Participate Translate Blank profile picture
Image for Lumière sur les White Hat : ma rencontre avec un hacker éthique

Lumière sur les White Hat : ma rencontre avec un hacker éthique

Published on

Translation by:

Cafébabel

ImpactYo TambiénNumérique

Quand on parle de hacker, on imagine volontiers des pirates informatiques malveillants. Mais parfois, ce sont aussi des professionnels qui mettent leurs connaissances techniques au service de la collectivité, pour améliorer la sécurité des gens. On les appelle « White Hats », ou pirates éthiques. Et pour voir ce qu’il se cache sous leurs grands chapeaux, nous avons rencontré l'un d’entre eux. 

Pour la série YoTambien, nous nous sommes glissés dans les thématiques du Yo!Fest @the EYE2018, le plus gros festival de la jeunesse européenne, afin d'explorer les préoccupations des jeunes européens. Cette semaine, on parle de crise migratoire.

Un sweat-shirt noir, une capuche rabattue jusqu’aux yeux et un PC allumé dans l’ombre. Au sous-sol, sur un écran, des données et des informations hautement confidentielles défilent. Elles pourraient faire trembler la moitié des services secrets du globe. C’est le portrait du hacker que nous avons tous à l’esprit : généralement un mordu d'informatique, un « no life » comme on dit, qui passe son temps à s’introduire dans des réseaux informatiques protégés avec des intensions plus ou moins honnêtes. Un cliché très commun qui a inspiré des centaines de films, et influencé des générations d’écrivains et de lecteurs, mais qui reste surtout très éloignée de la réalité. Tout du moins pour ce que j’ai pu en découvrir.

La divine comédie

J’étais moi aussi tombée amoureuse de cette idée. Et j’ai beaucoup aimé Mr Robot. Mais j'ai ensuite rencontré Davide Del Vecchio. Ce trentenaire italien dirige aujourd'hui une équipe de vingt personnes au sein d'une multinationale. Célèbre dans le secteur du e-commerce italien, l'entreprise travaille à protéger la sécurité informatique. Et le personnage est très éloigné de la figure du hacker à laquelle on pourrait penser. Il n’a rien en commun avec Lisbeth, la geek introvertie de la trilogie Millenium de Stieg Larsson, qui réussit à se souvenir d’énormes quantités de données et d’informations grâce à sa mémoire photographique. Ni avec Neo de Matrix, programmateur de logiciels le jour, pirate informatique la nuit. J'avais donc quelques attentes, mais mon hacker ne rentrait pas vraiment dans le rôle.

J’en cherchais un qui soit éthique. Dans le jargon informatique, on appelle ça un White Hat (littéralement « un chapeau blanc », ndlr). En bref, quelqu’un qui via son métier s’infiltre dans les systèmes d’exploitation de son propre employeur pour y trouver d’éventuelles vulnérabilités, prévenir les attaques extérieures et se préparer à gérer des situations à risque. En cas de virus ou de tentative d’espionnage industriel, c’est lui qui prend les mesures nécessaires. Dit autrement, il est du bon côté.

Mon contact avec Davide, qui a commencé à geeker à six ans sur son premier PC, s’est fait grâce à une amie et collègue, intégrée à la communauté italienne des hackers. Quelques jours plus tard, me voilà déjà à Bologne, dans son appartement. Davide est un homme comme un autre, qui m’attend au quatrième étage d’un bâtiment historique du centre de la ville. Son appartement, il le présente comme un refuge dont il ne profite que deux semaines par mois. Les autres jours, il voyage de l’autre côté de la frontière. Il m’invite dans la cuisine, sous une verrière au plafond, d’où filtre beaucoup de lumière. Rien de vraiment très sombre.

Dans la communauté, Davide est plus connu sous le  surnom de « Dante », en raison d’un vieux virus qu’il avait créé des années plus tôt. À cette époque, il proposait des passages de la Divine Comédie, que l'utilisateur devait compléter correctement s’il voulait continuer à utiliser son PC. Nous sirotons une tisane pendant qu’il me parle code, vulnérabilité, logiciels et virus. Sa passion est née au temps où les mots pour la définir n’existaient pas encore. Dès son plus jeune âge, Davide comprend comment passer rapidement aux niveaux suivants, en modifiant les codes de ses jeux sur PC pour faire gagner « de la vie » à ses personnages. Il ne le sait pas encore, mais cela deviendra son métier. Pourtant, son père, comme beaucoup, voulait qu’il soit médecin. À 16 ans, il a pour la première fois accès à Internet. À 19 ans, il commence à faire le tour du monde, et se retrouve invité de l’autre côté du globe pour participer aux premières conférences consacrées aux hackers et à la sécurité informatique.

