9 novembre 2017

«Nous confions tout à un système qui n’est pas digne de confiance»

Jonathan, hacker professionnel berlinois appelle les internautes à se protéger d’un monde numérique capable aujourd’hui de biaiser la réalité et dans lequel des individus isolés peuvent menacer des Etats.

Jonathan, hacker professionnel.
Pour protéger sa vie privée, Jonathan, hacker professionnel, utilise un téléphone fixe, une ligne internet sécurisée, paie en cash et achète ses billets d'avion dans une agence de voyage.
Temps de lecture 10 minutes

Jonathan, vous êtes un farouche défenseur de la sphère privée: on ne trouve quasiment aucune information sur vous, et lors de cet entretien, je n’ai pas droit à un enregistreur. C’est une situation plutôt inhabituelle pour une interview…

Me voici donc «le» hacker? (Rires) Ce que je fais s’appelle «penetration testing» ou test d’intrusion. C’est ainsi qu’on nomme le piratage légal.

Que faites-vous précisément?

Je travaille dans une entreprise qui s’occupe de sécurité des données. Il s’agit de protéger les communications, autrement dit de prévenir les écoutes illicites et de sécuriser le stockage des données, par exemple dans le cloud. Nos clients sont, entre autres, des sociétés financières et des cabinets d’avocats. Par ailleurs, je suis impliqué dans le ­développement technique et dans l’analyse de menaces.

Que couvre l’analyse de menaces?

J’essaie, à l’aide de la recherche sur la sécurité, de déterminer les sources potentielles de dommages. Sur cette base, je développe un concept de protection, l’implémente et le valide à l’aide de tests d’intrusion. La recherche sur la sécurité et les tests d’intrusion sont les maîtres mots dans les activités de recherche en matière de protection des systèmes, c’est-à-dire dans le piratage légal. Quand bien même la recherche sur la sécurité ne serait pas toujours légale…

Comment êtes-vous arrivé à cette profession?

Je voulais devenir musicien ou informaticien. Je me suis donc formé en tant que développeur de logiciels et j’ai étudié l’informatique et l’économie, mais aussi la musique. J’ai une formation de pianiste de concert. Adolescent, j’étais fasciné par la face obscure des technologies de l’informa­tion, et il m’est arrivé de créer des logiciels pour en détruire d’autres. Après mes études de musique, j’ai réalisé que je ne serais pas assez bon pour devenir musicien profes­sionnel. Alors, j’ai décidé de me mettre au service de l’Etat, mais j’ai échoué à l’examen ouvrant sur les postes de hacker d’Etat à cause de mes erreurs de jeunesse. Néanmoins, j’ai réussi à entrer dans l’armée allemande, et y ai même obtenu de très bonnes qualifications. C’est aussi pendant cette période que je me suis mis à mon compte et que j’ai fondé une société en compagnie d’un officier des services secrets et d’un camarade.

Comment se déroulent vos journées?

Je passe évidemment beaucoup de temps devant mon ordinateur. Trente pour cent de mon activité est consacré à l’analyse des actualités informatiques. Le reste du temps, je fais de la recherche sur la sécurité, je programme et je teste. Je conseille aussi des clients et participe en qualité de consultant à des conférences, telle celle sur la «Black Hat Security» (dans le jargon informatique, les «black hats» sont des hackers malintentionnés, ndlr). Par ailleurs, je lis les rapports d’Europol et communique avec des collègues informaticiens. Je travaille quatre jours par semaine à mon domicile, et un jour dans un bureau avec une équipe. Nous sommes entre vingt et vingt-cinq personnes.

Nous sommes attablés tout à fait normalement dans un café, alors qu’à certaines ­occasions, comme lors du récent Congrès des hackers de Prague, vous apparaissez masqué. Pour quelle raison?

Parce que là-bas, j’apparais dans le costume du personnage public. Monsieur Tout-le-monde ne finit dans aucun journal et ne donne pas d’interview.

Le masque permet de dire la vérité sans conséquences.

Comment protégez-vous votre sphère privée au quotidien?

Je n’ai pas de téléphone portable, juste un téléphone fixe, toujours en mode silencieux. A cause de mon travail, j’ai longtemps associé la sonnerie du téléphone au stress. Alors j’utilise un «pager» (un appareil permettant de capter des messages radio, ndlr) qui est uniquement en mode réception et bipe environ deux fois par jour. Ce pager, je l’ai aussi pour des raisons de protection de ma sphère privée puisqu’il ne laisse aucune trace: je peux traverser la ville sans risquer de tomber sur une requête d’une cellule radio*. Et lorsque je rencontre quelqu’un, je ­demande d’éteindre le téléphone et de le mettre dans la poche.

Par précaution, je n’ai pas emporté de ­téléphone. Mais laisse-t-on une trace même lorsqu’on retire la carte SIM de son téléphone et qu’on l’éteint?

L’appel d’urgence fonctionne toujours, même sans carte SIM. D’une façon ou d’une autre, le téléphone se connecte toujours à une cellule radio.

Qu’évitez-vous encore?

