Une question toute bête : si vous aviez le choix, préféreriez-vous mettre un nom sur le visage de vos ennemis potentiels ou les ignorer superbement ?
En toute logique, il me semble que c’est la première proposition de la question que tout le monde plébisciterait. Et ce, d’autant plus que, ces ennemis potentiels, on pourrait bien les retourner et en faire d’excellents partenaires. C’est ce qui arrive en France et dans de nombreux pays occidentaux où les entreprises soucieuses de se protéger contre les attaques informatiques recourent à tour de bras au service de « hackers éthiques » ou « pirates pour le bien ».
C’est un nouveau corps de métier qui prend son envol et qui rémunère correctement ses « travailleurs », tous des as de l’informatique qui sont capables de rester connectés à leurs ordinateurs de longues heures pour chercher des failles de sécurité informatique dans le système internet des entreprises qu’ils « attaquent ». Cela s’appelle du « bug bounty » ou prime à la faille qui rémunère de 100 à 10.000 euros en fonction de l’importance de la faille.
En France, deux entreprises sont leaders du secteur : Yogosha, qui signifie « défense » en japonais, prix de la startup au Forum international de la cybersécurité (FIC 2019), et Yes We Hack « Oui, nous piratons ».
Selon l’AFP, ces deux entreprises qui ont pignon sur rue emploient chacune une quinzaine de personnes, et sont en pleine croissance. « Elles proposent aux entreprises et institutions, moyennant finance, les services de leur communauté de « pirates pour le bien ». Yes We Hack, probablement restée plus proche des communautés informelles de hackers, propose les services d’un vivier pouvant aller jusqu’à 6 500 personnes, qui se renouvelle régulièrement, à raison de 150/200 arrivées et départs par mois. Yogosha, qui cherche à « industrialiser la démarche » selon les mots de son dirigeant Yassir Kazar, propose une communauté plus étroite de 500 personnes, recrutée après des tests en ligne sévères ».
On peut l’imaginer aisément, les hackers éthiques sont des gens qui ont besoin de stimulation intellectuelle ; une fois que cette condition première est remplie, alors plus rien ne les retient. Le modus operandi est simple : « via la plateforme, les clients bloquent un volume de primes mises en jeu -un client de Yogosha a accepté de mettre un montant cumulé de 200 000 euros-, et la meute se lance contre leurs systèmes, en toute légalité.
Manuel Dorne, alias Korben, 36 ans, l’un des co-fondateurs de Yes We Hack, est formel : « Si le client verse de belles récompenses, il y aura plus de monde à chercher, plus de failles seront trouvées, et il aura plus de sécurité ». Dans un plaidoyer pro domo, Alain Tiemblo, 34 ans, responsable de la sécurité des applications Blablacar, soutient que la pluralité de regards qu’apportent des sociétés de bug bounty est irremplaçable. Et d’indiquer que « Les développeurs qui conçoivent les plateformes ne connaissent pas tout des techniques qu’ils emploient (…). Les hackers, eux, sont tous spécialistes d’au moins une ou deux techniques, et verront la faille que le développeur n’a pas vu ».
Pour faire plus caricatural, c’est comme si Bill Gates accrochait une annonce à l’endroit des hackers : « venez attaquer le système d’exploitation Windows et j’offre une récompense à ceux qui découvriraient ses failles ».
Au jeu, tout le monde s’en met plein les poches ; la plateforme Yogosha confesse qu’elle prend jusqu’à 25% de commission sur les primes mises en jeu. Elle donne aussi des indications sur son réservoir de hackers qui serait inépuisable. « Nous en avons 4 000 en liste d’attente », assure un de ses dirigeants, qui poursuit : « La plupart de ces pirates pour le bien sont des passionnés, ravis de pouvoir gagner un peu d’argent en jouant à leur jeu préféré: être plus malin que le système ».
Même le ministère des Armées succombe aux charmes des « hackers éthiques » ; Florence Parly, la ministre, a déclaré que son département va recourir aux services de ces génies informatiques via la plateforme Yes We Hack. D’autant plus que Mme Parly vient de dévoiler la nouvelle doctrine française en matière de cyberdéfense qui marque une nette évolution : jusque-là défensive, elle pourrait dorénavant porter la charge dans le camp adverse
Rien qu’en 2017, 700 incidents de sécurité, dont une centaine d’attaques, ont ciblé les réseaux du ministère. L’année dernière, ce même nombre a été atteint dès septembre, vient de révéler la ministre des Armées Florence Parly. « Ce sont donc plus de deux incidents de sécurité par jour qui ont touché tout autant notre ministère, nos opérations, nos expertises techniques et même un hôpital d’instruction des Armées (…) Sans notre vigilance, c’est toute notre chaîne d’alimentation en carburant de la Marine nationale qui aurait été exposée », a révélé Florence Parly.
On comprend dès lors que des « hackers éthiques » soient les bienvenus pour aider les militaires conventionnels à déjouer ces attaques plusieurs fois quotidiennes qui touchent le cœur de la République.
Serge De MERIDIO
Source: Inf@Sept