White hat

Personne n’aurait pu prédire qu’Anand Prakash deviendrait un jour multimillionnaire. Originaire de Bhadra, une petite ville de l’ouest de l’Inde, Prakash préférait passer son temps libre à jouer aux jeux vidéo dans les cybercafés lorsqu’il était enfant, plutôt que de disputer des parties de cricket avec les autres garçons de son âge. ulyces-bountyhacker-01-1Mais alors qu’il avait du mal à trouver du travail durant ses études à l’université, Prakash a découvert le Bug Bounty Programme de Facebook, qui récompense les white hats, des hackers bien intentionnés. Leur mission : déceler les failles et les bugs du réseau social tout en protégeant les données des utilisateurs. Aujourd’hui, Prakash a gagné plus de dix millions de roupies indiennes (environ 130 000 €) en sécurisant des sites comme Facebook et Google. Déceler les bugs et les failles des sites participe à la protection des données personnelles de millions d’utilisateurs. Ce génie autodidacte de l’informatique est devenu hacker en lisant des blogs et en regardant des vidéos sur YouTube. Prakash a trouvé son premier bug facilement : les utilisateurs de Facebook Messenger apparaissaient toujours en ligne alors qu’ils avaient fermé l’application. Pour cette découverte, Prakash a touché 33 000 roupies. Depuis, il a découvert plus de 90 bugs sur Facebook à lui tout seul. D’autres entreprises comme Twitter, Google, Dropbox, Adobe, eBay ou Paypal ont fait appel à ses services. L’un des bugs que Prakash a réussi à déceler permettait aux pirates d’avoir accès aux données de n’importe lequel des utilisateurs de Facebook (ils sont près d’1,6 milliard aujourd’hui), dont les messages, les données bancaires et les photos. Pour cela, Facebook lui a signé un chèque d’un million de roupies.

ulyces-bountyhacker-03

La carte de retrait fournie par Facebook aux hackers
Crédits : Facebook

Même si ses découvertes l’ont rendu millionnaire, Prakash se défend d’avoir choisi cette voie pour l’argent. « Ce qui m’intéresse, ce sont les entreprises comme Facebook et Google, car elles possèdent les plus grosses banques de données personnelles du monde. Si je fais ce job, c’est pour protéger les données des utilisateurs. Si ce n’était que pour l’argent, je le ferais pour des entreprises ayant moins d’utilisateurs. Ce qui m’importe, c’est notre vie privée, car j’en suis un moi-même. Garantir la sécurité de nos données personnelles est ma priorité. » Dans les pays en développement comme l’Inde, la chasse aux bugs informatiques est un sport de plus en plus pratiqué. En 2015, Facebook a reçu 13 233 soumissions de bugs provenant de 5 543 hackers du monde entier, souvent originaires de petites villes situées dans des pays du Sud. L’Inde, l’Égypte et Trinité-et-Tobago sont les pays qui soumettent le plus de rapports de bugs. Selon Facebook, la qualité des informations soumises par les hackers tend à s’améliorer au fil des ans.

Hackers éthiques

Rahul Tyagi, un autre white hat originaire de la petite ville de Gurdaspur, dans le nord de l’Inde, m’a confié que plusieurs de ses amis gagnaient correctement leur vie en traquant simplement les bugs de sites web comme Facebook et Twitter : « Ils gagnent entre 100 000 et 150 000 roupies par mois [1 300 € à 2 000 €] sans quitter leur chambre. » ulyces-bountyhacker-02Alors que la surpopulation indienne (1,25 milliard d’habitants) est source de difficultés pour  trouver un emploi, les programmes de traque informatique sont une voie facile pour les jeunes passionnés d’Internet qui souhaitent gagner leur vie. Cela rejoint l’explication que Tyagi propose à la forte présence de white hats en Inde : « Les gens restent chez eux à ne rien car ils ne trouvent pas de travail, alors ils apprennent à faire ça. » Quant aux motivations de Tyagi, elles sont sensiblement différentes. « Ce que je recherche, c’est la reconnaissance des géants de ce monde. Être hacker exige un esprit curieux et créatif. Et il faut être capable d’apprendre tous les jours, car la technologie change tout le temps. » Comme beaucoup d’autres grands noms du milieu du piratage informatique indien, Tyagi vient d’un milieu modeste. « J’ai été le premier de mon village à avoir un ordinateur. J’ai commencé sous Windows 98. »

