Interview Keren Elazari : "Les hackers ont le potentiel disruptif dont nous avons besoin"

le 25/04/2017 par blog-usi
Tags: Innovation & Technologie

Et si nous avions tout faux sur les hackers ? S'ils étaient les meilleurs défenseurs de nos libertés numériques et de puissants alliés pour l'entreprise de demain ? Experte en cybersécurité, Keren Elazari nous emmène au-delà des frontières de la cybersphère ; où les hackers font front à Daesh, où notre système judiciaire est obsolète, et où les futures stratégies géopolitiques pourraient bien se jouer...

(Pour lire l'interview dans sa version originale, passez en EN !)

Keren Elazari, experte en cybersécurité et speaker USI 2017

Pourriez-vous nous parler un peu de votre passé ? Quels ont été les jalons sur votre route vers la cybersécurité et le hacktivisme ?

Ce qui est intéressant, c’est que la cybersécurité et le monde des hackers n’est pas seulement mon parcours, c’est vraiment ce qui me définit. Enfant déjà, la technologie m'intéressait énormément, j’étais très curieuse de savoir comment les choses fonctionnaient. Je cassais les objets, je les démontais, je me faufilais sous la table pour déconnecter des câbles  et voir ce qui se passerait si je les reconnectais ailleurs. Mes parents ont beaucoup d’anecdotes à ce sujet !

Je pense qu'un des premiers jalons est Internet, qui est arrivé en 1993 en Israël. Je devais avoir douze ou treize ans et j’étais complètement emballée par ce truc – même si je ne savais pas vraiment de quoi il s’agissait ! Je passais des heures à explorer ce monde sans frontières. C’est comme ça que j’ai commencé à m'intéresser au hacking.

Parfois, je tombais sur des sites protégés par un mot de passe et je cherchais absolument à dépasser ces restrictions. J'ai d'abord appris en faisant du copier-coller des astuces des autres, en passant beaucoup de temps sur IRC (Internet Relay Chat), un des premiers réseaux de chat au monde. C’est là que j’ai rencontré des hackers pour la première fois et que j’ai pu apprendre auprès d’eux. C’est même comme ça que j’ai appris l’anglais, ou en tout cas à avoir une conversation écrite en anglais ! Ensuite, j’ai pu croiser quelques-uns de ces hackers dans la vraie vie, lors d'une rencontre de hackers en Israël. C’était en 1999, j'avais environ 17 ans.

Un autre jalon important est la sortie du film Hackers en 1995. Ce film, c’est ce qui m'a donné ma vocation, j’en parle dans toutes mes présentations. Il m’a appris qu'un hacker pouvait être le héros d'une histoire, et pouvait être une fille ! Le rôle est joué par Angelina Jolie, à mes yeux une des personnes les plus cools qui soient. C’était exactement ce qu'il fallait que je voie et que j’entende pour comprendre que c’était ma vocation. Tous les éléments étaient réunis pour moi à cet instant précis de ma vie et dans l’environnement culturel ambiant. Il y a une scène en particulier où les personnages principaux demandent à des hackers du monde entier de les aider. On voit un montage de hackers en France, en Corée, en Espagne, en Allemagne... C’est ce qui m’a bien fait comprendre qu’être hacker ne signifie pas être seul dans son coin, être isolé. C’est un phénomène planétaire. J’étais citoyenne de cette « hacker nation » — je m’y sentais à ma place. Vous pourriez dire que j'ai vision hollywoodienne un peu romantique du hacking, c’est vrai dans un sens !

Beaucoup ont critiqué le film pour son manque de rigueur technique. Il ne ressemblait pas du tout à la série Mr Robot par exemple. Tout dans Mr Robot est absolument légitime, même les scripts et le code (j’ai vérifié !). Dans le film Hackers, ce n’était pas du tout comme ça. Ces gamins pouvaient faire tout ce qu’ils voulaient : contrôler les feux de circulation, pénétrer le système du FBI... Ce n’était pas réaliste en 1995. Mais ça l’est beaucoup plus aujourd’hui !

