchaîner dans les années à venir. Il faut laisser en liberté les individus comme vous afin qu’ils puissent réaliser des miracles semblables à celui dont vous avez été le responsable. » Le verdict tombe peu après : Marcus est libre, en conditionnelle pour un an. Le juge Stadtmueller a visiblement décidé de laver ses péchés en annulant sa dette morale, ni plus ni moins. Il a un peu de mal à y croire et sort du tribunal dans un état second, entouré de ses parents et de ses avocats.
Hutchins nous a parlé en face-à-face après plusieurs mois de conversations téléphoniques ou par mail. Pour des raisons administratives, il n’a pas pu repartir chez lui dans le Devon aussitôt après le verdict. Et il nous a donc retrouvés à Venice Beach, un endroit qu’il adore pour ses plages vouées au surf. L’Anglais nous a semblé soulagé, mais encore troublé par son destin. Et il voyait aussi s’achever une période étrange de plus de deux ans où il a évolué dans des limbes juridiques et émotionnels, loin de sa maison, même s’il aimerait à terme s’installer quelque part au bord de la mer en Californie du Sud. Maintenant qu’il a pu tourner la page, il veut logiquement passer à autre chose, et se remettre au travail. « Je ne veux pas être considéré comme “le gars qui a écrit Kronos”, mais je ne veux pas non plus être “le gars qui a écrasé WannaCry”, nous a-t-il expliqué en contemplant les collines de Malibu. Je veux juste être quelqu’un qui contribue à améliorer notre sort, quel qu’il soit. »