534314_507005265980371_513269364_n

Une publicité pour le programme de détection des bugs
Crédits : Facebook

Lorsqu’il était adolescent, ses connaissances en informatique lui ont valu une réputation de vrai geek : « À l’époque, les gens m’invitaient chez eux pour que je leur installe Windows XP. En échange, ils m’offraient de la nourriture et des bonbons. Ils se faisaient tout un monde du fait que j’en sache autant sur les ordinateurs. » Ses premières expériences avec la sécurité informatique remontent à son enfance, tandis qu’il essayait de faire fonctionner un jeu de Playstation sur son ordinateur. « À l’époque, j’étais le seul gamin de tout le Penjab capable de faire ça. Mes premiers hacks étaient expérimentaux. C’est la curiosité qui m’a poussé à continuer. »

Au cours des dix dernières années, les entrepreneurs et les immigrés indiens ont été des pionniers du secteur technologique, mais personne n’aurait malgré tout pu prédire le boom technologique qu’a connu l’Inde. Le pays a un taux très bas de connaissance informatique (moins de 7 %) et jusqu’à récemment, ses infrastructures de télécommunications étaient fragiles et sous-développées. Pour les universitaires qui planchent sur la question, la non-intervention du gouvernement est une des explications de la réussite de l’Inde dans le secteur de l’informatique. « Les technologies de l’information et les concours de beauté sont les deux seuls secteurs dans lesquels le gouvernement ne s’est pas investi », a récemment déclaré l’ancien ministre des Technologies d’information et de communication, Pramod Mahajan. Mais Prakash affirme que le secteur de la cyber-sécurité pourrait croître plus vite encore si le gouvernement consentait à leur donner un coup de pouce : « Le gouvernement indien n’a pas pris la mesure du potentiel que nous avons en matière de piratage informatique – c’est énorme. Les hackers les plus talentueux sont indiens, la majorité des soumissions de bugs est enregistrée chez nous. Il faut cultiver ce talent qui nous est propre. » Trishneet Arora, un hacker de 22 ans originaire de Ludhiana, dans le nord de l’Inde, a commencé à travailler en tant que hacker éthique. Depuis, ses compétences lui ont permis de fonder son entreprise, spécialisée dans la cyber-sécurité. ulyces-bountyhacker-04« Imaginez que vous avez le pouvoir de pirater le compte bancaire de quelqu’un et de voler un million de dollars. Et maintenant, imaginez que vous renoncez à ce pouvoir. » Arora est persuadé que la prochaine guerre mondiale sera gagnée sur Internet et que les experts indiens de la cyber-sécurité auront un rôle majeur à jouer. Il explique que les logiciels des hôpitaux sont particulièrement vulnérables et que les hackers comme lui planchent sur de nouvelles techniques pour garantir la sécurité des patients : « Au service des soins intensifs, ils utilisent un logiciel qui fonctionne grâce au cloud. Je l’ai hacké, j’ai trouvé ses failles et je l’ai coupé. S’il y avait eu une personne sur la table d’opération, j’aurais pu la tuer à distance, et on n’aurait jamais pu me retrouver. C’est ça le futur des cyber-attaques. Ils détruisent vos dispositifs de sécurité, nous détruisons les leurs », assure-t-il. « Avoir accès à des informations confidentielles peut détruire des vies. »


Traduit de l’anglais par Maureen Calaber d’après l’article « Meet the bughunters: the hackers in India protecting your data », paru dans le Guardian. Couverture : Un hacker indien et sa carte de débit Facebook « White Hat » (Vignesh Kumar). Création graphique par Ulyces.


