Et si on écoutait les hackers ?

(+12 rating, 12 votes)

Ce post est une contribution spontanée de Faith (pseudo), hacker, que j’ai rencontrée la semaine dernière. Pour elle, le hacking est une philosophie, comme en témoigne le texte mis en exergue sur son profil Facebook : “Oui, je suis un criminel. Mon crime est celui de la curiosité. Mon crime est celui de juger les gens par ce qu’ils pensent et disent, pas selon leur apparence. Mon crime est de vous surpasser, quelque chose que vous ne me pardonnerez jamais.” (Extrait de The Mentor, The Conscience of a Hacker, 1986, paru dans le numéro 7 du magazine électronique Phrack). Au cours d’une conversation passionnante, Faith m’a convaincu de l’urgence de sensibiliser les entreprises et les institutions aux risques informatiques, et de l’intérêt de modifier notre rapport au hacking. Je publie ci-dessous in extenso le texte qu’elle m’a fait parvenir, intitulé, non sans humour, “Sécurité mon amour”.

Sécurité mon amour

On parle beaucoup des hackers, des script-kiddies, des hacktivistes, en mélangeant allégrement les genres et les mots, de façon à en faire une belle salade, que ce soit les médias, qui viennent récemment de nous traiter d’agents infiltrés de la CIA, des politiques qui voient des hackers roumains du KGB à tous les coins d’ordinateurs (copyright Christian Vanneste) ou encore les chefs d’entreprise qui expriment parfois, à leurs corps défendant, une sorte de mépris. Manque de bol pour ces derniers, la gestuelle ne ment pas (docteur Lightman inside me). Trêve de bavardages, entrons dans le vif du sujet.

A neuf mois des élections présidentielles, on glose beaucoup sur la présence numérique des candidats sur les réseaux sociaux. Mais le fait est que cette présence, qu’elle soit effective ou non, ne cache pas une méconnaissance flagrante de l’informatique, au sens très large du terme et le résultat est plutôt flagrant : des rigolos viennent s’introduire dans des failles de sécurité tellement béantes que je n’ose même plus parler de trous mais plutôt de boulevards. La faute à qui ? Tout d’abord à tout ceux qui font passer la sécurité en fin de priorité. Que ce soit les entreprises ou les institutions, les questions de sécurité informatique sont toujours placés en fin de budget et de priorité. Résultats ? On fait du bricolage informatique avec des outils qui permettent de faire des sites sans même coder, au motif que c’est peu onéreux. Conséquences ? Attaques informatiques en tout genre, du defacement au leaks en passant par le dDoS, récemment qualifié par Muriel Marland Militelo d’attaques terroristes.

Loin de moi l’idée de minimiser une attaque informatique, qui a des conséquences réelles mais pour donner dans une analogie que tout le monde comprendra aisément : faire un site à la va-vite sans investissements quelconques, que ce soit financier ou en temps, revient à laisser la porte de chez soi grande ouverte quand on part faire des courses. Etonnez-vous que des petits malins viennent squatter vos infrastructures. Pourtant, en France, nous avons des textes de lois qui punissent les entreprises qui auraient fait preuve de négligence blâmable quant à la sécurité. Mais aucune condamnation n’a été répertoriée.

J’évoquais plus haut le mépris dont font preuve les entreprises et le pire est que j’ai des exemples extrêmement concrets pour illustrer mon propos. Ainsi ai-je vu passer sur ma TL des personnes avec un certain niveau en informatique, signaler aux personnes compétentes des failles de sécurité dans leur site et proposer gratuitement (oui gratuitement) de réparer les dites failles. Aucune réponse. Encore récemment, un chef d’entreprise m’a téléphoné pour me demander de lui indiquer des personnes compétentes pour un audit de sécurité. Une foule de noms me viennent en tête et je me réjouis à l’idée de faire bosser des copains. Et le dit chef d’entreprise de me dire qu’il ne veut pas les personnes que je propos,e mais plutôt des consultants ! Oui parce que tu comprends, les hackers, ça fait peur (et en plus ça rime). Oui sauf que les consultants qu’ils me demandent ne sont pas compétents.

Ok, bon, on va faire de l’étymologie pour les nuls : un hacker est un bidouilleur, c’est quelqu’un qui va chercher à comprendre une machine. Oui effectivement, je concède qu’à force de bidouiller les machines et les réseaux, on finit par avoir un côté un peu autiste et qu’on est peut-être pas les plus doués pour communiquer avec des êtres humains. Mais, nous avons deux grandes forces. La nature du milieu fait que nous sommes, la plupart d’entre-nous, relativement humbles. Il y a une espèce d’émulation qui fait qu’il est difficile d’occulter le fait qu’il y a toujours meilleur que nous. Ainsi avais-je été impressionné par un adolescent de 15ans qui avait un véritable bagage en informatique, qui m’avait scotchée non seulement par ses connaissances, par sa maturité mais aussi par son humilité. Le pire étant que s’il tombe sur ses lignes, je suis prête à parier qu’il ne se reconnaîtra même pas.

La deuxième force découle de la première : dans la mesure où nous gardons en tête qu’il y a toujours meilleur que nous, nous apprenons tous les jours, nous pratiquons tous les jours. On lit, on invente, on s’exerce, on s’entraîne, on s’aide. Le bosseur recevra attention et coup de main. Le feignant sera dégagé, d’où un mépris pour les script-kiddies qui ne sont que des flemmards qui utilisent des outils mêmes pas codés par eux pour pourrir d’autres personnes. Aucun intérêt. Ce qui est recherché, c’est la performance même si ce n’est pas toujours le point principal.

Les grands méchants hackers ne s’infiltrent que là où ils peuvent s’infiltrer. C’est aux entreprises et aux institutions d’intégrer certains fondamentaux notamment le fait que la sécurité d’une infrastructure doit être une priorité, bien avant la communication et le marketing. Des sociétés comme Microsoft dépensent des fortunes pour des campagnes de publicité mais leurs dernières OS sont des betas vérolées. Android fait tout pour draguer de nouveaux clients en misant sur le design et la publicité et les vulnérabilités de leur OS circulent joyeusement en vidéos sur la Toile. Si Apple faisait preuve d’autant d’imagination et de talent dans ses systèmes de sécurité que dans ces campagnes de pub, ça serait magnifique.

On pourrait continuer à énumérer toutes les incohérences des entreprises en la matière mais au bout d’un moment, on a surtout envie de dire à ces dernières de prendre leurs responsabilités. Quant aux politiques, ce n’est pas la peine de jeter l’opprobre sur ce que vous appelez les hackers si vous ne faites ni l’effort d’appliquer certaines règles de droit existantes ni de comprendre comment les choses fonctionnent.

A bon entendeur…

Faith.