Grande messe de hackers qui oeuvrent pour le bien

Loin des pirates informatiques et des Anonymous malgré des méthodes comparables, des centaines de hackers «nobles», qui traquent les failles de sécurité pour le compte de grandes entreprises, sont réunis à Paris pour la troisième édition d'un congrès inédit.

«Hackito Ergo Sum», un des plus importants rassemblements internationaux de hackers, réunit jusqu'à samedi au siège historique du Parti communiste, quelque 400 participants venus assister aux conférences animées par des intervenants de quarante nationalités.

«Il y a très souvent une confusion entre le piratage et le hacking, activité beaucoup plus noble consistant à améliorer les usages et pointer du doigt les problèmes de sécurité», résume à l'AFP Renaud Lifchitz, un des intervenants de la conférence, consultant sécurité chez l'opérateur de télécommunications britannique BT.

«Nous utilisons les mêmes outils que les pirates mais la différence, c'est qu'une banque va nous embaucher pour qu'on casse tout et qu'on lui explique comment on y est arrivés, alors que le pirate va se servir dans les données de la banque et lui voler des milliards», résume dans l'auditoire Marc, employé d'une entreprise de certification de logiciels.

«Je fais du consulting en sécurité pour la Commonwealth Bank (une des quatre grandes banques australiennes) pour laquelle je suis +testeur d'intrusion+: je simule des attaques qui pourraient être menées par des gouvernements hostiles, des banques concurrentes ou des pirates professionnels», explique Jonathan Brossard, autre intervenant, directeur général de l'entreprise Toucan System.

«Cette banque investit un milliard par an sur son réseau pour tester la sécurité», souligne-t-il.

En 2011, les pertes ou vols de données informatiques ont représenté en moyenne pour chaque entreprise un coût de 1,6 million d'euros par «incident» en Australie, de 2,5 millions en France ou encore de 4 millions aux États-Unis, selon un rapport de la société de sécurité Symantec et de l'Institut Ponemon publié fin mars.

Les attaques malveillantes ou criminelles restent la première cause de ces violations de données, selon ce rapport.

«Lors des tests d'intrusion, nous utilisons des techniques de piratage pour voir jusqu'à quel point on peut arriver.

Et très souvent, on arrive à peu près à faire ce que l'on veut, ce qui n'est pas très rassurant, mais c'est une constante quel que soit le type d'entreprise», indique Renaud Lifchitz.

Selon lui, les entreprises «sont insuffisamment sécurisées et ne voient l'intérêt d'investir que lorsqu'elles ont été attaquées».

S'il admet que les phénomènes Anonymous ou LulzSec, qui ont revendiqué des dizaines d'attaques contre les sites de grandes entreprises ou d'autorités, «réveillent un peu l'opinion sur certains problèmes», il dénonce «l'amalgame entre les experts en sécurité et ces gens-là».

«Cela n'a pas donné une très bonne image du hacking car la cause n'est pas à mon sens noble, elle est très éloignée de celle du chercheur en sécurité qui veut corriger les problèmes de sécurité», estime Jonathan Brossard.

Il affirme que basculer du côté obscur ne lui a «jamais traversé l'esprit: cela dépend des parcours, le mien a été académique et satisfaisant, mais je comprends que pour des gens qui n'arrivent pas à travailler, ça doit être tentant».

«Un +exploit+, soit écrire le bout de code qui permet d'exploiter une vulnérabilité, coûte au moins 100 000 euros sur le marché noir.

Évidemment on pourrait dire que les clients qui m'ouvrent leurs réseaux font entrer le loup dans la bergerie, mais c'est pour cela que la relation de confiance est fondamentale», conclut Jonathan Brossard.