« Mon secteur n’avait pas encore explosé : ce n’est que dans les années 2000 qu’on a commencé à parler pour la première fois de la nécessité d’embaucher du personnel capable de protéger les organisations contre d’éventuelles attaques informatiques. Mais c’était encore les balbutiements : les moteurs de recherche n'en étaient qu’à leurs débuts, et pour m’informer, je suivais les liens hyperlink (les liens hypertexte ancêtres de nos liens actuels, ndlr). Invité par la  communauté, j’ai entre temps voyagé le plus possible. Je faisais une recherche, et j’y allais : l’âge ne comptait pas », raconte Davide, qui ne se qualifie pas comme un  « hacker ». Ce sont les autres qui l’appellent ainsi. Voilà pourquoi il passe d’une certaine manière inaperçu : « Nous n’employons jamais ce terme. Je me qualifie de spécialiste de la sécurité informatique ».

L’équipe fascine tout le monde, mais il vaut mieux ne pas trop en parler. Notamment parce que, comme Davide le raconte, après quelques questions rituelles, ça finit toujours de la même façon : les gens lui demandent de s'infiltrer dans le compte ou le smartphone de leur petite amie. Bien évidemment, il refuse à chaque fois. « Ça serait un accès abusif à un système informatique, ça équivaudrait à s’introduire illégalement chez quelqu’un. Je n’y tiens pas, y compris pour des questions éthiques. La vie privée est sacrée pour moi, mais c’est le genre de demandes qu’on me fait le plus souvent. »

Hacker ouvert

Jusqu’à présent, Davide, qui ne passe pas non plus toutes ses journées devant un ordinateur, a visité 75 pays. L’objectif ? Réussir à voyager partout en l’espace d’une vie. Une vie qu'il passe dans son bureau du lundi au vendredi. Dans la pièce, il a installé un palmier gonflable avec un drapeau de pirates. C’est d’ici qu’il dirige son équipe de pirates éthiques et d’experts informatiques. Il y a celui qui joue le rôle du White Hat à tous les niveaux : il tente de s’infiltrer dans le système de l’entreprise, identifie les failles éventuelles et les signale. Celui qui s’occupe de gérer toutes les technologies qui concernent la sécurité : il essaye de prévenir des centaines de milliers d'attaques extérieures par minute, presque toutes automatisées. Et enfin, celui qui s’occupe d’enrichir les informations sur les nouvelles menaces à l’approche, et de créer d’éventuelles alertes qui indiquent quand quelqu’un ou quelque chose est en train d’entrer dans le système.

« Pas besoin d’être un ingénieur de logiciels pour s’occuper de sécurité informatique, souligne Davide. Mais il faut avoir des connaissances un peu sur tout : la manière dont fonctionnent les réseaux, comment se déplacent les informations sur Internet, mais aussi comprendre un peu la programmation, (puisque certains problèmes se trouvent dans le code) en plus de connaître les différents systèmes d’exploitation. » Aucun réseau n’est sûr à 100%, et paradoxalement, il est selon lui beaucoup plus facile d’entrer dans le logiciel de la Nasa que dans celui d’un individu lambda. « Il faut démystifier quelques trucs. Il existe une loi qui dit que le niveau de sécurité informatique d’un réseau est équivalent au niveau de sécurité de l’ordinateur le plus faible. Plus il y a de PC, et plus c’est difficile de se protéger. Voilà pourquoi je souris quand je lis qu’une jeune s’est infiltrée dans les systèmes de grandes entreprises ou institutions : il suffit d’un ordinateur pour le faire. »

Mais Davide ne fait pas que diriger son équipe : avec ses collègues, il s’occupe aussi de sélectionner les futurs pirates éthiques qui intégreront le groupe. « Au-delà des questions théoriques, je peux donner mon PC au candidat et lui demander d’essayer d’infiltrer une copie test de notre serveur », explique-t-il, avant de faire une pause pour allumer le radiateur. Il fait encore froid en ville, et un invité devrait arriver d'une minute à l'autre. Ces dernières années, Davide a accueilli près de 600 personnes dans les différentes endroits où il a vécu : Bari, Milan, Rome, Trévise, et maintenant Bologne, en passant  par une plateforme de Couchsurfing. À tel point qu'il a généré la révolte de ses utilisateurs en 2011, lorsque le fondateur du site, Casey Fenton, a annoncé la cession d’une part de la société. Elle est en effet passée du statut de société à but non lucratif à celui d'une société coopérative d’intérêt collectif (SCIC). Avant, c’était un portail basé sur le gratuit, l’aide réciproque et le partage. Des principes chers aux White Hats, depuis toujours défenseurs du concept de software libero. Le même concept a inspiré le Centre Hermès pour la transparence et les droits humains numériques, une organisation à but non lucratif, que Fenton a aussi cofondée, et qui s’occupe de développer des systèmes gratuits, comme Globaleaks. Ces programmes recueillent des signalements anonymes sur différents sujets et mettent en place des initiatives de dénonciations. Un logiciel déjà utilisé par différents journalistes pour leurs enquêtes, mais aussi par l’Anac, l’Autorité nationale anticorruption.

« Internet est devenu un outil de guerre »

« Internet est né en tant qu’outil de libération : le moyen qui permet à tous de communiquer autour du monde, explique Davide. C’était un terrain immense, sans loi, et c’était surtout un moyen par lequel la connaissance pouvait être diffusée, partout, de façon incontrôlée. Internet s’est ensuite transformé en moyen de contrôle, et il est à présent un outil de guerre à part entière. » Pour donner un exemple, il suffit de penser au volume d’argent généré par le cybercrime, qui a désormais dépassé celui de la drogue. À tel point que, d’après une étude récente, les réseaux informatiques seraient le troisième domaine illégal le plus coûteux du monde devant la corruption et le narcotrafic. « Aujourd’hui dans le monde, le risque de cybercriminalité est plus élevé que celui lié aux incendies et aux inondations. Nous parlons d’un phénomène qui a déjà et aura de lourdes conséquences au niveau géopolitique, dans la finance mais aussi pour les citoyens eux-mêmes. Et concernant la mafia, si en Italie c’est encore trop tôt pour le dire, en Russie, la criminalité organisée voyage déjà amplement grâce à la Toile. » En l’espace de trente ans, le Web a changé de visage à plusieurs reprises : il ne reste pas grand-chose de ce qu'il était à ses débuts, quand il était encore un terrain immense à explorer où partager ses connaissances. Mais le pire reste peut-être encore à venir. Davide est convaincu que cette année sera celle où nous verrons débarquer les premières attaques informatiques létales, et pas seulement ciblées sur les entreprises.

« Les entrepreneurs qui n’investissent pas encore dans la sécurité seront balayés, et bientôt, nous verrons le premier homme mourir à cause d’une attaque informatique. Aujourd’hui, tout est lié à Internet : des installations de gaz aux bypass insérés dans le cœur des personnes. Il suffit juste d’un peu d’imagination. » Un scénario qui s'avère finalement très proche de la réalité, si on en croit l'angoissante histoire révélée il y a quelques années par un ancien hacker lors d'une conférence. L'expert en sécurité informatique aurait effectivement trouvé le moyen de pirater n'importe quel pacemaker à distance, et donc de potentiellement infliger des chocs mortels à son propriétaire. Mon regard se porte tout à coup sur deux petits livres illustrés : ce sont des fables pour enfants. C’est lui qui les a écrites. Probablement la nuit, pendant que tous les hackers d'Hollywood geekent sur leurs PC, dans un sous-sol, plongés dans l’obscurité.

---

Cafébabel est partenaire média du Yo!Fest. Chaque année, ce festival politique centré sur la jeunesse et organisé par l'European Youth Forum mélange débats politiques, ateliers, concerts de musique et performances artistiques. Le festival est intégré au European Youth Event - EYE2018 au Parlement européen de Strasbourg. L' #EYE2018 donne l'opportunité à 8000 jeunes Européens de faire entendre leurs voix et de construire une vision pour le futur de l'Europe. Cette série explorera cinq thémathiques présentes au coeur de l'évènement : la révolution digitale, les bouleversements internationaux, l'environnement, la solidarité et l'innovation politique en Europe. Suivez le EYE et le Yo!Fest sur les réseaux sociaux.

Translated from Una vita da White Hat: incontro ravvicinato con un hacker "etico"