dimanche 17 décembre 2017

Accueil du site > Renseignement > France > Des pirates du Net au service des États

Des pirates du Net au service des États

Cécilia Gabizon, le Figaro

vendredi 8 mai 2009, sélectionné par Spyworld

logo

Les services de renseignements font désormais appel à ces virtuoses des systèmes informatiques pour rechercher des informations ou parer des attaques.

On les considère souvent comme des ennemis publics. Et pourtant, les hackers, ces génies de l’informatique, capables d’entrer par effraction dans les ordinateurs les plus protégés de la planète, sont aussi recrutés par les États. Le mois dernier, des officiels des services de renseignements français s’étaient ainsi déplacés à l’Epitech, l’une des écoles les plus connues dans la profession, pour y recruter de jeunes informaticiens, de préférence les plus doués, susceptibles de se transformer en hackers. Car, reconnaît son directeur, Nicolas Sadirac, « il y a une tentation du virtuose ». Lui-même avait été traduit en justice pour avoir piraté, en 2000, le site du premier ministre au cours d’une émission de télévision, afin d’établir sa vulnérabilité. Il avait finalement obtenu un non-lieu après huit ans de procédure. Depuis, il met en garde ses étudiants. Car certains bravent les lois uniquement pour relever un défi informatique.

Les services de renseignements recrutent officiellement ce qu’on appelle dans le petit monde des pirates des White Hats (« chapeaux blancs »), qui cherchent les failles d’un système, qui cryptent des informations ou encore vérifient que les programmes utilisés par les ministères ne contiennent aucun piège. Mais ils emploient également, beaucoup plus discrètement, des Grey Hats (« chapeaux gris »), les plus nombreux parmi les hackers, qui naviguent en eaux troubles, entre prouesses et délits. Beaucoup de jeunes s’essaient ainsi sur des cibles de renom. « Et c’est ainsi que je me suis fait coincer », dit Jean-Baptiste, 22 ans. Entré dans les fichiers d’une grande entreprise, repéré par les policiers, menacé de poursuites judiciaires, ce « chapeau gris » est désormais mis à contribution, « sans trop avoir le choix ». Une sorte d’indicateur, prié d’observer le milieu des pirates du Net. « En France, on n’a aucune incitation à publier les failles que l’on aurait découvertes, ce qui pourrait faire avancer la sécurité collective, car c’est finalement sur le hacker que cela retombe », regrette-t-il.

Dans toutes les structures, un maillon faible

Matthieu, 25 ans, travaille, lui, dans une société de sécurité informatique à laquelle l’État confie des missions. « C’est souvent ainsi que cela se passe, explique François Paget, expert en virus et chercheur de menaces chez McAfee, l’un des poids lourds de la sécurité informatique. Les policiers font rarement appel à des hackers isolés, c’est trop risqué. En revanche, ils passent par des sociétés, surtout lorsqu’elles sont dirigées par des anciens du renseignement. » Ses employeurs demandent ainsi à Matthieu, crack du Web, de « chercher des informations sur des personnes ». Une quête pas toujours réglementaire, sans mandat de perquisition mais rapide et souvent efficace.

Lorsqu’il arrive au Figaro pour l’interview, il connaît déjà le code des ordinateurs du journal. Qu’il annonce, juste pour plaisanter, démythifier la vie du hacker. Car souvent « la vulnérabilité se résume à un code faible », que le hacker identifie autant par agilité numérique que par psychologie. Il devine en rassemblant comme les pièces d’un puzzle des informations glanées sur une page Facebook ou sur un site de partage de photos ou encore en examinant les recherches effectuées sur Google. Dans toutes les structures informatiques, « il existe un maillon faible », en général l’utilisateur, qui finit par cliquer sur un mail de bonnes affaires ou qui semble provenir d’un ami. Or ces intrusions, conduites sur des cibles de valeur, épargnent la traditionnelle enquête de voisinage menée par un agent à la fausse identité. Sur les traces numériques d’une personnalité, on pénètre assez vite au cœur de son intimité. « Ensuite, les bons vieux espions entrent en piste », s’amuse le jeune homme. Il suffit d’envoyer the right person au point faible de la cible.

Depuis plusieurs années, « les États font donc appel aux hackers, qui font gagner du temps et de l’argent, assure Laurence Ifrah, spécialiste de la criminalité numérique. Les liens sont plus ou moins formalisés, mais n’oublions pas que certaines informations n’intéressent que des nations ».

