Il y a beaucoup d'amour dans le monde pour **GrapheneOS**, la référence en matière de sécurité mobile. Il y a très peu d'amour entre les deux hommes au centre de son histoire.  Il est difficile de trouver beaucoup d'informations sur **Daniel Micay** en ligne. Cherchez-le sur Google et vous trouverez un compte X impersonnel et une page LinkedIn déserte, ainsi que des « exposés » YouTube et des guerres de flame sur Reddit et HackerNews qui le décrivent comme tout, d'un défenseur de la vie privée à un visionnaire de la cybersécurité en passant par un despote. Pendant ce temps, Claude le décrit comme un « chercheur formidable en sécurité mobile indépendant » qui est « largement décrit comme socialement abrasif » (pour ce que cela vaut). « Tout ce que je peux vous dire sur Daniel, c'est qu'il vit au Canada », déclare **Dave Wilson**, le responsable de la communauté de GrapheneOS, un outil de confidentialité mondialement connu et le projet actuel de Micay. Au sein de la communauté de la cybersécurité, la mythologie entourant Micay dépasse la célébrité. Il pourrait être un fantôme ou une sorte d'égrégore, comme **Satoshi Nakamoto** ou **Ned Ludd**. Les fans dissèquent des bribes d'informations biographiques ; les ennemis attaquent ses réalisations techniques. Qui *est* Daniel Micay ? Que veut-il vraiment ? Lorsque j'ai écrit à l'adresse e-mail indiquée sur le site web de GrapheneOS, j'ai reçu une réponse le jour même : « L'équipe dans son ensemble serait heureuse de répondre aux questions et d'y répondre collectivement. Par conséquent, toute réponse proviendrait de « l'équipe GrapheneOS » et non directement de Daniel Micay. » Intéressant. Puis j'ai contacté Micay lui-même, via LinkedIn, de tous les endroits. Il a décliné ma demande d'interview officielle, invoquant des préoccupations de sécurité. J'ai depuis appris qu'il a 28 ans. J'ai parlé longuement avec l'ancien partenaire commercial de Micay, **James Donaldson**, et ce, contre la volonté de l'avocat de Donaldson. J'ai également parlé à des associés de Micay. Pendant de nombreux mois, un portrait a émergé de quelque chose de moins qu'un mythe, mais peut-être plus qu'un homme, et de quelqu'un qui irait jusqu'à des extrémités pour protéger son héritage. « C'était un type drôle », a dit Donaldson. Notez le temps passé. Donaldson affirme avoir rencontré Micay pour la première fois entre 2011 et 2013, lorsque Micay a rejoint Toronto Crypto, un petit groupe qui se réunissait occasionnellement pour discuter de cryptographie autour de bières. (Par l'intermédiaire de son équipe actuelle, Micay conteste cela. Il dit avoir rencontré Donaldson en 2014 et n'avoir jamais officiellement rejoint le groupe.) À l'époque, Micay était un chercheur en sécurité et un développeur open source intéressé par l'espace mobile en pleine croissance. Micay pouvait être, selon Donaldson, quelque peu réservé. Il avait un humour décalé et n'intervenait que lorsque quelque chose de technique se présentait. Donaldson s'est souvenu d'une fois où un troll a infiltré le chat du groupe crypto et leur a donné la tâche apparemment impossible de déchiffrer une série de messages. Micay l'a fait avec empressement et facilité. « J'ai un don pour comprendre les gens très tôt », a dit Donaldson, « et je savais que ce gars était brillant. » (Par l'intermédiaire de son équipe, Micay prétend ne pas se souvenir de cet événement.) Donaldson, maintenant âgé de 42 ans, est un hacker autodidacte qui n'a jamais terminé ses études, a été brièvement sans abri et a passé la majeure partie de sa vingtaine dans un « groupe punk hardcore positif ». « C'est cool d'être intelligent », m'a-t-il dit. « Mais si vous ne pouvez pas payer vos factures, vous êtes un imbécile. » Il a vu une opportunité de gagner de l'argent avec Android, qui