Derrière les clichés de la figure controversée du « hacker » | Stormshield

Héros contre marginaux. Le terme « hacker » a longtemps fait osciller les experts, les médias et le grand public entre ces deux pôles, quitte à alimenter les clichés sur cette communauté. Mais comment expliquer cette polarisation ? Et en termes de sécurité, les entreprises n’ont-elles pas tout intérêt à collaborer avec ces spécialistes ?

« Être un hacker, c’est avant tout savoir détourner le fonctionnement de certains objets ou systèmes, pour créer de nouveaux usages. Une personne qui sait utiliser une bouilloire pour allumer un barbecue est déjà un hacker » rappelle en préambule Paul Fariello, membre de l’équipe de Threat Intelligence chez Stormshield. La communauté hacker est avant tout constituée de passionnés d’informatique et de sécurité, qui savent inventer des solutions créatives pour résoudre des défis, quitte à parfois se placer en situation d’illégalité. Pour les spécialistes de la cybersécurité, ces compétences sont particulièrement valorisées et le terme hacker a une connotation plutôt positive. Comment expliquer alors que ce mot nourrisse un imaginaire peuplé de pirates informatiques malveillants et encapuchonnés, notamment dans les autres corps de métiers ?

 

Culture de l’anonymat vs starification

Les hackers sont souvent perçus comme un groupe indistinct, confidentiel voire marginal ce qui ne manque pas d’alimenter les rumeurs folles à leur sujet. « Il existe une vraie communauté, avec ses rassemblements (comme la DefCon de Las Vegas aux États-Unis ou le Hack in Paris en France) et ses figures tutélaires. Mais la notoriété de ces personnes dépasse rarement les cercles d’initiés, puisqu’elle se base sur l’évaluation de compétences techniques, que seuls les membres partagent » analyse Fabrice Epelboin, entrepreneur et enseignant à Sciences Po. Certains noms sont pourtant très connus du grand public : Kevin Mitnick, surnommé « Le Condor » a été le premier hacker à figurer sur la liste des dix fugitifs les plus recherchés du FBI. Plus récemment, les histoires de Julian Assange ou d’Edward Snowden ont connu un large écho, tant médiatique que politique.

Pourtant, « la culture hacker n’est pas une culture de l’égo, de l’ultra-individualisme. Certains des grands groupes de cyber-militants, comme les Telecomix [groupe très actif pendant les révolutions du Printemps Arabe, qui a contribué à aider les peuples syriens et égyptiens à contourner la censure de l’internet, ndlr], avaient un mode d’organisation complètement décentralisé, sans hiérarchie. C’est la même chose avec les Anonymous ; l’individu est dissout dans le groupe et ils recherchent un effet de masse » précise-t-il. Or, souvent, cet anonymat recherché est source de brouillage et contribue à alimenter les stéréotypes négatifs sur ces collectifs de cyber-militants. « C’est un peu comme si, lorsque l’on parlait de politique, on parlait systématiquement d’abus de biens sociaux. Avec la communauté hackers, on a tendance à ne mettre en avant que la notion de pirate informatique » complète Fabrice Epelboin. Cette vision étriquée a infusé, de la pop culture (via des séries comme Mr Robot par exemple) jusque dans les banques d’images en ligne, dans lesquelles il est complexe, voire impossible, de trouver une illustration qui ne soit pas celle d’un anonyme en hoodie noir.


Cependant, il existe une multiplicité de profils de hackers. On parle tour à tour de black hat – pour désigner les cybercriminels attirés par les fraudes bancaires, ou de white hats – pour ceux qui défendent l’aspect éthique et se voient comme des cyber-militants plus que des cyber-délinquants. Certains choisissent de naviguer entre ces deux pôles, on parle alors de grey hats. L’entreprise Microsoft a quant à elle sa propre dénomination : elle qualifie de blue hats, les experts en cybersécurité chargés de repérer les défaillances des systèmes de sécurité. Discerner ces différents profils est un exercice souvent complexe. Les relations que ces individus entretiennent avec la puissance publique ou les États entrent alors en compte pour situer ces différents profils sur l’échiquier des « experts de la sécurité ».

Avec la communauté hackers, on a tendance à ne mettre en avant que la notion de pirate informatique.