AU CŒUR DE LA GUERRE D’HOLLYWOOD POUR SA SÉCURITÉ INFORMATIQUE

ulyces-hackinghollywood-couv02 davidkushner

Depuis plus de dix ans, l’industrie du divertissement américaine et ses acteurs sont la cible de violentes attaques informatiques. Comment Hollywood compte y faire face ?

C’est une journée froide à Munich, et Oliver Stone, un des réalisateurs les plus provocateurs d’Hollywood, est face au hacker le plus recherché au monde, Edward Snowden –  ou plus exactement l’acteur qui l’incarne, Joseph Gordon-Levitt. Le réalisateur est en plein tournage de son biopic controversé d’Edward Snowden. Le film, dont la sortie est prévue cette année, retrace le parcours du lanceur d’alerte, ancienne recrue des forces spéciales, engagé par la suite comme agent de sécurité par la NSA (National Security Agency), qui a révélé les programmes de surveillance secrets du gouvernement américain. Mais Oliver Stone n’est pas uniquement préoccupé par le tournage de la saga des révélations incroyables d’Edward Snowden. Il veut s’assurer qu’aucun hacker ne piratera son film pour en livrer les secrets avant sa sortie dans les salles obscures. « C’est une source d’inquiétude pour tous les réalisateurs », me confie-t-il pendant une pause sur le tournage. Et ça l’est d’autant plus lorsque le film concerné promet de lever le voile sur un homme encore mystérieux aux yeux du monde. « Si quelqu’un parvient à pirater son histoire », annonce Oliver Stone avec prudence, « il aura touché le gros lot. » Oliver Stone réalise en quelque sorte un méta-film, du jamais vu, alors qu’il construit un véritable pare-feu autour d’une œuvre dont le sujet est une icône de la sécurité de l’information.

ulyces-hackinghollywood-01

Ralph Echemendia et Oliver Stone

C’est cela qui explique la présence d’un homme discret avec une barbichette à la Fu Munchu, qui s’affaire autour du plateau. Il s’agit de Ralph Echemendia, garde du corps du tout-numérique hollywoodien, ancien hacker revenu du côté obscur pour aider les cinéastes, les stars et les magnats des studios à protéger leurs précieuses données. Un défi qui ne fait que se corser à mesure qu’Hollywood, tout comme le reste du monde, transfère de plus en plus son contenu et ses communications sur Internet. « Le souci, c’est le manque de contrôle », m’explique Echemendia. Oliver Stone précise que de telles précautions, quoique récentes, sont « d’avenir ».

Suite au piratage massif de Sony Pictures Entertainment en novembre 2014, Hollywood joue à un jeu de la taupe de plus en plus délirant : dès que l’industrie parvient à frapper un hacker, un autre prend sa place aussi sec. Et c’est un jeu de plus en plus coûteux. En octobre 2015, des documents judiciaires ont révélé que Sony devrait verser près de 8 millions de dollars pour intenter un recours collectif avec des employés dont les données personnelles ont été piratées, et il ne s’agit là que de la partie visible de l’iceberg. Si les coûts engendrés par de telles attaques sont difficiles à évaluer, les estimations, basées sur des incidents similaires survenus dans d’autres entreprises, oscillent entre 150 et 300 millions de dollars. C’est la version grand écran de la vulnérabilité qu’on éprouve en évoluant sur Internet de nos jours, de Beverly Hills à la Maison-Blanche. Il y a quelques mois, la boîte mail du directeur de la CIA, John Brennan, a été piratée  par un adolescent (et son contenu mis en ligne par Wikileaks ). Et comme l’ont montré les Drone Papers, le dernier leak de documents orchestré par Edward Snowden sur le programme américain d’assassinats ciblés, l’Amérique a encore du chemin à faire pour se mettre à la page. Cette bataille met tout le monde sur les nerfs. Comme le dit Oliver Stone : « C’est un jeu de hasard, on ne sait pas comment ça finira. »

IL VOUS RESTE À LIRE 80 % DE CETTE HISTOIRE