Olivier Bonhomme

Ni noms ni photos. « On a totalement disparu d’Internet. » Et pas question d’y revenir, expliquent Bastien, 21 ans, et Rémy, 25 ans, étudiants du master « cyberdéfense et sécurité de l’information » (CDSI), inauguré en 2015 à l’Institut des sciences et techniques de Valenciennes (ISTV). Ces élèves sont ce qu’on appelle des « hackeurs éthiques ». Leur effacement d’Internet ? « On pourrait faire le lien avec des entreprises pour lesquelles ils travaillent et leur extorquer des données, justifie Yassin El Hillali, responsable ­pédagogique du master. Vouloir disparaître, c’est se protéger. »

Ces dernières années, le regard posé sur ces white hats (les hackeurs « au chapeau blanc ») s’est adouci. A l’heure où la moitié de la planète est connectée, les amateurs de traque aux bugs sont à leur tour « chassés » pour leur savoir-faire.

« Pour mieux se défendre, il faut savoir attaquer », raisonne Yassin El Hillali. « Notre but est d’avertir quand on trouve une faille, pas de l’exploiter », témoigne Florian, apprenti à Paris. Quant à ce qui les dissuade de devenir des pirates sans foi ni loi, Bastien lance, catégorique : « Garder sa liberté. »

Architecture des systèmes

« C’est plutôt intéressant de ne pas ­finir en prison, s’amuse Rémy. Il vaut mieux être du bon côté pour continuer d’apprendre et le faire toute sa vie. » Toutefois, il serait réducteur de résumer ces jeunes gens au hacking : dans ce cursus inédit, les étudiants intègrent aussi des compétences sur l’architecture des systèmes et la mise en place de stratégies de défense.

Dans la même pièce, trois paires d’yeux fixent un tableau de bord, sur ­lequel menaces et incidents s’analysent en temps réel. Ce sont les étudiants en « ingénierie des réseaux communications mobiles et sécurité » (Ircoms), un master plus axé sur l’outil informatique. L’Agence nationale de la sécurité des systèmes d’information (Anssi), la branche cyberdéfense de l’Etat, l’a labellisé SecNumEdu – comme 34 autres ­formations reconnues pour la qualité de leur enseignement en sécurité du numérique. Un catalogue encore insuffisant pour couvrir les besoins ­humains derrière les machines, tant ils sont exponentiels.

Cyberguerre

Les deux parcours valenciennois ­(Ircoms et CDSI) se révèlent complémentaires sur ce marché de la cybersécurité. Un réseau parallèle à celui de l’université de Valenciennes a évidemment été déployé pour faciliter les exercices pratiques et « rassurer tout le monde », sourit Thierry Delot, le directeur de l’ISTV. Leur dernière collaboration ? Sur une voiture connectée, les ­Ircoms ont établi un diagnostic supposé en garantir la sécurité.

Leurs ­camarades du master CDSI, glissés dans la peau d’attaquants, ont ­détourné son fonctionnement et pris son contrôle. Les étudiants ont ensuite réalisé ­ensemble un système, en prenant en compte les vulnérabilités ­décelées dès la phase de conception. Car en informatique, aucune citadelle n’est imprenable. « Celui qui attaque a tout son temps, celui qui protège doit agir vite », schématise Dhavy Gantsou, responsable du master « Ircoms », qui rappelle qu’« une attaque peut ­paralyser un pays ».

En juin 2017, l’Ukraine subit la plus grande cyberattaque de son histoire. L’aéroport de Kiev, des banques et des entreprises sont touchés par un virus destructeur de fichiers, nommé Petya. Le Centre d’excellence de cyberdéfense coopérative de l’OTAN y voit la signature d’un Etat voulant semer la panique. Dans ce qu’elle considère comme un acte de cyberguerre, Kiev accuse Moscou, malgré l’absence de preuves.

D’autres types de menaces circulent dans le cyberespace. La France est le huitième pays ciblé au monde. En ­parcourant une série de rapports ­publiés par des sociétés spécialisées (Symantec, KasperskyLab, Norton, Orange ­Cyberdéfense…), on apprend que 13,7 millions de Français ont été confrontés à la cybercriminalité en 2016, soit 24 % de la population. Et que la moitié des entreprises ont pâti d’une attaque en 2017. Une grande ­majorité n’a pas eu d’impact mais ­certaines escroqueries peuvent « mettre des gens au chômage », rappelle Thierry Delot.

Conséquences « dramatiques »

La médiatisation des attaques massives encourage la prise de conscience, mais focalise l’attention sur le vol et la destruction de données industrielles et gouvernementales. Or, à l’ère des voitures autonomes, des bracelets traceurs d’activité, des téléviseurs et des jouets intelligents, la sécurité de l’information et des systèmes connectés devient ­l’affaire de tous. Pour le directeur de l’ISTV, « dans ce registre-là, les conséquences peuvent être dramatiques ».

En 2012, le Néo-Zélandais Barnaby Jack avait ainsi prouvé qu’il pouvait tuer à distance en piratant des pacemakers. En juillet 2013, le trentenaire est mort d’une overdose juste avant la ­tenue de la conférence Black Hat, l’événement mondial le plus important pour la communauté de la sécurité ­informatique. Ce pirate « de légende », comme il fut salué à l’époque, était ­attendu pour présenter ses découvertes sur les faiblesses des équipements ­médicaux pour IOS Active, un leader de la cybersécurité. C’était un white hat.