Si un pirate finit en principe en prison, il peut aussi parfois vivre de ses activités. Certes, les pirates éthiques sont pour l’instant toujours interdits en Belgique, mais la tendance semble s’inverser. Et c’est tant mieux car notre pays compte des centaines de pirates qui voudraient avoir pignon sur rue.
Il existe deux types de pirates : les pirates black hat qui piratent ou vandalisent avec des intentions malveillantes et les pirates white hat dont les intentions sont bienveillantes. Tous deux ont les mêmes compétences, mais des objectifs différents. Si l’on entend aujourd’hui tant parler des pirates white hat, c’est que le tabou est tombé : on peut désormais affirmer haut et fort que l’on veut attaquer Windows, Android ou Facebook pour tester la résistance du système. Mieux encore, le pirate pourra être rémunéré s’il parvient effectivement à découvrir une faille.
Celui qui se lance aujourd’hui comme consultant en sécurité ou spécialiste en tests de pénétration n’a guère de souci à se faire au plan financier. Mais du côté plus sombre également, les affaires marchent : lorsque le FBI ou une association criminelle veut craquer la sécurité d’un iPhone, il en met le prix. Reste à choisir son camp. “Il ne faut pas se voiler la face : autrefois, c’était très tentant, explique Vincent Laurens, security practice executive et vice-président de Sogeti Luxembourg. Le risque était moins grand de se faire prendre et d’aller en prison. Mais il faut pouvoir faire la part des choses : dès que j’accepte une mission professionnelle d’un client, ce côté sombre disparaît.”
Laurens: “Les pirates éthiques ne doivent se faire aucun souci à propos de leur salaire. Par conséquent, le risque de faire quelque chose de mal n’en vaut souvent pas la peine.
Toujours selon Laurens, l’argent n’est pas forcément le moteur principal. “Les pirates sont des passionnés qui ne pensent souvent qu’au piratage.” Même pas pour de l’argent ? “Ce ne fait pas forcément la différence. Les pirates éthiques modernes ne doivent pas se soucier de leur salaire, ce qui ne les incite guère à prendre le risque de se lancer dans des activités répréhensibles. Le crime organisé continuera toujours d’exister, mais il est aujourd’hui moins tentant de choisir cette voie.”
Piratage de Noël
Cette même passion est partagée par Inti De Ceukelaire. Ce jeune Alostois est tombé dans la marmite du piratage lorsqu’il a adapté les paramètres de Ketnet Kick, un jeu de l’émetteur éponyme, afin de pouvoir tricher. Par la suite, il s’en est pris aux flash games avant de réussir à l’âge de 15 ans à planter le navigateur de sa PSP (réputée alors inviolable) pour ensuite la jailbreaker. Il a fait part de cette faille à la communauté des pirates pour adhérer ensuite à une communauté où le piratage n’est pas un tabou. Et lorsque Google a commencé en hiver 2011 à rémunérer des pirates pour découvrir des failles, il a regardé s’il pouvait gagner de l’argent. “J’ai commencé à inventorier tout ce qu’avait Google et à essayer partout. Après un jour et demi, j’ai découvert une faille qui m’a rapporté 100 $. J’ai continué à chercher et après une semaine, j’avais trouvé 11 failles, soit 1.200 $. J’avais alors 16 ans et je trouvais pas mal de gagner un peu d’argent.”
Lorsque Facebook lança un programme similaire, il se lance dans l’aventure, même s’il précise avoir également appris beaucoup avec Yahoo. “Pour moi, Yahoo était une aire de jeux. Il y avait tellement de mauvais codes que j’ai appris à pirater convenablement. J’y ai trouvé tant de failles que j’ai manqué l’école pour trouver des fautes dans leurs systèmes. Je n’ai d’ailleurs pas été étonné d’apprendre qu’ils avaient dû admettre avoir perdu les mots de passe de 500 millions de comptes.”
De Ceukelaire: “Pour moi, Yahoo était une espace de jeu. L’on y trouvait tant de mauvais code que j’y ai vraiment appris à pirater.
Pour sa part, De Ceukelaire n’a jamais été tenté de franchir la barrière de la criminalité. Même s’il a conscience de cette zone grise. “Avant cela, j’avais déjà découvert des failles dans plusieurs entreprises, dont des banques. Dans la plupart des cas, la réaction a été bonne. Mais le risque existe toujours de se retrouver en prison, même en ayant des intentions louables.”
En dépit de l’expérience accumulée pour un jeune de 20 ans, De Ceukelaire n’est pas devenu un expert en sécurité, un choix intentionnel. “Aujourd’hui, je suis développeur créatif à la VRT. Pour moi, il est important de scinder le travail des loisirs, ce que font beaucoup de personnes dans ce domaine. Sinon, ma créativité s’épuiserait. C’est ainsi que je ne parviens pas à pirater le jour où je dois faire une présentation sur la sécurité car mon esprit est tout entier absorbé. Si je devais être pirate à temps plein, je ferais un burn-out. Mon travail est très créatif, ce qui m’empêche de faire autre chose de ma journée.”