Vous avez débuté dans la « sécurité informatique », mais on dit maintenant « cybersécurité ». Quelle est la différence et à quel moment cette transition a-t-elle eu lieu ?

Keren_Elazari_RS

C’est une question fondamentale. Avant, la sécurité informatique cherchait à protéger de l’information, des secrets. Que ce soit des numéros de cartes bancaires, ou la formule secrète de Coca Cola ou de Chanel N°5. Aujourd’hui, il ne s'agit plus tellement de protéger des secrets, mais plutôt des choses comme les feux de circulation, les GPS, les appareils médicaux tels que les pacemakers, etc. Les enjeux et les cibles ne sont plus les mêmes.

A mon avis, la transition culturelle mondiale de l’information à la cybersécurité s’est produite en 2010 – plus spécifiquement à l’été 2010 que j’appelle « L’été de Stuxnet ». C’était le nom de code pour le virus qui a perturbé les centrifugeuses et installations d’enrichissement de l’uranium en Iran. Stuxnet en tant que logiciel a montré au monde entier que 15.000 lignes de code pouvaient réellement perturber des infrastructures physiques. C'était énorme en termes de géopolitique. Quelques chefs d’Etat ont probablement compris à cet instant précis l'impact stratégique que cela pouvait avoir. Certains pays l'ont compris plus tôt, d'autres plus tard. Mais de manière générale, la décennie de la cyberguerre a officiellement débuté à l’été 2010.

Lire aussi :

-Mikko Hypponen - Sécuriser notre future : le nouveau visage de la cybercriminalité

Certains médias font même le lien entre cet événement et la situation actuelle vis à vis de la Corée du Nord, pour dire que les cyberarmes sont peut-être ... la meilleure des mauvaises solutions !

Je ne vais pas prendre une position morale par rapport à Stuxnet, et essayer d'aborder la question d’un point de vue purement rationnel. Et même en termes de rapport coût-efficacité. Si l’on fait appel aux meilleurs experts, on peut se dire que ce type de cyberarme coûte environ 2 à 3 millions de dollars, ou même 10. Vous pouvez ensuite la déployer sur une période donnée, furtivement – donc sans un « grand boum », sans même que les gens la remarquent – et atteindre discrètement votre objectif. Comparez ce coût avec le fait d’envoyer une bombe anti-bunker par hyperjet, les pertes humaines qui en découlent, et le risque d’un conflit international ... Les chiffres parlent d’eux-mêmes ! Si j’étais chef d'État, il serait très clair pour moi que les cyberarmes sont les meilleurs « outils » dont nous disposons. Pas seulement parce qu'il est difficile de conclure des accords diplomatiques avec des pays comme l’Iran et la Corée du Nord, surtout parce que c’est une tactique géopolitique très efficace pour faire appliquer une politique au monde.

Il n’est donc pas surprenant de voir cette même approche –à savoir utiliser les cyberarmes pour influencer et manipuler le paysage géopolitique – maniée par la Russie et les États-Unis. Si vous êtes une personnalité politique qui veut influencer le monde et qui a d’excellents hackers dans son pays, vous allez utiliser ce pouvoir pour modeler le monde à votre image. C’est un fait, et le savoir ne devrait pas nous choquer autant... En vérité, il existe des moyens pour manipuler des élections démocratiques, ou la perception publique du processus démocratique. Simplement en fournissant beaucoup de données, en pratiquant l’espionnage, et en faisant fuiter des mails au moment opportun, vous pouvez réellement changer le cours d'une élection. Vous avez certainement conscience de tout cela en France, surtout en ce moment avec les élections. Il y a des leçons à tirer de ce qui s’est passé aux États-Unis. Et il vaudrait mieux les tirer tout de suite !

J'aimerais que le public d’USI se mette à réfléchir très différemment et de manière hautement critique à la façon dont la cybersécurité et le monde des hackers changent notre monde.

