« Rien n’est inviolable »

Raphaël Brun
-

Le hacker français Baptiste Robert, connu sous le pseudonyme d’« Elliot Alderson », est devenu célèbre en mettant en évidence les failles de divers sites et applications. Monaco Hebdo a évoqué avec lui le projet de cloud souverain monégasque. Interview.

Le gouvernement envisage de lancer son cloud souverain à Monaco, avec une copie au Luxembourg : est-ce que ce pays offre une plus grande sécurité ?

Le Luxembourg n’est pas particulièrement connu pour la sécurité de son cloud. Pas plus que d’autres pays, en tout cas.

D’ici 2020, Monaco veut stocker les données de santé des monégasques et des résidents : ce sont des données sensibles qui intéressent les hackers ?

Par définition, les données de santé sont des données sensibles qui intéressent les hackers, car elles valent de l’argent. Surtout que ces fichiers concerneront potentiellement des personnes extrêmement riches, susceptibles ensuite d’être victimes de cyber-harcèlement ou de racket. Mais il ne faut pas oublier une chose : une donnée qui est sur internet est une donnée qui ne vous appartient plus. Quel que soit le degré de sécurité, au Luxembourg ou pas, il faut partir du principe que quelqu’un d’autre peut accéder à ces données, même dans un cloud sécurisé.

Du côté des futurs usagers de ce cloud, quelle est l’attitude à avoir ?

Chaque usager doit consentir en amont à ce que l’on mette son dossier médical dans ce cloud sécurisé. Il ne faut donc pas que le dossier médical de chaque personne soit mis dans le cloud par défaut. Ensuite, à tout moment, chaque personne doit pouvoir demander quelles sont les données que l’on possède sur elle. Elle doit aussi pouvoir demander la suppression de toutes les données la concernant, si elle le désire.

Si on demande que notre dossier médical soit effacé, comment s’assurer que c’est bien le cas ?

Si on ne veut pas que ses données se retrouvent sur internet, il ne faut pas les mettre. Cela peut sembler évident, mais c’est la première des choses à laquelle il faut penser. Or, il faut savoir que dans les data center les serveurs font très régulièrement des sauvegardes. Ainsi, en cas d’incendie par exemple, si tous les serveurs s’éteignent en même temps, il est possible de revenir à une image antérieure, dès que les serveurs repartiront. Cela permet de proposer les mêmes services que quelques instants avant l’incendie.

Ces sauvegardes sont donc efficaces ?

Oui. Mais, en revanche, si une personne a demandé l’effacement de son dossier juste avant l’incendie, il est possible que lorsque le système sera remis en fonctionnement, il reste des copies de son dossier. On peut aussi imaginer qu’une personne malveillante, un ingénieur, un développeur ou un technicien qui a accès à ces dossiers, ait pu faire une copie sur une clé USB. Du coup, il faut bien comprendre que les menaces sont multiples. Car une fois que les données sont disponibles dans le cloud, elles sont alors potentiellement à la disposition de beaucoup de personnes.

Dans un cloud, qui gère quoi ?

Même si rien n’est sans doute encore décidé pour Monaco, l’un des scénarios les plus probables consiste pour la principauté à faire appel à une entreprise privée pour gérer ce cloud, les serveurs, le site internet associés et des services software. Or, lorsqu’on mêle des intérêts privés à un intérêt public, il faut être extrêmement prudent. Il faut être très attentif avec ses prestataires, avec la façon dont les données sont gérées.

Quel niveau de sécurité un Etat peut-il garantir à ses administrés ?

La règle de base, c’est que rien n’est inviolable. Si quelqu’un prétend l’inverse, c’est un mensonge. Avec du temps, de l’argent et de la motivation, tout système est cassable. Les exemples qui attestent de cela sont légion. On peut citer par exemple le site du FBI qui a déjà été hacké. Ce qui signifie que même les plus spécialistes des spécialistes se font hacker par d’autres spécialistes.

Vous n’exagérez pas un peu ?

J’imagine que beaucoup de Monégasques et de résidents possèdent un iPhone. Depuis des années, chez Apple, des centaines de personnes travaillent sur la sécurité de l’iPhone : des ingénieurs, des experts très compétents, avec un très haut niveau d’étude. Or, aujourd’hui, il est toujours possible de hacker un iPhone. Il n’y a donc rien d’inviolable. Il faut seulement que les gens le sachent et qu’ils prennent le risque en connaissance de cause.

