premium 1
premium 1 mobile
Mr Robot

Les hackers, ces voyous qui vous veulent du bien

L'ADN
Le 9 oct. 2017

"Vous pouvez ne pas les aimer, en avoir peur, mais vous ne pouvez pas les ignorer, et penser qu’ils admettront un jour de se mettre sur la touche." - Rencontre avec Keren Elazari.

 

Cet article est paru dans la revue 12 de L’ADN : Ordre et Chaos. A commander ici.

Propos recueillis par Emre Sari. 


 

Vous soutenez l’idée que gouvernements, entreprises ou particuliers devraient tous davantage prendre en considération les hackers ?

KEREN ELAZARI : Absolument. Je pense que les hackers jouent un rôle important sur tous les sujets sur lesquels ils décident de s’impliquer. Vous pouvez ne pas les aimer, en avoir peur, mais vous ne pouvez pas les ignorer, et penser qu’ils admettront un jour de se mettre sur la touche.

À première vue, il est inquiétant de savoir que les hackers ont la capacité de semer le chaos. Doit-on vraiment en avoir peur ?

K.E. : Les hackers ne jettent pas forcément un chaos négatif. Ils cultivent aussi un chaos créatif, une manière très innovante de penser. Ils peuvent également combattre pour la liberté. En Égypte, en Syrie, et dans d’autres conflits, des hackers, comme le groupe Telecomix, ont aidé les dissidents à se connecter, à échanger, à se protéger de la censure. Dans de nombreuses parties du monde, ils sont les seuls qui aident les petites gens, les militants, les dissidents contre la répression. À l’inverse, le hacker Andrés Sepúlveda a confessé en 2016 avoir aidé à manipuler les élections de plusieurs pays d’Amérique latine dont le Mexique. Dans les deux cas, les aptitudes techniques sont les mêmes. Donc, savoir si les hackers sont bons ou mauvais dépend beaucoup des valeurs et des idéologies de chacun. Je crois fermement que beaucoup ont un fort sens moral, et que ceux-là n’agissent pas dans un but malveillant. Ils ne cherchent pas à rendre la vie des gens plus difficile. Personnellement, je les pousse à agir d’une manière plus réfléchie, à comprendre la grande responsabilité qu’ils ont. Je leur montre comment, selon moi, un hacker devrait se comporter en héros.
Keren Elazari, « A Hacker’s Perspective », USI, juin 2017

Mais peut-on vraiment collaborer avec eux ?

K.E. : Oui. Et il est temps pour les pays d’adopter ce que les hackers ont à offrir. Il y en a des dizaines de milliers bienveillants. Des grandes puissances, comme les États-Unis et Israël, ont déjà engagé des hackers dans leur armée et dans leurs services de renseignement. Par ailleurs, les entreprises pouvez collaborer avec eux au sein des programmes de bug bounty [littéralement « prime de bug », le fait pour une entreprise de rémunérer des hackers afin qu’ils découvrent et leur révèlent des failles dans leurs systèmes d’information, NDR]. Des dizaines de milliers de hackers sont inscrits sur des plates-formes comme Bugcrowd ou HackerOne [près de 52 000 bugs réparés, et 19,8 millions de dollars de primes payés selon les chiffres du site, NDR], et ont déjà aidé Mastercard, Western Union, Tesla Motors, Facebook… et même le Pentagone.

 

Certains hacks ont fait la une des journaux, comme celui de la Jeep Cherokee en 2015. Dans une vidéo, Charlie Miller et Chris Valasek prennent le contrôle d’une voiture à distance, y compris sa direction et ses freins. Est-ce un bon exemple de hacking créatif ?