Justement, comment changer les stigmates liés aux activités des hackers ? Comment faire en sorte que « hacker » puisse devenir une carrière valide et prometteuse pour la nouvelle génération ?

Aujourd’hui, les hackers représentent un formidable potentiel de changement. Ces changements n’ont pas à être effrayants ou avoir un impact négatif, contrairement à ce qu'on imagine souvent quand on pense au « hacking » Tout dépend en premier lieu de la manière dont les entreprises, les gouvernements et les organisations apprennent à coopérer avec les hackers pour mettre ce potentiel à leur propre service.

Un exemple génial est le Bug Bounty Program. C’est un peu comme au Far West, quand le shérif offrait une récompense à quiconque l’aiderait à attraper les méchants. Le programme Bug Bounty permet à des entreprises comme Microsoft, Google, Paypal (parmi maintes autres) d’offrir une récompense à ceux qui trouvent des problèmes : des vulnérabilités dans la sécurité ou des bugs logiciel sur leurs sites, etc. Ce programme n’est pas la solution à tous les problèmes de cybersécurité du monde, mais il propose une force de travail inédite et puissante fondée sur la coopération productive avec les hackers.

Les programmes Bug Bounty sont aujourd’hui très répandus et sont de plus en plus souvent lancés par des organisations plutôt traditionnelles. Il n’est pas surprenant que des entreprises comme Facebook ou Tesla travaillent aujourd’hui avec des hackers et profitent de leur savoir. Le Pentagon lui-même a lancé un programme pour les hackers appelé « Hack the Pentagon », car même l’icône de la défense le mieux établi a des fuites et des failles sécuritaires. « Hack the Pentagon » a attiré des gens du monde entier. Ce n’est pas seulement une méthode géniale pour trouver des failles, encore une fois le rapport coût-efficacité est excellent. Le mois dernier, j’ai rencontré une des femmes qui gèrent le programme et je lui ai demandé comment elles avaient réussi à convaincre le Pentagon de s’ouvrir à la coopération avec des hackers. Elle m’a répondu que le facteur décisif derrière cette politique était le coût !

Exemple de hacker participant au Bug Bounty Program mis en place par Facebook

Lorsque je suggère à une entreprise de lancer un programme Bug Bounty, j’ai encore ce genre de réaction : « Heu… Nous allons consciemment demander aux méchants de venir nous hacker ? » Que les choses soient claires : les méchants, les criminels, n'ont pas besoin d’une invitation. Ils sont déjà en train de hacker ce qu’ils veulent pour se faire de l’argent et obtenir des informations. C’est pourquoi j’utilise le terme « criminels ». Ils sont très bien organisés et grassement financés.

Des programmes comme le Bug Bounty constituent une autre approche. Ils motivent les hackers, leur donnent l’opportunité de faire connaître les problèmes tout en recevant en échange la reconnaissance de leurs talents et éventuellement de l’argent.

Il y a plus de cent mille hackers inscrits dans une diversité de programmes tels que BugCrowd et HackerOne – qui fonctionnent comme des réseaux sociaux pour ces hackers bienveillants. Ils sont originaires des quatre coins du monde : Europe, Etats-Unis, Asie, Amérique du Sud, Moyen Orient, etc.  Dans certains pays, les hackers ne pouvaient pas faire ce travail de recherche sécuritaire de manière légitime et obtenir un salaire dans une grande entreprise. C’est un développement majeur ! C’est à la fois utile aux entreprises, et cela permet de former la main d'œuvre de demain. Ces programmes fournissent en outre une alternative au monde de la cybercriminalité, notamment pour les jeunes. Il est désormais possible d’en faire une carrière professionnelle, j’en suis la preuve. Cela change radicalement le visage de ce secteur.