Fabrice Epelboin, enseignant à Sciences Po

Des rapports ambivalents avec la puissance publique

Certains hackers sont clairement pourchassés par la justice, et fichés dans les rangs des criminels. D’autres sont sollicités pour déstabiliser des forces politiques, devenant ainsi les leviers d’une lutte géopolitique (le climat actuel de cyber guerre froide entre les États-Unis et la Russie illustre bien cette dynamique). Mais certains autres ne se considèrent en aucun cas comme des criminels, préférant l’étiquette de cyber-militants ou hacktivistes. En Allemagne par exemple, la communauté hacker entretient des relations plutôt sereines avec le gouvernement. Ce pays leur offre même dans certains cas un statut de consultants. « De l’autre côté du Rhin, les hackers sont complètement inclus dans le paysage politique » rappelle Fabrice Epelboin. « Le Chaos Computer Club, l’un des groupes historiques, a un réel statut consultatif, il collabore régulièrement avec le gouvernement. Je me souviens notamment d’un épisode où, pour démontrer l’absurdité de la loi biométrique défendue par le gouvernement Merkel, les membres du CCC avaient fourni un rapport détaillé, allant jusqu’à pirater l’empreinte digitale du ministre de l’intérieur allemand ».

En Allemagne, les hackers sont complètement inclus dans le paysage politique.

Fabrice Epelboin

On le voit, pour parvenir à peser sur le débat public, les hackers franchissent certaines lignes rouges, et se mettent parfois en situation d’illégalité. C’est peut-être l’une des raisons qui explique que, de ce côté-ci du Rhin, les rapports entre la puissance publique et la communauté de hackers sont bien plus frileux, voire méfiants. « En France, la communauté a très vite été infiltrée par les Renseignements Généraux » poursuit-il. « Dès lors, les rapports se sont tendus. Les hackers français ont émigré ou alors ils se sont tournés vers la communauté du logiciel libre. » À titre d’exemple Olivier Laurelli aka Bluetouff, une figure bien connue de la communauté hacker française et fondateur du site reflets.info, a subi les foudres de la justice française. En 2014, il a été reconnu coupable de piratage informatique et de vol de données dans une affaire qui l’opposait à l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Son tort ? Avoir téléchargé via son moteur de recherche des documents confidentiels de l’ANSES et les avoir diffusés sur son site. Pour Fabrice Epelboin, cette affaire est l’une des illustrations de la tension entre la communauté des cyber-militants et les pouvoirs publics français.

 

Vers une normalisation de cette communauté ?

Pourtant, il semblerait que les temps changent. Aujourd’hui, les entreprises réalisent qu’elles ont tout intérêt à collaborer avec ces experts en sécurité, quitte à passer l’éponge sur leurs méthodes parfois peu conventionnelles. Avec sa société Yogosha, Fabrice Epelboin a contribué à importer en France la pratique du « bug bounty », qui consiste à mettre en relation des entreprises et des hackers, pour que ces derniers recherchent des failles de sécurité dans les systèmes, contre rémunération. Il est donc un observateur privilégié de l’évolution des mentalités, et de la décrispation des relations entre hackers et entreprises. « On assiste petit à petit à un changement de paradigme » confirme Paul Fariello. Les entreprises, de plus en plus soucieuses de se confronter aux failles de leurs systèmes pour mieux les défendre, n’hésitent plus à faire appel aux compétences des hackers. Peu sont cependant disposées à communiquer sur ces dispositifs. Le site de l’entreprise Yogosha précise qu’ils ont déjà collaboré avec des grands noms comme Bouygues Telecom ou l’assureur April. Des entreprises françaises comme la Société Générale, Qwant ou OVH déclarent publiquement qu’ils font appel à ces stratégies de bug bounty. Mais il est encore difficile d’obtenir des déclarations publiques ou des chiffres à ce sujet.

Les grands cyber criminels d’hier, à l’instar de Kevin Mitnick ou de Brett Johnson, collaborent aujourd’hui avec des entreprises comme consultants en sécurité. Pourtant, des lanceurs d’alerte comme Julian Assange ou Edward Snowden sont encore considérés comme des criminels, voire des traîtres à la nation (c’est le cas de Snowden aux USA). Le signe que la normalisation souhaitée par certains n’a pas encore complètement abouti, et que les hackers demeureront encore longtemps des figures controversées.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Notre équipe de Threat Intelligence remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Victor Poitevin Editorial & Digital Manager, Stormshield

Victor a la casquette d'Editorial & Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... tout l'écosystème de Stormshield est mis à contribution. Et pour répondre aux hautes ambitions numériques du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.