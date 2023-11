L'État a mis en ligne une annonce promettant jusqu'à 20.000 euros aux pirates informatiques lui signalant des "failles critiques" sur son portail FranceConnect. De plus en plus d'entreprises, d'administrations ou de particuliers font appel à ces "hackeurs éthiques" pour sécuriser leurs systèmes numériques. Clément Domingo, qui a fait de ce piratage légal sa spécialité, explique à TF1info l'utilité de cette activité méconnue.

Pirater un serveur gouvernemental... en y étant encouragé par l'État ! La Direction interministérielle du numérique (Dinum) a publié une annonce en ligne promettant aux hackeurs jusqu'à 20.000 euros pour quiconque lui signalant des "failles critiques" sur son portail France Connect, permettant à des millions de citoyens de s'authentifier sur différents services en ligne officiels. Absurde ? Loin de là : cette proposition ne constitue rien d'autre qu'un exemple de "hacking éthique".

Méconnue, cette pratique est à distinguer des méthodes illégales des cybercriminels, qui aspirent les données d'internautes, d'entreprises ou d'organismes officiels pour ensuite les revendre sur le darkweb. Les "hackeurs éthiques", eux, se situent à l'opposé de cette démarche. Leur objectif ? "Comprendre les systèmes informatiques et aider à mieux les sécuriser", explique à TF1info Clément Domingo, un des précurseurs en France en matière de "hacking éthique". Aujourd'hui âgé de 32 ans, ce passionné de numérique opère depuis une dizaine d'années dans le milieu, et tâche de sensibiliser à la cybersécurité grâce à ses talents de "hackeur".

"Chasseurs de primes numériques"

Doctolib, Tencent, Deezer... De nombreuses sociétés, mais aussi certaines administrations, proposent des missions de "hacking éthique" sur des sites spécialisés, comme YesWeHack, une plateforme mettant en lien ces clients avec les spécialistes potentiels. À la clé ? Des récompenses financières, allant parfois de quelques dizaines d'euros, à plusieurs milliers d'euros, selon l'ampleur des anomalies détectées dans les systèmes informatiques par les pirates. Ce système donnant-donnant est appelé dans le milieu le "Bug Bounty", pour "chasse aux bugs".

"C'est un peu comme au XIXe siècle dans le Far West, à l'époque des shérifs et des saloons, image Clément Domingo. À cette période, il y avait des avis de recherche de fugitifs, avec "Wanted" inscrit dessus et le prix alloué à celui qui le retrouvera. Le Bug Bounty, c'est pareil : on est un peu des 'chasseurs de primes numériques'." Pour cet ingénieur en cybersécurité, pas de doute : le "hacking éthique" constitue un excellent moyen d'améliorer la sécurité informatique de nombreux acteurs sur le web. Son mantra ? La "sensibilisation positive" aux risques encourus via les outils numériques.

Faux cours de yoga et mot de passe identique

Une prévention dont il convient, selon lui, de multiplier les formes. Au-delà du Bug Bounty, Clément Domingo et ses collègues se rendent souvent dans de grands groupes du CAC40 pour tester leur cybersécurité. Pendant plusieurs jours, ils sont alors chargés par leurs clients d'essayer de s'infiltrer dans leurs systèmes internes, parfois grâce à des moyens détournés. Par exemple, dans l'une de ces entreprises, le hackeur est parvenu, avec l'aide de ses collègues, à s'introduire dans le réseau interne de la firme grâce à... un faux cours de yoga.

Le but n'est pas de trouver une faille pour trouver une faille Clément Domingo, "hackeur éthique"

Comment y sont-ils parvenus ? Ils ont d'abord fait croire à l'une des assistantes de direction de cette société, grande adepte de cette activité, qu'elle avait gagné 45 minutes de sport gratuites avec son influenceur favori. Dans le message lui annonçant la nouvelle, les pirates ont ajouté un lien vers un faux site d'une salle de yoga, créé de toute pièce, l'enjoignant à remplir les identifiants et mots de passe d'un de ses comptes Google pour s'inscrire. Pas de chance : cette femme utilisait le même code pour se connecter à son réseau d'entreprise...

L'État favorable au "hacking éthique"

Bien sûr, le but des "hackeurs éthiques" n'est pas de "trouver une faille pour trouver une faille", mais bien d'anticiper de potentielles erreurs commises par les membres d'une structure, pouvant attirer les cybercriminels. Après ce genre de pièges, des restitutions sont organisées dans les entreprises pour ne pas tomber dans le panneau en cas de réelle attaque. "Lors de ces présentations, il y a souvent de la sidération, souligne Clément Domingo. Alors, on montre comment on a fait, puis on donne énormément de recommandations".

Avoir un coup d'avance sur les cybercriminels, c'est aussi l'objectif affiché par l'État. Ses antennes publient depuis 2019 des annonces faisant appel au talent des "hackeurs éthiques". La stratégie est d'ailleurs assumée par les services en charge de la sécurité de FranceConnect. "On veut avoir une solution qui nous permet d'être proactifs par rapport à la cybermalveillance, plutôt que réactifs, explique à TF1info Anna-Livia Gomart, adjointe au chef de l’Opérateur de produits interministériels de la Dinum. Depuis plusieurs années, on voit que ces 'hackeurs éthiques' nous remontent des failles avant qu'elles aient pu être exploitées." La Dinum espère même attirer parmi ses équipes ce type d'experts pour améliorer ses outils numériques à l'avenir.

Intelligence artificielle, influence des risques cyber sur les enjeux géopolitiques... De nombreux paramètres devraient encore accroître l'importance de ces profils de "hackeurs éthiques" dans les prochaines années. Certains pays commencent même à créer des statuts dans la loi pour protéger leur activité, comme l'a fait la Belgique au printemps dernier.