J’entends beaucoup parler de pirates informatiques. Je lis aussi beaucoup sur la question car le sujet m’intéresse à plusieurs titres:

– comme responsable informatique dans une école d’ingénieurs, les tentations d’indélicatesses in situ par les étudiants sont nombreuses,

– comme correspondant sécurité du Réseau National de télécommunications pour la Technologie l’Enseignement et la Recherche dans mon établissement, la surveillance de nos serveurs internet et de nos accès au réseau des réseaux est indispensable,

– comme informaticien inscrit sur la liste des experts judiciaires, je dois m’assurer qu’un litige qui m’est soumis ne trouve pas sa source dans les opérations frauduleuse d’un tiers,

– comme enseignant-chercheur en informatique, j’ai à cœur l’enseignement de l’utilisation pratique des technologies de l’information et de leurs sécurités,

– comme particulier à la tête d’un réseau informatique personnel, je dois m’assurer de l’utilisation normale des différents ordinateurs familiaux (par les miens et par les aliens),

– enfin, comme informaticien passionné et curieux, j’ai toujours eu à cœur de comprendre le fonctionnement des techniques utilisées dans les appareils de traitement automatique de l’information. Et étudier leur fonctionnement, c’est s’intéresser également à leur dysfonctionnement. Et étudier leur dysfonctionnement, c’est s’intéresser à leur sécurité.

Je ne vais pas vous faire ici un cours sur la sécurité informatique. Je dis simplement que ce point particulier m’intéresse.

Attention: je ne dis pas que je suis compétent. Je dis simplement que je suis personnellement attiré par ce qui relève de la sécurité informatique. Et depuis longtemps. Enfin, je veux dire depuis tout petit. La raison? Simple curiosité scientifique… et certainement une attirance non nulle par le côté obscur de la force (attirance toute scientifique bien sur;).

Le côté obscur de la force.

Les élites informatiques.

Vous savez, celles qui parlent un langage particulier, l’elite speak, c’est-à-dire le leet speak, euh, je veux dire le L33T 5P3AK.

Enfin quoi, celles qui utilisent cette version de Google…

4m1$, 1£ ƒ4µ7 ƒ41r3 µn3 p4µ$3

J’4p3rç01$ £’0mbr3 Ð’µn b0µ(h0n

Bµv0n$ à £’41m4b£3 ƒ4n(h0n

(h4n70n$ p0µr 3££3 qµ3£qµ3 (h0$3

Mais revenons à nos m0µt0n5. Je ne peux pas nier qu’à l’âge de mes premières amours, mon attirance anormale vers l’informatique était en partie liée à cette attirance des réseaux undergrounds dont on m’avait parlé. C’était l’époque où notre ancien ministre de l’économie des finances et de l’industrie donnait vie à mon héros d’alors, j’ai nommé Brendan… Je sortais de mes lectures la tête pleine de rêves de hacking, cracking et autres carrières de professeur au MIT. Avec cette odeur de souffre qui plaisait tant alors aux filles. CQFD.

J’étais un bad boy parce que je rêvais d’exploits.

Ceux-ci, pas ceux-là…

Seulement, voilà, je suis un gentil.

Celui-ci… pas celui-là!

Et donc, il m’a fallu patienter jusqu’à devenir responsable informatique pour m’attaquer réellement à mon premier piratage: celui de mon propre système. Pourquoi? Et bien pour voir si mon système était suffisamment sécurisé. Je suis donc devenu corsaire de l’informatique.

Un corsaire de l’informatique est un membre de l’équipage d’une SSII, autorisé par une lettre de marque (ou lettre de course) à attaquer en temps de cyberguerre, tout site battant pavillon d’États ennemis, et particulièrement son trafic marchand, laissant à la flotte de guerre le soin de s’attaquer aux objectifs militaires. Les corsaires, ne doivent donc pas être confondus avec les pirates puisqu’ils exercent leur activité selon les lois de la guerre, uniquement en temps de guerre et avec l’autorisation de leur gouvernement. Capturés, ils ont droit au statut de prisonniers de guerre^[1].

Me voici donc en train de cracker les mots de passe pour vérifier que mes utilisateurs sont bien (in)conscients. En train de lancer une attaque DOS, ou de jouer à l’homme du milieu…

Et comme beaucoup d’administrateurs réseaux, j’ai joué avec le feu: matériel en production, tentative de pénétration frauduleuse de système informatique (depuis chez moi avec mon modem)… En fait de corsaire informatique, j’étais plutôt un flibustier, c’est-à-dire un corsaire auto proclamé.

J’ai donc fini par me rendre compte que la sécurité informatique… et bien, c’est un métier. Et que moi, finalement, je ne suis qu’un script kiddie, un gamin utilisateur de scripts. Et un script kiddie, cela peut être extrêmement dangereux, par son incompétence même.

Le problème, c’est que depuis ma lecture de Softwar, des professeurs Brendan, je n’en ai pas rencontré beaucoup. Ni de vrais corsaires de l’informatique. Ni de pirates. Et pourtant, depuis l’arrivée d’Internet (je mets une majuscule quand je veux), la cyberguerre est partout. C’est pourquoi je dois me protéger. Je dois protéger mon système informatique. Je dois protéger mon système d’information. Je dois protéger mon entreprise.

Et comme je suis un bisounours dans un monde de brute. Je dois faire appel à un spécialiste. Un anti-pirate. Un héros des temps informatiques.

Un mercenaire informatique.

D’après Zythompédia, le terme «mercenaire informatique» s’entend de toute personne qui est spécialement recrutée dans l’entreprise ou en SSII pour combattre dans un cyberconflit, et qui prend part aux hostilités essentiellement en vue d’obtenir un avantage personnel et à laquelle est effectivement promise, par une entreprise au conflit ou en son nom, une rémunération nettement supérieure à celle qui est promise ou payée à des combattants ayant un rang et une fonction analogues dans les services informatiques de cette entreprise.^[2]

J’ai nommé le PENTESTER.

Mais cela, c’est une autre histoire (à suivre).

————————

[1] et [2] Ami lecteur du premier degré, cette définition est inventée, voire romancée.