Mais alors, quelle est la solution la plus sûre ?

C’est de ne pas publier ses données personnelles dans un cloud, ou, en général, sur internet. Mais pour prendre la bonne décision, il faut faire ce que j’appelle un « état de menace ». Cet état de menace ne sera pas le même si on est le fondateur d’EasyJet ou si on est une personne lambda. A priori, une personne « banale » a peu de raisons de voir des gens se motiver et engager beaucoup d’efforts pour la hacker.

Et dans le cas d’une personnalité ou de quelqu’un qui a beaucoup d’argent ?

Un chef d’entreprise, un journaliste qui travaille sur des sujets sensibles, un homme politique qui gère des marchés d’Etat seront, par exemple, des cibles plus intéressantes.

Mais ces gens pour qui la menace est plus grande vont déjà à peu près tous chez le médecin ou à l’hôpital et laissent donc des traces numériques !

C’est vrai. Il existe donc, quelque part, des dossiers les concernant. Mais si ces dossiers sont mis en ligne, cela rend les choses plus faciles, si on souhaite les dérober. Car aller voler des dossiers « papiers », c’est très différent : cela suppose un cambriolage. C’est donc plus complexe. Même si voler des ordinateurs, ça s’est déjà vu…

Pirater un cloud nécessite une grosse logistique ?

Un hacking se déroule à distance. Il faut mettre quelques “geeks” dans une même pièce et les laisser travailler dans la durée.

Si Monaco met beaucoup d’argent dans la sécurisation de son futur cloud, cela peut permettre d’atteindre un très haut niveau de sécurité ?

Je vais reprendre l’exemple d’Apple qui a plus d’argent que Monaco et dont l’iPhone est toujours hackable. Or, au niveau marketing, vendre un smartphone qui n’est pas sûr, c’est très mauvais. Si Monaco dispose d’un budget conséquent, tant mieux, même si cela ne garantira pas forcément la meilleure sécurité du monde.

Qu’est-ce qui est réellement stratégique alors pour se protéger du mieux possible ?

Ce qui est souvent décisif, c’est la coordination et la capacité à s’entourer des bonnes personnes.

En novembre 2018, la Suisse a fait appel à des hackers pour tester sa plateforme de vote électronique : Monaco devrait s’en inspirer ?

J’ai participé à ce genre d’opération début février 2019. Des entreprises privées ou publiques font de plus en plus appel à des gens comme moi. L’idée est simple : on met une dizaine de hackers dans une pièce pendant quelques jours pour tester un système.

Les avantages de ce type de test ?

En général, les grandes entreprises ont des procédures très lourdes, qui impliquent beaucoup de salariés, avec une hiérarchie relativement lourde. Ce qui est intéressant dans cette démarche, c’est que les 10 hackers vont penser en dehors du fonctionnement de l’entreprise. Ils vont prendre le système et essayer de le comprendre, de l’extérieur, sans l’avoir fabriqué. Et ils vont essayer de trouver les moyens pour détourner le système.

C’est quoi le vrai sens du mot « hacker » ?

Hacker, c’est prendre un système sans avoir connaissance de son fonctionnement interne, puis essayer de comprendre comment ce système fonctionne et tenter de détourner l’utilisation de base de ce système. Il faut parvenir à penser aux choses auxquelles les développeurs n’ont pas pensé, lorsqu’ils ont créé le système. Cette démarche permet aux gouvernements ou aux entreprises de parvenir à identifier des failles qu’ils n’avaient pas pu détecter.

Ca coûte combien ce genre de test ?

Aujourd’hui, des sites internet rémunèrent des hackers pour trouver des bugs. Ce type de programme est appelé “bug bounty”. Les entreprises rémunèrent les hackers selon le type de bug trouvé dans leurs applications. Les tarifs sont très variables selon la taille de l’entreprise, selon qu’il s’agisse d’une application pour smartphone ou tablette, d’un site internet. Mais les plus gros bugs peuvent valoir entre 15 000 et 20 000 euros. Et les plus petits sont autour de 500 euros. Pour un projet comme celui de Monaco, dépenser 100 000 ou 200 000 euros dans ce type de programme me semble une bonne idée.