J'ai eu beaucoup de chance d’être née en Israël où les hackers ne sont pas considérés comme des criminels. Être un « hacker » veut aussi dire être futé, créatif... Quand j'ai rejoint l’armée, j’ai pu dire : « Je suis experte en sécurité, je suis hacker. Voici ce que je sais faire. J'aimerais aider l’armée à protéger son propre système. » Et j’ai pu suivre cette voie au lieu de celle de la criminalité. J'avais une alternative. Ce n’est pas le cas dans la majorité des autres pays.

Hacker est considéré comme une activité illégale et pourtant certains gouvernements travaillent avec les hackers ! Laissons un instant de côté cette hypocrisie… Voyez-vous des changements à venir dans la législation, qui pourraient mener à la légalisation de cette activité dans un futur proche ?

C’est une excellente question. Je ne suis pas juriste, mais ma sœur l’est ! Elle est spécialisée dans le cyberdroit et la propriété intellectuelle. Apparemment, les systèmes juridiques diverses criminalisent le hacking chacun à leur manière. Des changements législatifs sont déjà en cours. Parfois parce que le gouvernement ou les législateurs comme les députés et les sénateurs ressentent le besoin de changer la loi, ou parce que le FBI ou la police le leur demande. Les changements sont aussi impulsés par des organisations telles que l’EFF (Electronic Frontier Foundation) aux US.

L’EFF s’attèle à faire changer la législation, notamment le Computer Fraud and Abuse Act ; une loi qui a été créée dans les années 1980 ou 1990, et qui ne peut plus être adaptée à la réalité d’aujourd'hui. Cette organisation cultive un véritable esprit « hacker » et cherche réellement à protéger nos libertés. Ils mènent des batailles notamment contre la surveillance, pour défendre notre droit à une vie privée numérique, etc. Ce sont de telles organisations dont nous avons besoin – comme La Quadrature du Net en France par exemple – et il n'y en a pas beaucoup dans le monde.

On peut également agir au niveau de l’entreprise – même si hacker est criminalisé dans le pays. Par exemple : l’entreprise Oracle a inscrit dans ses conditions d’utilisation (ces trucs que personne ne lit mais que tout le monde signe !) que si par ingénierie inverse vous trouvez une faille sécuritaire dans leur logiciel, vous êtes en infraction. L’entreprise présente ça comme une décision unilatérale. Mais on peut aussi prendre une autre décision, comme l’a fait Google, dont les conditions d’utilisation spécifient : « Si par ingénierie inverse vous révélez une faille sécuritaire dans nos logiciels, et que vous ne vendez pas cette information sur le marché noir, vous ne serez pas considéré comme criminel et nous ne porterons pas plainte. »

Hacker n’est pas illégal par définition. Il n’y a qu’à voir comment fonctionnent les Hackathons ! Hacker, c’est créer de nouvelles technologies, faire émerger des idées, innover. Il s'agit d’être curieux, de chercher à comprendre, de se demander quelles sont les applications possibles pour une technologie donnée. Je fais un lien avec des films comme Matrix ; hacker, c’est refuser d’envisager la réalité comme une situation passive, en mode “lecture seule”. C’est transformer sa réalité technologique, voire sa réalité politique. C’est faire une différence, ne serait-ce qu’en tant qu’individu.

"Hacker, c’est refuser d’envisager la réalité comme une situation passive, en mode “lecture seule”" @k3r3n3

Est-ce que c’est la même chose avec le hacktivisme ? Comment définiriez-vous exactement ce mouvement ?

Les contours ne sont peut-être pas aussi clairs.

Logo du groupe de hackers Telecomix

Nous connaissons tous Anonymous, mais parlons d'un autre groupe appelé Telecomix composés de hackers européens et canadiens. Ce sont eux qui ont aidé les Égyptiens à avoir accès à Internet pendant la Révolution Égyptienne de 2011. Ce qui n’était pas du tout légal du point de vue du gouvernement de Moubarak. Mais parfois – et en particulier durant des périodes sombres – il faut mener d'autres types d’actions civiques. Et l’hacktivisme ouvre réellement la voie pour que les gens puissent prendre leur destin en main.

