“Les hackers combattent les problèmes avant même que les entreprises n’en soient conscientes”

Voici comment le Larousse en ligne définit un hacker : Personne qui, par jeu, goût du défi ou souci de notoriété, cherche à contourner les protections d’un logiciel, à s’introduire frauduleusement dans un système ou un réseau informatique. (Recommandation officielle : fouineur.)”

Cette définition, un peu désuète, traduit bien l’image encore négative des hackers qui prévaut dans l’imaginaire populaire. Les individus qui composent cette catégorie méritent mieux que cette acception méfiante : c’est le message qu’est venue faire passer à Paris Keren Elazari, vêtements noirs, longs cheveux noirs teintés de rouge, hackeuse experte en cybersécurité à l’université de Tel-Aviv. Elle était l’invitée de la conférence USI Events 2017, le 20 juin. We Demain l’a rencontrée.

Pourriez-vous nous donner votre définition du hacker ?
 
Pour moi, un hacker est quelqu’un qui est toujours curieux, qui n’est pas heureux du statu quo de la réalité, et qui pousse toujours pour le changer. Ce sont les mêmes personnes qui, lorsqu’ils entendent à l’école “voici les règles”, vont demander : “Pourquoi ? Est-ce que je peux faire différemment ?”
 
Non pas parce qu’ils sont destructeurs, mais par curiosité, parce qu’ils ne s’en contentent pas. Ils n’acceptent pas la mentalité “souris et tais-toi”. Face au monde, ils posent des questions. Je pense que les artistes et les hackers sont très similaires. Ils regardent la réalité, s’en inspirent pour dire : “Ok, quoi d’autres ? Quoi de plus ? Comment le changer ?”
 
C’est donc un état d’esprit d’explorateur, très innovant. Alors bien sûr, parfois, on casse des choses. Mais les hackers combattent les problèmes avant même que les entreprises n’en soient conscientes. Il y a par exemple Barnaby Jack, grâce à qui la FDA [Food and Drug Administration, ndlr] a instauré de nouvelles règles pour les pompes à insuline aux États-Unis, ou Chris Valasek et Charlie Miller qui ont obligé Fiat Chrysler à rappeler 1,4 millions de véhicules pour une mise à jour.

“Si c’est gratuit, c’est que vous êtes le produit”

Avec l’arrivée des objets connectés, vous rappelez que l’intérêt n’est pas tant pour le consommateur que pour les entreprises.
 
Je pense que nous sommes seulement au début de l’ère numérique. Ces dix dernières années, nous avons numérisé de plus en plus d’aspects de nos vies. Nous utilisons tous des applications, des données qui ne sont même pas sur nos téléphones mais sur le cloud. Et tout ça est arrivé soudainement, mais nous y sommes déjà tellement habitués que nous ne pourrions même pas faire marche arrière.
 
Imaginez, vous utilisez une brosse à dents électronique, qui enregistre donc l’info que vous êtes bientôt prêt à aller au travail et vous appelle un Uber. C’est confortable, mais ce n’est pas vraiment un service dont nous avons besoin. Par contre, c’est le type d’information que recherche la compagnie.

Il y a cette phrase très connue que vous avez probablement entendue : “Si c’est gratuit, c’est que vous êtes le produit”. La réalité, c’est que nous sommes montés dans le train de ce monde numérique, et nous donnons accès à certains aspects de notre vie privée, pour obtenir des services gratuits. Et nous sommes très heureux de connecter nos téléphones, nos voitures, peut-être bientôt nos corps, mais nous ne voyons pas le prix que nous payons et les risques que nous prenons.

Des piqûres de rappel très aggressives

Est-ce à ce niveau qu’interviennent les hackers ?
 
Oui. L’une des raisons pour lesquelles les gens se méfient tellement des hackers, qu’ils les diabolisent, c’est parce qu’ils sont un signal d’alarme désagréable. Quand quelque chose est piraté, c’est un rappel très brutal de notre dépendance, alors que nous vivons beaucoup dans le déni ou que nous ne comprenons pas bien les enjeux.
 
Je pense que l’attaque Wannacry ou le botnet Mirai en octobre 2016, furent des signaux d’alarme majeurs, des piqûres de rappel très agressives. Je ne dis pas que le rançongiciel ou le botnet sont une bonne chose. Ce sont des actes criminels qui mettent des vies en danger. Mais ça a aussi entrainé les gens, en réaction, à changer leurs mots de passe, à faire des sauvegardes, à télécharger des antivirus.
 

Si nous ne vivions pas à l’ère numérique, à votre avis, qui seraient ces hackers ? Quels seraient leurs profils ?
 
Je pense tout d’abord que ce seraient des ingénieurs, des personnes qui fabriquent, comme des horlogers, des fabricants de coffre-fort, des inventeurs, avec de nouvelles idées qu’ils arrivent à concrétiser, même quand tout le monde leur dit que c’est impossible.
 
Je pense aussi qu’il y a définitivement une dimension politique et social chez les hackers, une volonté de pousser au changement, de ne pas se contenter de la réalité, de faire les choses différemment.