Accompagner et défier
A en croire tant Laurens que De Ceukelaire, le piratage est avant tout une question de passion. Même s’il faut parfois accompagner. C’est le domaine de Kurt Callewaert, professeur d’informatique appliquée à la section Computer et Cybercrime Professional de la Howest. Des 270 étudiants en 1er année d’informatique appliquée à la Howest, 200 optent aujourd’hui pour les cours de piratage. D’où une approche spécifique. Et notamment d’exclure tout étudiant convaincu de pratiques illégales. “Dès le départ, nous faisons signer aux étudiants un document indiquant qu’ils ne mettront pas leurs connaissances au service d’une mauvaise cause. Nous leur donnons également des stages avec des défis et mettons en place un réseau sur lequel ils peuvent s’exercer. Mais nos étudiants veulent pouvoir travailler le soir et le week-end ; du coup, nous leur proposons des ‘bug bounty programs’. En fait, c’est interdit en Belgique, mais les entreprises américaines sont demandeuses, de sorte que nous essayons d’aiguiller nos étudiants dans cette direction et souvent avec succès. En Belgique, on trouve de nombreux systèmes et sites qui posent problème, mais auxquels nous ne pouvons pas accéder.”
En Belgique, il existe un grand nombre de systèmes et de sites aux prises avec des problèmes de sécurité, mais l’on ne peut rien y faire.
Callewaert a personnellement pris l’initiative à la Howest avec son hackmysite.be. Sur ce site, les entreprises peuvent s’inscrire et autoriser les étudiants à essayer de trouver des failles de sécurité. “Tout est prêt, mais nous ne le lançons pas encore officiellement car nous ne voulons pas que nos étudiants risquent des poursuites.” Et de considérer le projet comme une solution intermédiaire idéale, notamment pour les PME qui n’ont pas le budget des grands acteurs. “Les PME ne peuvent se payer des consultants à prix d’or alors que nous avons 350 jeunes qui veulent se lancer dans le piratage éthique. Ils veulent s’essayer et apprendre de manière plus originale que par le biais de cours.”
Pour l’heure, le Centre pour la Cybersécurité Belgique (CCB) planche sur une directive. Mais Callewaert préférerait une législation à part entière. “Lorsque vous piratez, vous flirtez avec la législation sur la vie privée qui permet de vous condamner. Cela dit, nous pourrions aider de nombreuses entreprises qui ne savent même pas aujourd’hui qu’elles ont un problème.” Notre professeur d’informatique considère un cadre légal en matière de piratage éthique comme une solution gagnant- gagnant. “Quand on voit combien Facebook et Google paient de primes pour trouver des failles, on imagine mal que les entreprises belges ne soient pas confrontées aux mêmes problèmes. Avec un cadre légal, on disposerait du coup de nombreux moyens et compétences supplémentaires, tandis que nos diplômés seraient mieux formés.”
Le piratage légal autorisé en 2017 ?
Aux Pays-Bas, il existe une directive sur le piratage éthique et sur le rapportage des constatations faites dans ce cadre. Ainsi, il faut prouver qu’aucun abus n’a été commis durant le piratage. Mais en Belgique également, la situation évolue positivement. C’est ainsi que le ministre de l’agenda numérique Alexander De Croo se déclare partisan de l’approche néerlandaise, comme il l’a expliqué récemment dans une interview sur datanews.be. “Le Centre pour la cybersécurité Belgique planche sur un code similaire. Je suis ouvert et j’estime que nous devons être prêts à accepter de tester certaines choses, même si nous devons avoir conscience que nous arrivons dans une zone grise.” De Croo considère que l’exemple néerlandais n’est pas mauvais, mais s’en rend aussi compte qu’il faut faire preuve de prudence. “Il faut en effet pouvoir faire rapport de tout ce qui se passe. Ces circonstances sont aussi visées, et c’est ce que je veux. Mais c’est un domaine où il convient de travailler à la fois avec une vision progressiste, mais aussi avec prudence. Il ne faut pas non plus agir de manière tiède car chaque entreprise est aujourd’hui sous la menace de cyber-attaques – pas uniquement les grandes. Si l’on examine les chiffres de l’industrie, l’on observe que 60 % des cyberattaques visent les PME.” Le CCB travaille sur l’instant sur un code de conduite du piratage éthique. “Je l’attends d’ici la fin de l’année et j’envisagerai alors la suite des événements.” Même si, d’après lui, les entreprises ne doivent pas attendre la législation. “Ce qui serait intéressant aussi, c’est qu’un certain nombre d’entreprises belges de premier plan déclarent qu’elles ne sont pas négatives à cet égard. Dans l’environnement actuel, il faut afficher une certaine humilité. Cela n’apporte rien d’affirmer haut et fort que dans le domaine de la cybersécurité, l’on est infaillible. Mais se montrer ouvert indique que l’on trouve cela important et que l’on est prêt pour des améliorations, je pense.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici