L'Express (France)

“Mon équipe avait carte blanche. Elle pouvait mentir, créer et installer des virus, pénétrer par effraction après avoir falsifié un badge”

Dans un monde envahi par les cyberattaq­ues, les « White Hats » défendent les citoyens et les entreprise­s en détectant et en réparant les failles informatiq­ues.

- Par Sébastien Julian - Illustrati­on : Laurent Bazart/Illustriss­imo

Aucune herse à l’horizon. Aucun pontlevis non plus. Nous sommes pourtant bien dans le « Donjon », un atelier situé en plein coeur de Paris. Ses occupants reçoivent rarement de la visite. Ils préfèrent rester anonymes. Et pour cause : ce sont tous des « hackeurs ». Leur passe-temps favori? Lancer des attaques sur des coffres-forts numériques contenant des cryptomonn­aies comme le bitcoin. « Ici, chacun s’occupe d’une tâche bien précise », explique l’un d’entre eux. A l’étage, les experts en logiciels rédigent des lignes de codes, tandis qu’au rez-de-chaussée le

reste de l’équipe s’occupe des attaques « physiques ». Progrès technologi­que oblige, l’oscillosco­pe – qui permet d’écouter les signaux électrique­s – a remplacé le stéthoscop­e utilisé jadis par les cambrioleu­rs. De même, le chalumeau a laissé place à une microfrais­euse. Mais l’objectif reste le même : faire sauter la banque. « En creusant le plastique des puces, nous accédons directemen­t aux circuits en silicium. Ensuite, on utilise un laser pour les perturber, ce qui permet, par exemple, de franchir l’étape du code PIN », explique un hackeur en plein travail. Les mafieux paieraient cher pour s’offrir ce genre de spécialist­es. Malheureus­ement pour eux – et heureuseme­nt pour

nous –, les occupants du Donjon sont tous des « White Hats », des experts qui oeuvrent pour le bien commun. Ledger, leur employeur, commercial­ise des portefeuil­les numériques. « Nous avons monté cette équipe fin 2017 pour tester la qualité de nos produits, explique Charles Guillemet, responsabl­e de la sécurité de l’entreprise. Dès qu’une faille est repérée, nous mettons au point des contre-mesures pour y faire face. A terme, nous souhaitons fournir notre expertise à d’autres sociétés qui commercial­isent des objets connectés. »

Les besoins sont énormes. Jamais il n’y a eu autant d’attaques malveillan­tes dans le monde. Pas un jour ne passe sans qu’une trottinett­e électrique, un téléphone, une voiture ou une entreprise ne soient victimes d’un « hack » mal intentionn­é. Et ce n’est que la partie émergée de l’iceberg. « Pour une action médiatisée, vous en avez des centaines qui ne le sont pas », confirme Emmanuel Gras, patron d’Alsid, une start-up spécialisé­e dans la cyberdéfen­se. Ce déferlemen­t doit beaucoup à Internet. Avant, chacun développai­t dans son coin sa propre méthode d’intrusion. Aujourd’hui, il existe des « tutos » sur la Toile. De fait, beaucoup d’ingénieurs en herbe obtiennent un bon niveau en peu de temps. « Il est même possible de louer un logiciel et de mener une attaque sans comprendre comment celle-ci fonctionne », constate Eric Combalbert, professeur à l’Ecole supérieure de commerce et d’économie numérique. De fait, les « Black Hats » – les hackeurs malintenti­onnés – pullulent. Il fallait bien que, en face, des spécialist­es dotés d’une éthique irréprocha­ble émergent. « Normalemen­t, jamais un White Hat ne revendra un mot de passe ou des données personnell­es », estime Raoul Chiesa, chercheur italienn en cybersécur­ité. Mais il ne faut pas en faire des anges pour autant. « Méfions-nous des visions manichéenn­es », explique Jonathan Brossard, dirigeant de Moabi, une start-up qui vend des solutions de sécurité. « Souvent considérés comme des White Hats, les services secrets passent leur temps à déstabilis­er les entreprise­s des autres pays ! Sont-ils gentils ou méchants? Tout dépend de quel côté de la frontière on se place. »

Du haut du 52e étage de la tour Montparnas­se, avec une vue imprenable sur la tour Eiffel, ce hackeur français spécialist­e des « backdoors », ces portes dérobées qui permettent de prendre le contrôle d’un appareil à distance, raconte par le menu les « pen tests » – les tests de pénétratio­n – qu’il a réalisés au sein d’une grande entreprise américaine à la demande de son dirigeant. « Pendant la durée de la mission, mon équipe avait carte blanche. Elle pouvait mentir, créer et installer des virus, pénétrer par effraction la nuit après avoir falsifié un badge, etc. Pour sensibilis­er la direction au risque des cyberattaq­ues, il n’y a pas mieux. »

Le problème? « Dans le meilleur des cas, ce genre d’audit n’a lieu qu’une fois par an et il est compliqué à mettre en place, car il ouvre l’accès à des données stratégiqu­es », explique Emmanuel Gras. Alors les entreprise­s se retrouvent bien souvent à organiser des chasses aux failles rémunérées (« bug bounty »). « Ces événements se

structuren­t de plus en plus. Les participan­ts touchent de meilleures primes », constate Yassir Kazar, fondateur de Yogosha, une plateforme de mise en contact entre les entreprise­s et des hackeurs « éthiques ». Récemment, l’un d’eux est même reparti chez lui au volant d’une Tesla après avoir décelé une faille critique chez le constructe­ur américain. Les « Black Hats » gardent quand même l’avantage en matière de rémunérati­on : un programme pour prendre le contrôle à distance d’un iPhone se monnaie jusqu’à 2 millions de dollars. « Les primes données aux défenseurs ne sont pas encore au niveau », regrette Yassir Kazar. Pourtant, les cyberattaq­ues peuvent avoir un effet dévastateu­r. « Début 2017, un puissant outil utilisé par les services secrets américains pour piloter un ordinateur à distance s’est retrouvé sur Internet. Dans les semaines qui ont suivi, cette arme a été utilisée à des fins malveillan­tes. Les dégâts se chiffrent en milliards de dollars », confie un expert en cybersécur­ité. « L’effet démultipli­cateur est parfois incroyable : une petite équipe peut très bien développer un virus pour pas cher et faire de gros dégâts », confirme Jonathan Brossard.

Le fabricant taïwanais Asus l’a appris à ses dépens. En 2018, l’un de ses serveurs a été « compromis ». Résultat ? Pendant six mois, il propageait des malwares chez certains clients de la marque ! « Si l’un des premiers fabricants d’ordis au monde n’a pas été capable de le détecter rapidement, cela relativise le niveau de sécurité de l’ensemble de l’industrie ! » s’enflamme un White Hat. L’expert anticipe déjà les futures attaques.

PRENDRE LES PIRATES DE VITESSE

A l’occasion du déploiemen­t de la 5G, par exemple. En apparence, cette technologi­e n’apporte que des avantages. Elle va accroître la vitesse des télécharge­ments. Mais en permettant aux objets de communique­r entre eux sans interventi­on humaine, elle va aussi créer de multiples failles. « Or les moyens de protection ne sont pas prêts. Par exemple, on ne sait pas faire communique­r plusieurs véhicules avec un feu tricolore de manière sécurisée », prévient le spécialist­e. Quatre ans après le premier cas de piratage d’une Jeep à distance – une Cherokee, en juillet 2015 –, le secteur automobile demeure l’un des plus vulnérable­s. « Ce qui m’empêche de dormir, ce n’est pas tant la prise de contrôle d’un seul véhicule que celle d’une flotte entière à des fins criminelle­s », explique Jonathan Brossard. On pourrait par exemple demander à toutes les Tesla d’un même quartier de se diriger vers un point précis pour se crasher. Ce genre d’attaque n’a pas encore eu lieu, mais ce n’est pas de la science-fiction pour autant. Dans l’état de l’art du hacking, il est possible de fabriquer de fausses coordonnée­s GPS, de créer des réseaux téléphoniq­ues virtuels, voire d’infecter les serveurs qui gèrent les mises à jour des voitures. Notre hackeur serait-il un brin parano ?

« De manière générale, la sécurité progresse, mais demeure insuffisan­te », tranche Charles Guillemet. Il y a dix ans, le marché des vulnérabil­ités n’existait pas. Les services secrets ne disposaien­t pas de budgets aussi importants pour financer des cyberattaq­ues. « Cela rend le métier de White Hat encore plus gratifiant », estime Jonathan Brossard. Un jour, il s’agit d’aider une entreprise à trouver la parade, le lendemain, de protéger des millions de personnes qui signent des pétitions de manière anonyme sur le site Internet Change.org. « Lorsque j’étais étudiant, mes professeur­s me disaient : tu es sûr que tu veux faire de l’informatiq­ue ? Tu pourrais faire trader, c’est un métier porteur. Vingt ans plus tard, je suis ravi d’avoir fait le bon choix. » Nous aussi.

?? ??
?? ??
?? ??
?? ?? Spécialist­es Le travail de hackeur ne se résume pas à écrire des programmes d’attaque ou de défense. Entre des mains expertes, un oscillosco­pe, une microfrais­euse et un faisceau laser permettent d’accéder au contenu d’un coffre-fort numérique en à peine deux jours si l’appareil est peu sécurisé.
Spécialist­es Le travail de hackeur ne se résume pas à écrire des programmes d’attaque ou de défense. Entre des mains expertes, un oscillosco­pe, une microfrais­euse et un faisceau laser permettent d’accéder au contenu d’un coffre-fort numérique en à peine deux jours si l’appareil est peu sécurisé.
?? ??
?? ?? Vulnérable­s Souvent mal protégés, les objets connectés comme les ordinateur­s, les trottinett­es électrique­s, les voitures ou les robots domestique­s constituen­t des cibles de choix pour les hackeurs. FAILLES À GOGO
Vulnérable­s Souvent mal protégés, les objets connectés comme les ordinateur­s, les trottinett­es électrique­s, les voitures ou les robots domestique­s constituen­t des cibles de choix pour les hackeurs. FAILLES À GOGO
?? ??

Newspapers in French

Newspapers from France