Léonard hésite, lui, à œuvrer au service de l’État. Tous ses compagnons qui ont participé avec lui au Defcon, la plus grande compétition mondiale de hackers, ont été « approchés ». Seule équipe francophone sélectionnée, ils ont fini deuxième en 2008, après trois jours de bataille dans un hôtel de Las Vegas, où chacun devait planter des drapeaux sur des cibles informatiques imprenables et défendre ses bases.

Les hackers disposent, à ses yeux, d’un avantage pour l’État : ils sont toujours en alerte. Chaque seconde hors du Net peut décider de l’issue d’une bataille : « Comme on trouve souvent des failles de façon empirique, en tâtonnant, tous les instants sont précieux, assure-t-il. Et nous, contrairement aux policiers traditionnels, on ne décroche jamais. » Le problème, avec ces virtuoses, explique Christian Aghroum, le directeur de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), « c’est qu’ils finissent toujours par se vanter quelque part ». Ou partir à l’étranger. Des nations comme les États-Unis mènent un actif recrutement des meilleurs, avec d’attractifs salaires… que la France ne peut ni n’entend offrir aujourd’hui.

Mais la cyberguerre est bel et bien commencée, avec des hackers en avant-poste. Quelque « cent vingt pays mèneraient des opérations d’espionnage par le Web, dont la France », à en croire la société d’expertise McAfee, qui s’appuie sur des informations fournies par l’Otan, le FBI… Ces dernières années, la Chine est soupçonnée d’avoir lancé plusieurs attaques sur des cibles occidentales, en utilisant des hackers « patriotes », selon des rapports du MI5 britannique et du Pentagone. Pékin assure n’avoir aucun lien avec ces « pirates ». Lors de cette offensive, Américains et Allemands ont reconnu s’être fait dérober des documents confidentiels. « La France n’a pas échappé au sort général, mais nous restons discrets », explique Stanislas de Maupéou, responsable du Centre d’expertise gouvernementale de réponse et de traitement des attaques informatiques (Certa).

L’espionnage informatique, autrefois conduit par des outsiders « dans leur garage », comme le veut l’image d’Épinal, est devenu extrêmement sophistiqué. Des groupes déploient des stratégies « sur plusieurs semaines, voire plusieurs mois, afin de ne pas laisser de traces », indique Gaël Barrez, de RSA, société américaine spécialisée dans la sécurité des réseaux. Parfois pour récupérer un seul document. Les réseaux numériques militaires sont notamment visés. Des activités cruciales comme l’énergie, les transports, l’électricité sont constamment attaquées par des hackers aux motivations troubles : cartographier les réseaux, dérober des secrets industriels, endommager des cibles vitales pour affaiblir une puissance. « Ces incursions ont jusqu’à présent pu être stoppées sans trop de conséquences », affirme Stanislas de Maupéou, qui espère cependant voir se constituer une Agence de protection numérique qui engloberait tous les secteurs vitaux du pays.

Attaque coordonnée

Certains pays ont déjà connu des pertes dans cette guerre numérique menée par des soldats sans uniforme. Une attaque coordonnée a mis à bas les sites publics et bancaires de l’Estonie en avril 2007, durant plusieurs semaines. Les codes malveillants étaient russes. Mais des millions d’ordinateurs dont ceux de foyers français ont participé, sans le savoir, à ces raids. Un proche du Kremlin, Constantin Goloskokov, a reconnu avoir, avec son mouvement de jeunesse, « visité encore et encore ces sites, qui se sont révélés peu résistants ».

En clair, ces militants ont littéralement fait exploser le Web. Si ces « patriotes » ont avoué, personne ne peut officiellement accuser Poutine. « Car la technique ne résout pas tout. Elle nous montre la trajectoire d’une attaque, mais ne conduit pas forcément à celui qui l’a lancée », insiste de Maupéou. Une discrétion bien précieuse pour les États. Échaudée, l’armée Allemande vient de créer une unité de pirates informatiques, comme l’a révélé Der Spiegel en mars dernier. Ils sont bien sûr voués à la défense, mais aussi à la réplique. En France, le sujet reste tabou. Et l’on préfère répéter : « Nous ne travaillons pas avec des hackers. »


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :