Roni Carta, le gentleman hacker

À 22 ans, Roni Carta a déjà piraté légalement Google à deux reprises. Ce jeune Grenoblois autodidacte a transformé sa passion pour l’informatique en une start-up prometteuse, Lupin & Holmes, spécialisée dans le bug bounty. Un parcours atypique qui mêle précocité et créativité.

 

Pirater Google : certains essaient, d’autres réussissent. C’est le cas de Roni Carta. Ce jeune hacker éthique de 22 ans a d’ailleurs réalisé cet exploit à deux reprises. “En 2023, en équipe, nous avons fini premiers, deuxièmes et troisièmes au classement”, indique-t-il, évoquant les 50 000 dollars offerts aux Most Valuable Hackers (Hackers les plus rentables) lors de cette session organisée par le géant américain. En début d’année, c’est une faille de sécurité sur Gemini, l’intelligence artificielle (IA) générative de Google, qui a permis à Roni de triompher à nouveau dans cette compétition organisée par la firme californienne.

 

Un apprentissage autodidacte

 

Une précocité que le jeune Grenoblois cultive depuis ses plus jeunes années. Entouré d’un père ingénieur et early adopter, il est tombé dans l’informatique très tôt. “J’ai eu la chance de toujours trouver chez moi les nouvelles technologies. C’était un privilège”, confie celui qui a fait ses gammes sur le matériel passé auparavant dans les mains de ses grands frères et sœurs. “Son père a toujours été très avant-gardiste”, assure Michael Dahan, ami de la famille et désormais collaborateur de Roni Carta au sein de son entreprise. “Quand j’avais un problème informatique, son père trouvait toujours une solution”, poursuit-il.

C’est ainsi, dès l’âge de 10 ans, que le futur hacker éthique a codé ses premiers jeux vidéo. “C’était un fantasme que j’avais”, souligne-t-il. Sur internet, il a appris le codage. “Je me suis concentré là-dessus et j’ai adoré”, se remémore-t-il, souriant. Cette période lui a aussi permis de trouver son modèle. “En grandissant, j’ai découvert Arsène Lupin et je suis tombé amoureux du personnage”, explique Roni. Sa capacité à contourner les systèmes établis a fasciné l’adolescent, qui a voulu devenir un “gentleman cambrioleur” à sa manière, en l’adaptant à sa passion pour l’informatique.

 

La découverte d’un nouveau monde

 

Il pensait découvrir le hacking. Mais, en creusant, il a découvert un monde à part entière, avec son jargon, sa communauté et une culture remontant aux années 1980. “J’ai rencontré des gens avec qui je partageais cette passion de vouloir contourner les systèmes”, raconte Roni Carta. “Cette culture repose largement sur la passion, l’éthique, la créativité, mais aussi une philosophie.” C’est au fil des compétitions, notamment les Capture the Flag (CTF), qu’il s’est distingué. “On pouvait pirater légalement et on s’amusait énormément”, se rappelle celui qui a décroché une deuxième place lors d’une finale à Valence.

“En voyant cela, ça interpelle”, confie Michael Dahan. “Il y a forcément quelque chose d’atypique à voir un jeune adolescent se démarquer parmi des adultes.” Cet ami de la famille met en parallèle la précocité de Roni avec son immersion dans le numérique dès son plus jeune âge. “Une telle maturité à son âge, c’est impressionnant.” Il évoque aussi la passion qui animait déjà le jeune hacker à l’époque. “Je le voyais aller et venir dans sa chambre, toujours plein de projets”, se souvient-il. “Il me demandait déjà mon MacBook à 14 ans pour essayer de le craquer.”

 

Le tournant du Bug Bounty…

 

La véritable révélation est survenue lors d’une compétition de hacking où des conférences traitaient du Bug Bounty. Ce challenge permet aux hackers éthiques de détecter des failles dans les systèmes des entreprises, en échange d’une rémunération. “Ils expliquaient que le piratage était important et que des entreprises pouvaient payer”, rapporte Roni Carta. “Je me suis dit : ‘let’s go !’”. Dès le lycée, l’adolescent a commencé à collaborer avec des entreprises autour de véritables données. “Là, tout a changé”, affirme-t-il.

Malgré ses exploits en hacking, Roni ne s’épanouissait pas en classe. “J’ai toujours été très nul !”, plaisante-t-il. “Il était en marge”, ajoute Michael Dahan. “On sentait qu’il n’était pas fait pour évoluer dans un cadre défini. Il fallait que sa créativité s’exprime.” Celui qui parle aujourd’hui de Roni comme “un petit génie aux compétences exceptionnelles” reste impressionné par la communauté de hackers. “J’ai pris un flot d’énergie à leur contact. Ce sont de bons gars qui donnent le meilleur d’eux-mêmes.”

Cette communauté, très soudée, partage de nombreux travaux. “On apprend beaucoup des autres”, indique Roni. En effet, des centaines de milliers d’articles sur le hacking expliquent les réalisations techniques. Certaines entreprises, comme Google, rendent publiques les failles découvertes par des hackers éthiques. “On entre dans une logique d’apprentissage pour que la communauté devienne meilleure. C’est un cercle vertueux”, conclut-il.

 

… avec 470 000 euros de gains à la clé

 

C’est la licorne ManoMano qui accueille Roni Carta pour son premier emploi après le bac. “Mon activité principale était le Bug Bounty.” Mais, au sein de cette start-up spécialisée dans le bricolage, le jeune adulte se sentait limité. “On manipulait les infrastructures et les employés, mais ensuite, on devait faire des réunions pour expliquer les bonnes pratiques”, raconte-t-il. Deux ans plus tard, avec son grand frère Oren, également passionné d’informatique et formé à l’école 42, ils décident de créer leur propre entreprise.

Avec un premier outil qui leur offre des résultats qu’ils jugent satisfaisants, ils décident de lancer leur start-up. Le choix du nom, Lupin & Holmes, fait référence à Arsène Lupin pour Roni et à Sherlock Holmes pour Oren, en clin d’œil à son esprit analytique. Désormais, l’entreprise se spécialise dans le Bug Bounty. Michael Dahan, directeur général de l’entreprise, décrit leur complicité : “Il n’y a pas de supériorité, juste un challenge bienveillant entre eux.” Les rôles sont clairement définis : Roni recherche les failles, tandis qu’Oren développe et standardise les solutions.

“À chaque faille de sécurité, on automatise et on revend la licence”, explique Roni Carta. Ce modèle économique a permis à la jeune start-up de gagner, uniquement grâce au Bug Bounty, près de 470 000 euros. Ce qui n’empêche pas le jeune entrepreneur de garder les pieds sur terre. “Un jour, je l’ai vu refuser une facture d’un prestataire, estimant qu’elle était sous-évaluée par rapport au travail fourni”, raconte Michael Dahan, qui explique que cette situation s’est ensuite reproduite à plusieurs reprises, de manière assez discrète. “À cet âge, avoir cet aspect humain qui consiste à valoriser les gens, ça aussi, c’est rare”, estime le directeur général de l’entreprise.