Questions à un hacker
FAIBLESSE Pénétrer dans les systèmes informatiques pour en identifier et consolider les failles: c’est la spécialité de Halim, pirate éthique établi à Genève.
1 Faire du hacking éthique, ça signifie quoi?
À la demande de mes clients, je pénètre le réseau de leur société dans les conditions réelles d’une cyberattaque. Je trouve les failles de leur système, leur explique où elles se trouvent, j’analyse pourquoi elles existent et enfin je propose des solutions pour résoudre le problème. Évidemment, tout est calé au niveau juridique avant mon intervention. Je n’opère jamais dans l’illégalité et ne conserve aucune donnée.
2 Trouvez-vous toujours une brèche dans les systèmes?
Oui! Et c’est d’autant plus problématique que la moindre faiblesse s’exploite. Avec un matériel bien configuré qu’on peut acheter n’importe où et les compétences qui vont avec, on peut tout imaginer, quasiment tout faire. Mais c’est surtout une question de compétences. On voit beaucoup de sociétés soidisant spécialisées se créer, où les gens sont bardés de diplômes. Mais ce n’est que du marketing. Ils n’y connaissent rien.
3 Comment en arrive-t-on à traquer les failles informatiques?
Un hacker n’est pas un pirate. C’est un bricoleur, qui se débrouille avec peu de moyens pour parvenir à l’objectif qu’il s’est fixé. C’est un état d’esprit, une manière d’aborder les problèmes avant d’être une activité liée à l’informatique. Quand j’étais petit, mon père bloquait la télévision avec la télécommande. Mais je trouvais toujours le moyen de contourner la sécurité.
4 Quelles méthodes utilisezvous pour entrer dans les systèmes d’une entreprise?
Il y a différents types d’attaques. D’abord l’ingénierie sociale. C’est la manipulation de l’humain – d’un employé par exemple – pour obtenir l’information souhaitée. Ensuite l’attaque à distance, par exemple depuis la terrasse du café où nous nous trouvons, je peux tenter d’accéder à un réseau via le WiFi. Et puis il y a la Red Team, une attaque où l’on doit se connecter physiquement au système. Là, ça demande de pénétrer dans des locaux et tous les moyens sont bons pour y parvenir.
5 Qui fait appel à vos services?
J’ai une grande expérience auprès d’entreprises qui doivent se protéger de l’espionnage de la concurrence. Mettons que vous produisez du fromage avec une recette unique. Si un concurrent vous vole cette recette et revend le même produit que vous mais moins cher, votre société risque de couler.
6 Des particuliers font-ils partie de votre clientèle?
J’ai toutes sortes de demandes, parfois farfelues. J’accepte surtout de travailler pour des parents qui s’inquiètent parce que leur enfant broie du noir et souhaitent savoir ce qu’il dit sur les réseaux. Je leur propose toujours d’aborder en premier lieu le problème avec leur enfant, mais s’il subsiste un doute, je vais jeter un œil à son activité en ligne
7 La diversité de vos clients estelle la preuve que tout le monde est concerné par le piratage?
Tout est connecté aujourd’hui et 99,99% des gens ne savent pas où vont les informations qu’ils dévoilent en ligne. Êtes-vous certain que les images de la caméra qui surveille votre bébé restent bien chez vous? Il faut savoir être parano. Comprendre qu’être observé et piraté peut avoir de graves conséquences, sur le chiffre d’affaires d’une entreprise comme sur la réputation d’un particulier. 8 Pour quelles raisons ne donnez-vous que votre prénom et ne souhaitez-vous pas être photographié? Ce n’est pas pour entretenir le mythe du hacker; la preuve, je ne bois pas de Red Bull et ne porte pas de sweatshirt noir à capuche. Et je n’ai pas l’ambition d’être un fantôme. Mais je n’ai pas envie que les gens se renseignent trop sur moi ou d’être davantage référencé sur Google.
Thomas Piffaretti