“Mon équipe avait carte blanche. Elle pouvait mentir, créer et installer des virus, pénétrer par effraction après avoir falsifié un badge”
Dans un monde envahi par les cyberattaques, les « White Hats » défendent les citoyens et les entreprises en détectant et en réparant les failles informatiques.
Aucune herse à l’horizon. Aucun pontlevis non plus. Nous sommes pourtant bien dans le « Donjon », un atelier situé en plein coeur de Paris. Ses occupants reçoivent rarement de la visite. Ils préfèrent rester anonymes. Et pour cause : ce sont tous des « hackeurs ». Leur passe-temps favori? Lancer des attaques sur des coffres-forts numériques contenant des cryptomonnaies comme le bitcoin. « Ici, chacun s’occupe d’une tâche bien précise », explique l’un d’entre eux. A l’étage, les experts en logiciels rédigent des lignes de codes, tandis qu’au rez-de-chaussée le
reste de l’équipe s’occupe des attaques « physiques ». Progrès technologique oblige, l’oscilloscope – qui permet d’écouter les signaux électriques – a remplacé le stéthoscope utilisé jadis par les cambrioleurs. De même, le chalumeau a laissé place à une microfraiseuse. Mais l’objectif reste le même : faire sauter la banque. « En creusant le plastique des puces, nous accédons directement aux circuits en silicium. Ensuite, on utilise un laser pour les perturber, ce qui permet, par exemple, de franchir l’étape du code PIN », explique un hackeur en plein travail. Les mafieux paieraient cher pour s’offrir ce genre de spécialistes. Malheureusement pour eux – et heureusement pour
nous –, les occupants du Donjon sont tous des « White Hats », des experts qui oeuvrent pour le bien commun. Ledger, leur employeur, commercialise des portefeuilles numériques. « Nous avons monté cette équipe fin 2017 pour tester la qualité de nos produits, explique Charles Guillemet, responsable de la sécurité de l’entreprise. Dès qu’une faille est repérée, nous mettons au point des contre-mesures pour y faire face. A terme, nous souhaitons fournir notre expertise à d’autres sociétés qui commercialisent des objets connectés. »
Les besoins sont énormes. Jamais il n’y a eu autant d’attaques malveillantes dans le monde. Pas un jour ne passe sans qu’une trottinette électrique, un téléphone, une voiture ou une entreprise ne soient victimes d’un « hack » mal intentionné. Et ce n’est que la partie émergée de l’iceberg. « Pour une action médiatisée, vous en avez des centaines qui ne le sont pas », confirme Emmanuel Gras, patron d’Alsid, une start-up spécialisée dans la cyberdéfense. Ce déferlement doit beaucoup à Internet. Avant, chacun développait dans son coin sa propre méthode d’intrusion. Aujourd’hui, il existe des « tutos » sur la Toile. De fait, beaucoup d’ingénieurs en herbe obtiennent un bon niveau en peu de temps. « Il est même possible de louer un logiciel et de mener une attaque sans comprendre comment celle-ci fonctionne », constate Eric Combalbert, professeur à l’Ecole supérieure de commerce et d’économie numérique. De fait, les « Black Hats » – les hackeurs malintentionnés – pullulent. Il fallait bien que, en face, des spécialistes dotés d’une éthique irréprochable émergent. « Normalement, jamais un White Hat ne revendra un mot de passe ou des données personnelles », estime Raoul Chiesa, chercheur italienn en cybersécurité. Mais il ne faut pas en faire des anges pour autant. « Méfions-nous des visions manichéennes », explique Jonathan Brossard, dirigeant de Moabi, une start-up qui vend des solutions de sécurité. « Souvent considérés comme des White Hats, les services secrets passent leur temps à déstabiliser les entreprises des autres pays ! Sont-ils gentils ou méchants? Tout dépend de quel côté de la frontière on se place. »
Du haut du 52e étage de la tour Montparnasse, avec une vue imprenable sur la tour Eiffel, ce hackeur français spécialiste des « backdoors », ces portes dérobées qui permettent de prendre le contrôle d’un appareil à distance, raconte par le menu les « pen tests » – les tests de pénétration – qu’il a réalisés au sein d’une grande entreprise américaine à la demande de son dirigeant. « Pendant la durée de la mission, mon équipe avait carte blanche. Elle pouvait mentir, créer et installer des virus, pénétrer par effraction la nuit après avoir falsifié un badge, etc. Pour sensibiliser la direction au risque des cyberattaques, il n’y a pas mieux. »
Le problème? « Dans le meilleur des cas, ce genre d’audit n’a lieu qu’une fois par an et il est compliqué à mettre en place, car il ouvre l’accès à des données stratégiques », explique Emmanuel Gras. Alors les entreprises se retrouvent bien souvent à organiser des chasses aux failles rémunérées (« bug bounty »). « Ces événements se
structurent de plus en plus. Les participants touchent de meilleures primes », constate Yassir Kazar, fondateur de Yogosha, une plateforme de mise en contact entre les entreprises et des hackeurs « éthiques ». Récemment, l’un d’eux est même reparti chez lui au volant d’une Tesla après avoir décelé une faille critique chez le constructeur américain. Les « Black Hats » gardent quand même l’avantage en matière de rémunération : un programme pour prendre le contrôle à distance d’un iPhone se monnaie jusqu’à 2 millions de dollars. « Les primes données aux défenseurs ne sont pas encore au niveau », regrette Yassir Kazar. Pourtant, les cyberattaques peuvent avoir un effet dévastateur. « Début 2017, un puissant outil utilisé par les services secrets américains pour piloter un ordinateur à distance s’est retrouvé sur Internet. Dans les semaines qui ont suivi, cette arme a été utilisée à des fins malveillantes. Les dégâts se chiffrent en milliards de dollars », confie un expert en cybersécurité. « L’effet démultiplicateur est parfois incroyable : une petite équipe peut très bien développer un virus pour pas cher et faire de gros dégâts », confirme Jonathan Brossard.
Le fabricant taïwanais Asus l’a appris à ses dépens. En 2018, l’un de ses serveurs a été « compromis ». Résultat ? Pendant six mois, il propageait des malwares chez certains clients de la marque ! « Si l’un des premiers fabricants d’ordis au monde n’a pas été capable de le détecter rapidement, cela relativise le niveau de sécurité de l’ensemble de l’industrie ! » s’enflamme un White Hat. L’expert anticipe déjà les futures attaques.
PRENDRE LES PIRATES DE VITESSE
A l’occasion du déploiement de la 5G, par exemple. En apparence, cette technologie n’apporte que des avantages. Elle va accroître la vitesse des téléchargements. Mais en permettant aux objets de communiquer entre eux sans intervention humaine, elle va aussi créer de multiples failles. « Or les moyens de protection ne sont pas prêts. Par exemple, on ne sait pas faire communiquer plusieurs véhicules avec un feu tricolore de manière sécurisée », prévient le spécialiste. Quatre ans après le premier cas de piratage d’une Jeep à distance – une Cherokee, en juillet 2015 –, le secteur automobile demeure l’un des plus vulnérables. « Ce qui m’empêche de dormir, ce n’est pas tant la prise de contrôle d’un seul véhicule que celle d’une flotte entière à des fins criminelles », explique Jonathan Brossard. On pourrait par exemple demander à toutes les Tesla d’un même quartier de se diriger vers un point précis pour se crasher. Ce genre d’attaque n’a pas encore eu lieu, mais ce n’est pas de la science-fiction pour autant. Dans l’état de l’art du hacking, il est possible de fabriquer de fausses coordonnées GPS, de créer des réseaux téléphoniques virtuels, voire d’infecter les serveurs qui gèrent les mises à jour des voitures. Notre hackeur serait-il un brin parano ?
« De manière générale, la sécurité progresse, mais demeure insuffisante », tranche Charles Guillemet. Il y a dix ans, le marché des vulnérabilités n’existait pas. Les services secrets ne disposaient pas de budgets aussi importants pour financer des cyberattaques. « Cela rend le métier de White Hat encore plus gratifiant », estime Jonathan Brossard. Un jour, il s’agit d’aider une entreprise à trouver la parade, le lendemain, de protéger des millions de personnes qui signent des pétitions de manière anonyme sur le site Internet Change.org. « Lorsque j’étais étudiant, mes professeurs me disaient : tu es sûr que tu veux faire de l’informatique ? Tu pourrais faire trader, c’est un métier porteur. Vingt ans plus tard, je suis ravi d’avoir fait le bon choix. » Nous aussi.