Que le cloud monégasque soit installé au Luxembourg ou à Monaco, ça ne change rien à son niveau de sécurité ?

Si ce cloud est installé à Monaco, il est possible d’installer des vigiles et de contrôler les accès de ce data center comme la principauté le souhaitera. Si ce cloud est lancé au Luxembourg, il faudra prévoir une surveillance très étroite, pour savoir qui est accrédité pour travailler dans ce data center et éviter ainsi tout acte malveillant.

Qu’entend-on exactement par « sécurité » lorsqu’on parle d’un cloud souverain ?

La sécurité est multiple. Il y a d’abord la sécurité matérielle, avec l’accès aux ordinateurs. Il faut être capable d’empêcher que l’on puisse venir se brancher dessus pour voler les données de ce cloud. Ensuite, il y a aussi la sécurité du logiciel qui va tourner au-dessus de ce cloud, à savoir le site internet ou le logiciel que vont utiliser les médecins ou les patients. Or, le site internet ou le logiciel peuvent aussi comporter des failles. Donc, quand on parle de sécurité, il faut considérer chaque partie du système et identifier une à une chaque menace potentielle.

Dans le monde du hacking, les données de santé, ça vaut beaucoup d’argent ?

Oui, il est évident que les données de santé de personnes avec de très hauts revenus intéressent les hackers.

Dans sa communication, le gouvernement monégasque parle de « coffre-fort numérique » et multiplie les références sécuritaires : face à ce type de communication, comment réagissent les hackers ?

Il faut savoir qu’à ce niveau-là, les hackers sont relativement bêtes. C’est un milieu où il y a beaucoup d’ego. Ce sont des gens qui adorent le challenge et qui aiment montrer qu’ils savent casser ce qui a été montré comme incassable. Le meilleur moyen de se faire hacker, c’est donc d’attirer l’attention en disant qu’un système est incassable. Si Monaco lance son futur cloud en disant qu’il est incassable, deux jours après tous les hackers auront les yeux braqués sur la principauté.

 

Qui est Baptiste Robert ?

Baptiste Robert est un informaticien toulousain de 29 ans. Ce pirate hacktiviste s’est fait remarquer à plusieurs reprises en parvenant à mettre en évidence une série de failles dans des sites internet ou des applications. En avril 2018, il a piraté l’application mobile, NaMo, destinée à suivre l’actualité du Premier ministre indien Narendra Modi. Ce qui lui a permis de démontrer que cette application transmettait secrètement à une entreprise américaine les données personnelles des 5 millions d’utilisateurs de NaMo, sans qu’ils n’en soient informés. Ce coup de force a provoqué un débat musclé au Parlement indien. Fin janvier 2019, Baptiste Robert a révélé une faille de sécurité dans l’application GJ-France, très utilisée par beaucoup de gilets jaunes. Lancée sur Android et développée par des gilets jaunes bénévoles, cette application permet notamment à chaque utilisateur de se déclarer lors d’une mobilisation. Objectif : afficher dans la rubrique « les vrais chiffres des gilets jaunes » un compteur qui ne soit pas celui proposé par les forces de l’ordre à l’issue des manifestations du week-end. Mais dans une vidéo, Baptiste Robert a montré qu’une seule ligne de code permettait de modifier ce compteur. « Etre capable de modifier à distance les données affichées pour l’ensemble des utilisateurs fait partie des choses les plus graves en termes de sécurité. On est loin de la faille “bidon”, estime Baptiste Robert sur Twitter. Je ne suis pas le seul à avoir modifié ce compteur. De nombreuses personnes l’ont artificiellement fait gonfler. » En 2016, Baptiste Robert a créé son entreprise fsociety, inspirée par le nom d’un groupe de pirates dans la série télévisée américain Mr Robot. Visiblement fan de cette série, il utilise également le nom du héros de ce programme télé, Elliot Alderson, comme pseudonyme sur Twitter. 

 

Suite du dossier :

Dominique Riban : « les attaques sont multi-sectorielles et protéiformes »

 

journalistRaphaël Brun