contrôlait alors 80 % de la base d'utilisateurs de smartphones. Parce que le système d'exploitation était un écosystème décentralisé et open source qui semblait privilégier l'attrait commercial et l'adoption de masse plutôt que la sécurité, Android, avec sa pléthore de vulnérabilités, avait été comparé à du gruyère. (C'était en contraste notable avec le jardin clos plus sécurisé d'iOS d'**Apple**.) Donaldson ne savait pas comment colmater ces brèches lui-même, mais il connaissait maintenant quelqu'un qui le pouvait. ### La naissance de CopperheadOS Le domaine « Copperhead.co » a été enregistré par Donaldson en 2014 et incorporé en 2015 au nom de Donaldson et de Micay. L'idée était que les actions seraient partagées à parts égales, Donaldson étant PDG et Micay directeur technique de facto. Leur produit phare, **CopperheadOS**, était un système d'exploitation open source axé sur ce qu'on appelle le durcissement d'Android. Comme construire une forteresse et creuser des douves autour d'un château, « durcir » un logiciel le rend plus difficile d'accès pour les pirates. Dans le cas de CopperheadOS, cela signifiait protéger les données mobiles en ajoutant des couches de sécurité par-dessus le système d'exploitation Android standard. (Micay a affirmé dans des documents judiciaires qu'il travaillait déjà sur le durcissement d'Android avant de rencontrer Donaldson et qu'il avait accepté le partenariat à la condition expresse qu'il conserverait le contrôle du système d'exploitation résultant.) CopperheadOS a été un succès immédiat et l'un des premiers du genre ; peu d'autres prêtaient attention à la sécurité mobile à l'époque. Un an après son lancement, **Chris Soghoian**, alors technologue principal à l'**American Civil Liberties Union**, a qualifié CopperheadOS de « chose la plus excitante dans le monde de la sécurité Android ». Des groupes de défense de l'open source comme le **Guardian Project**, ainsi que **Google Play**, une alternative à la boutique d'applications, **F-Droid**, ont commencé à s'enquérir de partenariats. En 2018, CopperheadOS a été présenté dans *2600: The Hacker Quarterly*. Dans le plus pur style startup, Donaldson a effectué toutes sortes d'emplois informatiques éclectiques aux débuts de l'entreprise, réparant des imprimantes, récupérant des sites web WordPress piratés, pour aider à financer le travail de Micay sur le système d'exploitation. « Je garde Daniel à l'écart du monde normal pour qu'il puisse s'asseoir et pirater Android », a déclaré Donaldson dans une interview de 2017 avec Crypto Tech Solutions. « Je sais quand me retirer. » Dans la même interview, Donaldson s'est comparé en plaisantant à **Erlich Bachman**, l'incubateur désinvolte de *Silicon Valley* sur **HBO**. Il pensait que sa capacité à faire le pont entre les personnes techniquement compétentes et celles qui ont le sens des affaires ferait le succès de Copperhead. Pendant que Donaldson donnait des interviews en tant que visage de l'opération, Micay était souvent enfermé dans ce que Donaldson appelait la « tour de sorcier », chassant les vulnérabilités dans Android et les corrigeant dans CopperheadOS. Micay passait également du temps à résoudre les problèmes de la base d'utilisateurs. En tant que puriste de l'open source, il était un contributeur de longue date à des projets comme **Arch Linux** et le langage de programmation **Rust** de **Mozilla** ; Micay semblait ressentir le devoir de soutenir quiconque s'intéressait au projet. Même si c'était au détriment de son propre bien-être. Il était essentiel pour lui que tout le monde ait un accès gratuit à la sécurité mobile. Mais ces valeurs ont commencé à diverger de celles de Donaldson. D'une part, Donaldson se considérait toujours comme une sorte de rebelle hacker. À un moment donné,