Ces dernières années, nous avons vu la montée de Daesh et d'autres groupes terroristes. Ces groupes se servent de Twitter, des chats et d’Internet pour leur campagne de radicalisation et leur propagande haineuse. Anonymous et d’autres hacktivistes connaissent des techniques pour faire tomber leurs réseaux, ou du moins pour leur rendre la vie plus difficile. C’est très stratégique parce qu'ils agissent dans des domaines où les autorités sont encore peu présentes.

J’ai moi-même appris à mon gouvernement comment combattre des groupes terroristes dans le cybersphère. Même ceux qui s’occupaient des réseaux sociaux au sein du Ministère des Affaires Étrangères ne s’étaient pas rendus compte de l'impact de Daesh sur Twitter, et ne savaient pas que des hackers pouvaient mener des actions concertées contre les terroristes. Bien sûr on peut objecter qu’enlever un profil Twitter n’est pas la même chose que d’empêcher une bombe d’exploser, c’est vrai. Cela dit, il a été démontré par les experts du contre-terrorisme que le domaine numérique constituait une cellule très importante pour des organisations telles que Daesh. Les hacktivistes peuvent jouer sur leur terrain natif contre Daesh et provoquer de réelles perturbations.

Selon vous, quelle est l’idée la plus prometteuse et excitante qui nous viendra du monde des hackers à l’avenir ?

Il y a deux domaines spécifiques qui m’enthousiasment particulièrement. L'un concerne les appareils médicaux et le hacking des ces derniers. Le deuxième relève du secteur automobile. Comme vous le savez certainement, des démonstrations ont validé la possibilité de prendre le contrôle à distance d’un véhicule comme une Jeep ou d’un appareil médical comme un pacemaker, pour en modifier le fonctionnement. logo du groupe de hackers I Am The Cavalry

Depuis quelques années, il y a un mouvement très fort de hackers bienveillants qui consacrent leur énergie et leur recherches à révéler les vulnérabilités de ces objets, et à travailler de concert avec l'industrie et les organes de réglementation pour créer un monde plus sûr. Je trouve ça génial ! Puisque tout se numérise, il faut se faire à l'idée qu'un constructeur automobile doit aussi devenir expert en cybersécurité. C’est également vrai pour les entreprises médicales et aériennes par exemple.  Pour équiper leurs avions d’Internet, les compagnies aériennes doivent apprendre à penser comme des FAI (Fournisseur d’Accès Internet). Tous doivent comprendre que leurs produits ont désormais partie liée avec des problématiques de cybersécurité. Cela leur est très difficile.

Heureusement, il y a  – comme je disais – une dynamique formidable dans la communauté des hackers pour ces domaines. Il s’agit de plus en plus de collaboration entre hackers et gouvernements, et, plus important, entre les hackers et les entreprises qui élaborent ces produits et technologies. Un exemple avec I Am The Cavalry, un mouvement de hackers spécialisé dans la recherche en cybersécurité, qui se focalise justement sur des domaines où la technologie avance particulièrement vite. I Am the Cavalry a invité l’un des régulateurs en chef de la FDA [équivalent US de l’Agence Française de Sécurité Sanitaire des Produits de Santé] à venir à Las Vegas pour une rencontre de hackers dédiée au hacking d'appareils médicaux. Ils ont également invité la personne en charge de la sécurité produit chez Johnson & Johnson. Grâce à ce dialogue, lorsqu'un hacker a trouvé une faille dans l’un des appareils Johnson & Johnson, il a pu leur remontrer le problème et le résoudre, avec la bénédiction des organes de réglementation ! Cette conversation a permis d’offrir un appareil plus sûr, plus vite que jamais.

Voilà de quoi les hackers sont capables quand on garde l’esprit suffisamment ouvert pour les écouter et travailler avec eux. C’est ça, mon cheval de bataille. C’est ça que je viendrai défendre à l’USI en juin.

Lire aussi :