Donc un esprit révolutionnaire ?
 
Oui, vous pouvez dire ça. Aujourd’hui, dans le monde, tous les hackers ne sont pas motivés par des idées politiques. Je pense d’ailleurs qu’en Europe et en Afrique du Nord, c’est plus le cas qu’aux États-Unis.
 
En Angleterre, il y a une industrie de la cybersécurité très développée, comme en Israël. Donc les débouchés professionnels pour les hackers sont là-bas. Ils sont plus punk rock, comme ce des années 1970, contre l’ordre établi, à qui ils aiment démontrer ce qu’ils sont capables de faire.
 

Les hackers, garants de la libre circulation de l’information

Il existe une volonté de plus en plus forte de contrôler les informations, de maîtriser la communication, que ce soit par les entreprises ou les États. Les hackers peuvent-ils être les garants d’une libre circulation de l’information sur Internet…
 
Vous voyez… [en montrant la manche de son T-shirt] l’EFF, l’electronic frontier foundation. C’est une organisation présente surtout aux États-Unis, qui travaille pour défendre la liberté d’expression, qui se bat devant les tribunaux contre la censure d’internet ou pour qu’un individu puisse crypter ses informations sans être systématiquement catalogué comme un criminel. Ils se financent grâce aux dons des hackers. Ils sont un peu comme le mouvement des droits civiques à l’ère d’Internet.
 
À Toronto, il y a un autre groupe de hackers, Citizenlab, qui propose des ateliers pour apprendre aux journalistes comment se protéger contre la surveillance et la censure. Mais aussi comment protéger leurs sources dans des zones de guerre ou dans les pays où il n’y pas de liberté de la presse.

Qu’en est-il du collectif Anonymous ?

Au sein d’Anonymous, lors de ses premières années, il y avait un accord tacite, largement partagé, sur le fait que le groupe ne devait pas attaquer les médias. Aujourd’hui, c’est devenu plus mainstream, comme une marque du hacking, et beaucoup de hackers présents à l’origine s’en sont détournés.
 
Tous, bien sûr, ne sont pas des anges. Et certains sont convaincus du bien fondé de leurs actions, mais utilisent des manières de faire criminelles, ou des techniques assez agressives.

Comment faire pour que ces “gentils hackers” soient reconnus, et leur travail valorisé ?
 
Heureusement, il existe de plus en plus de collaborations aujourd’hui entre ces hackers et les entreprises, ou même les gouvernements. En 2016, le Pentagone a lancé un concours, appelant les hackers à tester son système. En 30 minutes, la première faille dans un rapport valide était signalée. Au final, il y en a eu plus de 200 !
 
Tesla développe aussi beaucoup cet esprit de collaboration, avec des olympiades pour hackers dont le but est de trouver les failles de leurs véhicules. Les programmes comme ceux-là, appelés bug bounty program” [en référence aux chasseurs de prime, ndlr], sont assortis d’une récompense financière qui varie, autour de 5 000 dollars.
 
Ils offrent des opportunités dans le monde entier, et notamment dans des pays où avant, quand tu étais hacker et que tu trouvais des failles, tu n’avais qu’une option, la criminalité, pour gagner de l’argent. Parfois les plus jeunes ne se rendent même pas compte qu’ils font quelque chose d’illégal.
 
Il y a donc les programmes collaboratifs, mais il faut aussi changer la législation, par exemple le Computer Fraud and Abuse Act aux États-Unis, ou les règlements internes des entreprises, pour avoir le droit de trouver des failles sans être criminalisé.

Propos recueillis par Joseph Bancaud.
 

Retrouvez ci-dessus l’intervention de Keren Elazari pendant l’USI le 20 juin à Paris.

Recent Posts

  • Découvrir

Tout comprendre au biomimétisme : s’inspirer du vivant pour innover

Le biomimétisme, ou l'art d'innover en s'inspirant du vivant, offre des solutions aussi ingénieuses qu'économes…

9 heures ago
  • Déchiffrer

Christophe Cordonnier (Lagoped) : Coton, polyester… “Il faut accepter que les données scientifiques remettent en question nos certitudes”

Cofondateur de la marque de vêtements techniques Lagoped, Christophe Cordonnier défend l'adoption de l'Éco-Score dans…

1 jour ago
  • Ralentir

Et si on interdisait le Black Friday pour en faire un jour dédié à la réparation ?

Chaque année, comme un rituel bien huilé, le Black Friday déferle dans nos newsletters, les…

1 jour ago
  • Partager

Bluesky : l’ascension fulgurante d’un réseau social qui se veut bienveillant

Fondé par une femme, Jay Graber, le réseau social Bluesky compte plus de 20 millions…

2 jours ago
  • Déchiffrer

COP29 : l’Accord de Paris est en jeu

À la COP29 de Bakou, les pays en développement attendent des engagements financiers à la…

3 jours ago
  • Déchiffrer

Thomas Breuzard (Norsys) : “La nature devient notre actionnaire avec droit de vote au conseil d’administration”

Pourquoi et comment un groupe français de services numériques décide de mettre la nature au…

4 jours ago