Je n’utilise aucun des médias sociaux sauf Twitter, et encore, très rarement. Et je ne paie qu’en argent liquide.

Vous n’achetez ou ne réservez rien en ligne?

Non, je n’achète rien sur le net. Je réserve les billets d’avion par l’intermédiaire d’une agence de voyages, ce qui me coûte parfois un peu plus cher.

Quoi d’autre encore?

Je ne donne mon vrai nom que lorsque la loi l’exige. Et je refuse de participer à des sondages, que ce soit hors ligne ou en ligne. Par ailleurs, je ne collectionne pas de miles et ne possède pas de carte payback. De plus, je n’autorise personne à prendre des photos de moi. Je trouve extrêmement désagréable de voir apparaître sur internet un message disant où vous étiez, avec qui et quand. La photo individuelle n’a plus guère de valeur aujourd’hui.

Utilisez-vous un ordinateur en privé?

Pas pour l’écriture. Je remplis à la main environ douze carnets Moleskine par année. Mes questions existentielles restent donc entre moi et le papier, et cela me permet de mieux réfléchir à ce qui me préoccupe.

J’aimerais évacuer l’ombre numérique de ma vie.

Jonathan, hacker professionnel

Comment naviguez-vous sur internet?

Je n’utilise pas directement internet. Je passe par un service VPN. Même quand je suis à l’extérieur. C’est nécessaire pour des impératifs de sécurité. Aujourd’hui, un enfant de 5 ans peut paralyser un réseau avec son Gameboy. Chez moi, à la maison, tout le monde se connecte automatiquement sur le VPN (Virtual private network ou Réseau privé virtuel, ndlr). Personnellement, je le fais depuis quinze ans.

A quoi un particulier devrait-il prêter attention lorsqu’il utilise un service VPN?

Il y a beaucoup de fournisseurs. Ce qui est crucial, c’est leur réputation. La découvrir n’est pas facile pour le profane, donc il faut se faire conseiller. Ipredator, Cryptohippie, IVPN et Cryptostorm sont des fournisseurs sérieux. Techniquement, c’est simple: il suffit de connecter un routeur VPN en amont de la box existante. Il est également important que le fournisseur de VPN propose des services «multi-hop», c’est-à-dire multi-sauts.

En Suisse, une nouvelle loi sur le renseignement est entrée en vigueur le 1er septembre 2017. Désormais, la conservation des données est autorisée. La Wochenzeitung et le CCC Suisse (Chaos Computer Club**) ont écrit à cette occasion un petit guide d’autodéfense numérique qui montre comment se protéger. Avons-nous vraiment besoin de nous défendre?

Oui, vraiment!

L’internet est comme la gare du Jardin zoologique de Berlin dans les années 1970, avec ses pickpockets, ses dealers de drogue et ses junkies.

Entre autres choses, les auteurs recommandent le réseau Tor Browser...

On peut utiliser Tor à l’occasion, mais pas pour n’importe quoi, c’est dangereux. En principe, n’importe qui peut mettre en place un serveur Tor, qui est le nœud où le trafic retourne à l’internet. Ces nœuds de sortie espionnent les utilisateurs, et leurs opérateurs sont inconnus. Cela dit, communiquer avec des services cryptés sur internet n’est guère praticable. Tor augmente le risque que des données soient transmises à des personnages douteux. Dans un VPN, en revanche, on connaît l’opérateur.

Que pouvons-nous faire pour protéger notre vie privée?

Il faudrait garder le contrôle sur ce qu’on ­publie et ce qu’on garde pour soi. Il n’y a que deux options: d’un côté, le tout à fait privé, de l’autre, tout le reste, c’est-à-dire tout ce qui n’est pas embarrassant et dont on pense qu’on peut le faire connaître à tout un chacun. Aujourd’hui, nous publions ce qu’autrefois nous avions l’habitude de ne commu­niquer que de personne à personne ou considérions comme peu digne d’intérêt.

Il nous faut être bien conscients que tout, absolument tout, est conservé.

Les données sont collectées, même si personne ne sait encore exactement à quoi elles serviront. Facebook est en mesure d’exploiter d’énormes quantités d’informations apparemment insignifiantes pour manipuler des individus et des groupes.

Que fait-on de ces données?

On essaie d’en déduire des actions à réaliser. C’est la «data science» ou science des données, qui s’occupe d’analyses statistiques. L’autre domaine est le «data mining», l’exploration des données: de grands teams ­essaient juste de comprendre quelles informations supplémentaires il serait possible d’extraire de données.

A quoi servent ces informations?

A partir des évaluations statistiques, on passe au «machine learning» (apprentissage automatique, ndlr), c’est-à-dire à l’entraînement de l’intelligence artificielle: on nourrit un système de questions dont on connaît les réponses. Ensuite, celui-ci s’aide de réseaux neuronaux pour apprendre à donner la réponse attendue. L’intelligence artificielle existe depuis vingt ou trente ans. Mais ­aujourd’hui, les ordinateurs ont la puissance de calcul nécessaire et disposent de suffisamment de données pour alimenter le système. Les «captcha» en sont un exemple. Ce sont ces suites de signes déformés qu’il s’agit de reproduire sur des sites ­internet pour s’identifier et prouver que l’on est bien un humain et non pas un robot. ­Chacune des occurrences fournit des données qui entraînent l’intelligence artificielle. Même des réponses délibérément fausses sont reconnues par Google par le simple fait que, précédemment, d’autres ont répondu honnêtement.