K. E. : Ils ont montré la menace et poussé l’entreprise à faire plus attention. C’était une surprise pour Jeep. Mais ils ont aussi créé des résistances chez les industriels. Les gens se sont dit : « Non, nous ne devrions pas coopérer avec des hackers car nous n’avons pas besoin de cette publicité négative. » Effectivement, cela ne suffit plus de démontrer une menace. Maintenant les hackers doivent collaborer de manière plus ordonnée avec les marques. Cela sera beaucoup plus utile. En août 2015, les hackers Marc Rogers et Kevin Mahaffey ont démontré sur scène au Def Con [un des salons annuels des hackers qui se déroule à Las Vegas, NDR] comment pirater une Tesla Model S. Mais ils avaient prévenu l’entreprise à l’avance. Les gens de Tesla Motors, dont le responsable technique Jeffrey Brian Strauble, étaient même présents dans la salle. Cette démarche me paraît plus constructive. Il est malsain de créer de la peur notamment dans le grand public. Nous, les hackers, avons une responsabilité : nous devons donner de l’espoir.

keren elazari

Aujourd’hui si une entreprise veut travailler avec des hackers, par où commencer ?

K. E. : Il faut s’éduquer à leur culture et à leur état d’esprit. Le meilleur moyen est de sortir de votre bureau et de vous rendre à des événements qui ont lieu partout dans le monde. On peut citer Hack in Paris, HOPE (Hackers on Planet Earth) à New York, B Side, un réseau d’événements à Tel Aviv, au Brésil et dans le Colorado, et des centaines d’autres rassemblements locaux. Vous pouvez y rencontrer des hackers, discuter avec eux, cela vous permettra de décider si, oui ou non, vous souhaitez travailler avec eux. Les hackers qui viennent dans les salons sont les plus bienveillants. Je ne m’attends pas à rencontrer 20 000 criminels quand je me rends à Def Con ! Il existe aussi un standard international : ISO 29147. Si vous êtes une entreprise désireuse de mettre en place un programme de bug bounty, ce standard vous expliquera comment le faire.

Vous êtes membre de l’association I am The Cavalry, fondée par Josh Corman et Nick Percoco en 2013. Quels sont vos objectifs et vos revendications ?

K.E. : Aujourd’hui, les gens se préoccupent beaucoup de la protection des données, de la manière dont on peut leur voler leur mot de passe, leur code de carte de crédit, leur compte Facebook... Mais ce que Josh, Nick et moi croyons, c’est que nous devrions plutôt nous concentrer sur la cybersécurité, la sécurité des biens matériels, c’est-à-dire de tout ce qui peut avoir un impact sur les gens. Cela signifie la sécurité des dispositifs médicaux, du système de santé, mais aussi la sécurité des véhicules, des feux de signalisation, des infrastructures publiques… Jay Radcliff, un membre de I am The Cavalry, qui utilise une pompe médicale à insuline, a fait des recherches et a trouvé une faille dans son modèle. Il a alors pu collaborer avec l’agence de santé américaine et l’entreprise Johnson & Johnson pour créer une mise à jour du logiciel pour corriger le défaut. Craig Smith, un autre membre, auteur du livre The Car Hacker’s Handbook, a aidé des constructeurs à corriger non seulement des défauts dans leurs produits, mais aussi à améliorer leurs processus, de sorte qu’il y ait moins de problèmes à l’avenir.

Bienveillants ou non, existe-t-il des traits communs à tous les hackers ?

K.E. : Je pense que oui : la curiosité, la créativité, et la volonté de toujours questionner le monde, à la manière de Neo dans Matrix. Neo apprend que le monde n’est pas seulement à envisager en mode lecture. On peut aussi l’écrire, le changer. Je pense que beaucoup de hackers partent de ce postulat. Ils veulent agir différemment. On trouve cette idée dans A Hackers Manifesto, écrit en 1986 par The Mentor, ou dans la série Mr Robot. Même les hackers criminels qui cherchent juste à s’enrichir le font avec une combinaison de créativité et d’innovation. Les ransomware sont un bon exemple : c’est certes un modèle économique criminel, mais il n’en reste pas moins très innovant. Ils ne volent aucune donnée sur votre ordinateur, ils vous en bloquent juste l’accès. Et vous payez.

PARCOURS DE KEREN ELAZARI

Experte en cybersécurité et chercheuse à l’université de Tel Aviv. Ses recherches portent sur le rôle social des pirates informatiques, les questions de l’hacktivisme, et le mouvement cyberpunk.

À VOIR

iamthecavalry.org

 

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.