La frontière entre expert en cybersécurité et hacker est parfois floue pour certains. Notre chroniqueur Michel Juvin se met dans la peau d’un jeune spécialiste de la cyber qui s’interroge sur son avenir.
Je regarde autour de moi au cas où quelqu’un m’observe. Depuis mon passage à la Police, je suis devenu méfiant, même lorsque je ne suis plus devant ma plateforme d’ordinateurs. C’est peut-être une conséquence de mon travail de testeur d’intrusion dans les systèmes d’information !
Je tire sur la laisse de mon chien Monty, dont la joie instantanée me remonte le moral. Je le trouve super cool d’accepter de passer ses journées à me regarder travailler. De temps en temps, il vient me demander un peu de chaleur humaine et une paire de croquettes. Pas cher payé. Il a plu cette nuit. Je n’avais pas entendu, ni vu… C’est vrai qu’il n’y a pas beaucoup de lumière quand je bosse ! Il est 5h du matin, j’ai des frissons. Dehors, il fait froid. Je me demande comment Monty arrive à s’adapter à ce changement de température. Il doit avoir une carapace pour se protéger du monde extérieur. Comme si je pouvais traverser un environnement hostile sans VPN et tous mes comptes anonymisés. Il a bien de la chance ! Même le sol est ingrat, humide et glacé. Je marche et, finalement, cela me fait du bien de prendre un peu l’air. J’ai l’impression que rien ne s’arrange comme je voudrais en ce moment !
Dans la journée, je travaille sur un projet de contrôle des accès sur des machines qui sont souvent très mal configurées. Je dois tout reparamétrer et revoir régulièrement les droits des « admins » pour que les paramètres de la configuration de leurs comptes à privilège soient conformes aux réglementations dont l’entreprise est redevable. Parfois c’est à se demander comment il est possible de laisser autant de portes ouvertes sur des machines qui sont très souvent exposées sur Internet !
Sursaut au bruit des sirènes
Mon rôle consiste à travailler avec la « red team » pour tenter de trouver des failles de sécurité dans les systèmes d’information de mon client. Pour cela, j’ai développé des automates qui revoient les droits d’accès sur toutes les portes. Je recherche les nouvelles failles sur les systèmes de l’entreprise accessibles depuis le Net et tente de les essayer. Il me faut parfois concevoir des routines pour enchaîner des actions sous forme de tests d’intrusion. Cela prend du temps car il faut les revoir sur différentes configurations… puisque la majorité de ces machines sont mal configurées ; c’est du bricolage. Cependant, les remettre en sécurité me plaît, c’est utile.
Je sursaute au bruit d’une sirène d’un véhicule de police qui passe dans la rue. Cela me rappelle durement cet échange avec la police. La semaine dernière, j’avais essayé un de mes petits programmes sur une machine publique qui semblait n’avoir aucun rôle, pas de chance, c’était un leurre ! Convocation au commissariat et garde à vue (GAV) pour connaître mes droits avec un interrogatoire dont je vais me souvenir longtemps !
Il est vrai qu’en ce moment, les hackers font l’actualité juridique. Quand on voit les sanctions contre Frenchy : il a pris 4 ans de prison et 50 000 € d‘amende sans compter la confiscation du matériel et de ses comptes cryptos ! C’était le maximum réclamé par le procureur.
À vrai dire, je trouve que les personnes qui passent toutes leurs journées sur un ordinateur et qui ne font rien pour se protéger des cybercriminels sont responsables s’ils se font hacker et perdent leurs droits d’accès. Ils l’ont quelque part mérité ! En fait, c’est comme lorsque tu fais de l’alpinisme sur une paroi, tout va bien sauf quand tu dérapes et que tu n’as pas mis en place des sécurités pour te protéger.
Rappel à l’ordre
Du coup, je considère cette visite au commissariat et l’interrogatoire qui s’en est suivi comme un rappel à l’ordre démesuré. Après tout, je lance des programmes qui testent un peu plus que les failles de sécurité sur des machines accessibles sur Internet. Pour moi, c’est comme regarder par la fenêtre sans avoir eu besoin d’ouvrir une porte. C’est là que ma compréhension des faits diffère avec la commissaire. Elle m’a rappelé les principes constitutionnels de dignité et respect de la déclaration des droits de l’Homme de 1948 et la loi Godfrain (1988) : tester à tout autre fin que dans l’objectif de la sécurité informatique ou la recherche d’un mot de passe sur un serveur est légalement répréhensible de par la loi (cf. article 426-7) qui indique que les tentatives sont punies des mêmes peines que le délit. Elle m’a rappelé la protection du droit constitutionnel de propriété et l’intention criminelle de l’article 323-3 : la volonté libre et consciente d’introduire, d’extraire[1] et détenir, reproduire, modifier, supprimer, transmettre un bien d’autrui est puni de 5 ans de prison et 150 000 euros d’amendes ainsi que la confiscation des biens ayant servi à ce crime[2].
Elle m’indique que l’acte est réprimé et que les peines sont à la hauteur du préjudice de l’impact de leur injustice, tout cela sans oublier que le travail effectué par des experts techniques sur les ordinateurs (ou autres supports numériques recelant l’ADN) va prouver l’acte délictuel. Le travail de la Police consiste à expliquer qui a fait quoi et comment, pour présenter au procureur les éléments de preuves. Si ces derniers sont suffisants, le procureur va citer la personne devant le tribunal afin qu’elle soit jugée. C’est le magistrat du siège qui décidera in fine de retenir les éléments découverts comme preuves des faits.