Quelles en sont les conséquences?

A l’avenir, nous serons en mesure de poser à  nos ordinateurs des questions dont nous ne connaissons pas encore les réponses et d’en obtenir une de leur part. Cela conduit à des problèmes complètement inédits, car il manque aux ordinateurs toute la démarche réflexive. Admettons, par exemple, que l’on veuille analyser la solvabilité d’une personne. On va pister toutes ses données à travers un réseau neuronal. On en tirera un indice de solvabilité, mais on sera incapable de dire comment il a été obtenu. Conséquence: une banque ne saura plus pourquoi elle refuse un crédit et il lui sera tout aussi impossible d’expliquer à son client comment il pourrait modifier son comportement pour redevenir solvable. Nous sommes en train de construire des machines qui tirent des conclusions pour nous, mais sans que nous puissions comprendre comment elles y sont parvenues.

Comment peut-on échapper aux attaques lancées contre nos données?

Uniquement en modifiant nos comportements.

Toute interaction avec des appareils numériques est enregistrée et stockée pour toujours sur un disque dur.

Tout défilement d’une page est enregistré, Facebook sait où la souris se trouve sur notre écran, combien de temps nous passons à lire un message ou à regarder une image avant de cliquer sur un «like», et ainsi de suite. Toutes ces données contiennent des informations. Donc, il faudrait toujours se demander s’il est bien ­nécessaire de poster une photo de sa boisson préférée. En le faisant, on entre dans un espace où des signaux s’échangent en permanence et attendent des retours. Psychologiquement, c’est une interaction extrêmement addictive. Des études troublantes sur les médias sociaux montrent que ce fonctionnement a le même effet que la cocaïne sur le plan psychologique, et qu’il rend accro aux «likes» ou au prochain bip. Ces systèmes, nous les avons délibérément créés. Google et Facebook se sont entourés de psychologues qui ne s’occupent que de cela. C’est quasiment un cartel de Cali (une organisation mafieuse colombienne de narcotrafiquants, ndlr).

Sombre conclusion…

Au cours des dernières décennies, nous avons désappris le monde réel pour privilégier le lien indirect avec lui. Notre représentation du monde est plus influencée par les médias que par ce que nous expérimentons réellement. Le terrorisme, par exemple, est vécu via une intensité médiale disproportionnée. Cela crée des erreurs de jugement sur le risque que représente ce fléau. Nous percevons moins l’événement direct que les comptes rendus que certains font des comptes rendus d’autres. Prenons les élections américaines: on n’interagissait plus avec les gens, mais on a créé des avatars médiatiques qui ont interagi entre eux. Cela a produit une gigantesque boucle de rétroaction entre les communicateurs, qui percevaient cela comme la réalité. Cela a biaisé la perception des gens, façonné leurs attentes et, surtout, placé le débat sur le plan émotionnel. Pour beaucoup de gens, ce qui domine, c’est ce qui se passe sur Facebook et à la télévision. Un accès partagé à des expériences se transforme en des expériences communes socialement partagées. Nous en venons à croire que la réalité résulte de cette immense boucle de rétroaction.

Quels sont les dangers qui menacent le monde réel à travers le numérique?

Nous construisons un système sur une sphère à laquelle nous confions tout, mais qui n’est absolument pas digne de confiance – et qui, de surcroît, est facile à manipuler par des tiers. Et l’on peut être sûr à 100% que quelqu’un, sur notre planète, tente de le faire. Dans ce domaine, tous les Etats s’équipent pour se prémunir contre une attaque.

Tout le monde pirate tout le monde, toujours et partout.

On en revient à la stratégie de l’équilibre mondial adoptée durant la guerre froide. Mais comme les Etats s’infiltrent mutuellement le plus profondément possible, cela induit un risque qui n’existait pas du temps de la guerre froide: à l’époque, la scène ne réunissait que quelques acteurs qui se connaissaient bien. Aujourd’hui, ce sont cent Etats, des centaines de syndicats et de sociétés privées criminelles ainsi que des organisations obscures qui sont impliqués. Des milliers de personnes possèdent les connaissances nécessaires pour commettre des méfaits. Nous ne savons plus quelles motivations pourraient mener à une première frappe, et sommes incapables de l’attribuer à une personne physique. En bref, nous ne savons pas qui peut attaquer quels systèmes. Beaucoup de politiciens croient que seuls des acteurs étatiques, les Russes ou les Chinois, peuvent lancer des attaques. Or même des individus isolés peuvent menacer des Etats.

Benutzer-Kommentare

Plus sur ce thème

Aude Seigen en train de téléphoner avec un appareil téléphonique des années 1970.
De plus en plus d’utilisateurs se tournent vers des sites ultra-sécurisés.