Je regarde Monty et me demande pourquoi les chiens ne tentent pas toujours d’entrer en contact avec les autres chiens lorsqu’ils se croisent. Parfois, ils craignent leurs congénères, d’autres fois, ils ne veulent plus se quitter. Ils doivent sentir qu’ils sont en présence d’un danger. De même pour Internet, une fois que l’on sait comment passer des portes sans être vu, il y a un côté grisant à accéder à des contenus interdits. Ce n’est pas du voyeurisme mais juste une excitation ; une forme d’adrénaline qui te stimule et te donne toujours envie d’aller juste un peu plus loin dans l’exploration de ce nouvel espace. L’objectif ultime est d’être invisible et d’identifier les systèmes de détection d’intrusion et de passer sous leur radar. Là c’est le luxe. Tu passes la porte et personne ne te voit !
En fait, c’est ce que tu crois ! Mais tu as changé d’environnement et tu es en danger.
Il y a quelques jours, « 7RAC3 99 » a pris contact avec moi sur Discord. Derrière son pseudo, il me dit qu’il vient du froid et veut que je l’aide dans son job de protection de son client ; un confrère donc. Au bout de quelques messages, il propose de me rémunérer régulièrement pour l’aide que je pourrais lui apporter. Disposant d’un compte en crypto qui échappe aux impôts, il propose de l’alimenter tous les mois si je lance un de mes programmes sur des IP qu’il me donnerait. C’est intéressant, pour une fois que j’ai l’opportunité d’augmenter mes revenus et pouvoir les dépenser comme je veux, sans que les impôts puissent le remarquer…
On n’a pas tous les mêmes besoins. Pour Monty, quelques croquettes, de l’eau et surtout, quelques caresses chaleureuses ; il va pouvoir se reposer une bonne partie de la journée. Pour moi, même si j’aime bien, il faudrait aussi plus qu’une petite sieste entre mes tests sur les configurations des machines.
L’adrénaline et le bon côté de la Force
Pourtant, ce n’est pas si difficile de travailler dans la défense cyber : il suffit de réfléchir et de chercher ce que l’esprit humain a eu la flemme de bien faire correctement. C’est plutôt marrant de penser comme un hacker sans en être un ! La commissaire me l’a dit aussi : pour attraper les « malfaisants », il faut penser comme eux. Bon après dans mon métier, tu es plutôt du genre à avoir des insomnies et à utiliser une machine de guerre invisible aux yeux de tous au bout de tes doigts ! Et c’est à cet instant que frôler les barrières de sécurité des machines publiques devient un jeu passionnant mais risqué. Cette petite marche avec Monty et (surtout) le séjour en GAV m’ont donné l’occasion de réfléchir un peu…
J’aimerais continuer à avoir cette adrénaline en restant du bon côté de la Force : à la fois bien faire et faire du bien. En fait, c’est ce qui me correspond le mieux. La cyberdéfense est une démarche éthique donc responsable, ce n’est pas rien. Aller, c’est décidé, je vais m’inscrire aujourd’hui sur la plateforme de « bug bounty » de YesWeHack pour bénéficier d’un processus de rémunération légal et incitatif. Comme disait la commissaire, dans la vie il faut choisir entre être du bon côté de la loi ou savoir qu’un jour prochain, je risquerais d’être privé de liberté pour un bon moment. Elle m’a rappelé qu’à part les hackers qui ont fui à l’étranger (dans un pays dont la loi les protège) tous les e-criminels finissent par être pris et passent plusieurs années en prison. Surtout qu’en ce moment, les peines maximales requises sont appliquées ! Je divague un peu… mais je me demande ce que je pourrais faire à la sortie de prison. Mon CV serait difficile à défendre car on demande encore et toujours d’avoir un casier judiciaire vierge donc d’être honnête, pour recevoir la confiance des autres. Être un vrai hacker… c’est me condamner à changer de métier. À l’inverse, avec cette plateforme de bug bounty, j’aurais des challenges qui me permettraient de vivre ma passion tout en étant mieux rémunéré légalement.
Être en prison ou vivre comme une personne traquée, c’est également perdre en sociabilité ; ce ne doit pas être simple tous les jours. Je me dis qu’il y a une vraie différence entre les héros de cinéma et ceux de la vie réelle ! La preuve : je sursaute maintenant quand j’entends une sirène de police. Cela montre que je ne suis pas serein, mais angoissé voire stressé. Ok, c’est clair. Vivre du mauvais côté de la Force ne peut pas être un objectif de vie sur le long terme.
Ma décision est prise : je vais m’inscrire sur cette plateforme et apporter mon expérience et mon expertise contre des primes. Chasseur de primes, c’était un bon métier du temps du Far West. La classe. Je satisferai ma curiosité plus sereinement. Et je suis certain d’avoir la même adrénaline que si je le faisais de manière hors la loi ! De plus, sur cette plateforme, je pourrai avoir la possibilité d’échanger avec des personnes de confiance qui ont toutes fait le même choix que moi, et de donner plus de sens à mon expertise.
J’entends Monty souffler bruyamment sur son coussin comme s’il avait compris que j’avais pris une bonne décision. Une petite sieste et ce sera une belle journée tournée vers un nouveau métier sans danger.
[1] Ne pas oublier que l’extraction frauduleuse (copier sans nécessairement soustraire) est désormais réprimée tel un vol (cf. loi « anti-terrorisme » de 2014 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000029754374/ art 19 et suite)
[2] S’il s’agit d’un bien de l’Etat les peines sont portées à 7 ans et 300K€.