Les hackers ont enfin fait cracker le Sénat

Le 20 juillet 2012

Enfin ! Le dernier rapport du Sénat sur la cyberdéfense montre un changement net de regard sur la communauté des hackers. Naguère assimilés à des vilains pirates informatiques avides de gains, ils sont maintenant considérés pour ce qu'ils sont vraiment : un précieux vivier de talents en matière de sécurité informatique.

hacker : pirate informatique.

Avec l’essor de l’internet s’est développée une nouvelle catégorie de pirates (hackers) agissant en groupes et essentiellement motivés par l’appât du gain. Ces groupes mettent au point des outils qu’ils peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations criminelles ou mafieuses, des officines d’espionnage économique, des entreprises ou des services de renseignement.

En 2008 comme en 2012, le rapport du Sénat sur la cyberdéfense, dont la dernière mouture vient d’être remise par Jean-Marie Bockel, témoigne que le milieu des hackers semble toujours un peu mystérieux à nos parlementaires. Pourtant, en fouillant dans le détail de ses 158 pages, on constate enfin une nette évolution positive dans la façon dont les hackers sont perçus, alors qu’ils font bénéficier de leurs talents nos réseaux depuis plus d’un quart de siècle. On note aussi au passage que le copié-collé si critiqué quand il s’agit d’élèves pompant Wikipedia semble ici une pratique tolérée.

Le point vocabulaire

En 2008, c’est bien simple, les rares occurrences du terme hacker sont synonymes de pirate informatique mercenaire. Quatre ans plus tard, si la définition dans le glossaire est la même, les occurrences sont plus nombreuses et nuancées, quitte à contre-employer le terme hacker.

Premier grand pas en avant, la sémantique s’étoffe, même si sa précision reste relative :

On peut distinguer trois catégories de « hackers » selon leurs motivations :
- Les « chapeaux blancs » (« white hats ») : Il s’agit souvent de consultants en sécurité informatique, d’administrateurs réseaux ou de cyberpoliciers, qui se caractérisent par leur sens de l’éthique et de la déontologie ;
- Les « chapeaux gris » (« grey hats ») pénètrent dans les systèmes sans y être autorisés, pour faire la preuve de leur habileté ou pour alerter l’organisme visé des vulnérabilités de ses systèmes, mais ils ne sont pas animés par des intentions malveillantes ou criminelles ;
- Enfin, les « chapeaux noirs » (« black hats ») regroupent les cybercriminels, les cyberespions ou les cyberterroristes. [...]

Ce qui n’empêche pas le rapport de dire qu’“il existe d’autres groupes de « pirates informatiques », comme « telecomix.com » qui défend la liberté d’expression sur Internet” Telecomix.org a dû bien s’amuser de découvrir que leur cluster était en fait une société commerciale. Le texte évoque aussi des “attaques informatiques ont été ouvertement revendiquées par des groupes de « hackers » patriotiques turcs, à l’image des groupes « GrayHatz » et « Millikuvvetler », et par d’autres « hackers » indépendants.” On n’abandonne pas facilement vingt ans de clichés.

Retard français

Ce soin nouveau apporté à la définition témoigne d’un changement net de regard sur la communauté des hackers. “L’État doit s’appuyer sur les hackers” : le credo d’Éric Filiol est enfin arrivé aux oreilles du Sénat. Si le directeur du laboratoire de sécurité informatique de l’École Supérieure d’Informatique Electronique Automatique (ESIEA) n’a pas été auditionné directement, il est cité à plusieurs reprises :

Il faut chercher les ressources là où elles sont. Chez les hackers que l’on a tendance à diaboliser à l’excès.

Plus loin, ses propos sont encore repris pour souligner le paradoxe juridique français. La loi Godfrain de 1988 puis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 ont en effet mis de gros bâtons législatifs dans les roues des hackers :

Or, actuellement, notre législation ne permet pas la publication, même à des fins scientifiques, de vulnérabilités décelées à la suite d’intrusions dans les systèmes informatiques, ce qui oblige les « pirates informatiques » français à publier le résultat de leurs recherches dans les revues d’autres pays, notamment aux États-Unis, ou lors de conférences de « hackers ».

Depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hackers ». [Aux yeux d'Éric Filiol], il existe une véritable fracture en France entre « un monde d’anciens qui administrent mais qui ne comprennent rien à la technique et de jeunes hackers qui maîtrisent mais qui n’administrent pas ».

Cruel miroir que tend cette dernière phrase au Sénat, entre autres… Mieux vaux tard que jamais, la main est tendue envers cette communauté avec qui une collaboration officielle serait fructueuse :

A cet égard, pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ?

Dangereux hackers d’intérêt public

Dangereux hackers d’intérêt public

Depuis jeudi et jusqu'à samedi soir, en plein Paris, le festival Hackito Ergo Sum réunit la crème des hackers sur les ...

Interrogé par le sénateur Robert del Picchia (UMP) sur la collaboration déjà existante avec les services de l’État, Jean-Marie Bockel ne répond pas car officiellement, les hackers restent dans leur coin. Officieusement, les hackers français sont ainsi de vieilles connaissances des services secrets. En 1989, un pâle alter ego du Chaos Computer Club, le club de hackers le plus réputé au monde, est monté à Lyon à l’instigation de la DST pour surveiller le milieu et retourner des éléments : le Chaos Computer Club de France, qui aura surtout pour effet de jeter l’opprobre sur le terme hacker pendant de longues années en France. Et lors du dernier Hackito Ergo Sum, qui a rassemblé au printemps la crème des hackers à Paris, la présence d’agences gouvernementales n’était un secret pour personne.

Une communauté fournie et patriote

Le rapport se montre optimiste sur l’avenir de cette collaboration, en s’appuyant sur des données au doigt mouillé, dont la source n’est pas précisée. Le texte dessine une communauté fournie et patriote, sans qu’on en sache plus sur ce qui leur permet d’affirmer cela  :

D’après les informations recueillies par votre rapporteur, la « communauté des hackers » serait estimée en France à environ 4 000 personnes. Nombre d’entre eux seraient désireux de mettre leurs compétences et leurs talents au service de notre pays.

Les États-Unis sont cités comme un exemple d’écosystème favorable à l’émergence de “sociétés privées de conseil et d’assistance en matière de sécurité informatique”. Où la présence de guillemets autour de certains termes montre que la maitrise du sujet peut encore être améliorée :

D’ailleurs, certaines entreprises américaines, à l’image de Microsoft ou de Facebook, ne s’y sont pas trompées, en lançant un appel public à tous les « hackers » pour déceler les vulnérabilités de leurs systèmes informatiques, réalisant ainsi gratuitement et à l’échelle mondiale un audit de leur sécurité informatique. [...]

Aux États-Unis, les « communautés de hackers » sont d’ailleurs largement reconnues et entretiennent des relations étroites avec les autorités chargées de la sécurité des systèmes d’information. On peut ainsi mentionner la communauté de « hackers » « Defcon », qui compte plus de 12 000 membres aux États-Unis et qui entretient des relations avec le département de la défense et l’agence de sécurité nationale (NSA).

Pourtant l’évolution législative européenne va à l’encontre de ces recommandations de bon sens. Un projet de directive prévoit de pénaliser la possession et la distribution d’outils de hacking pour lutter contre la cybercriminalité, dans la lignée de la LCEN.


Photo du Sénat par Saturne [CC-by-sa] via Flickr, remixée via la machine à mèmes.

À lire aussi sur Reflets.info :

Rapport Bockel : un point sur la cyberdéfense française

Tu t’es vu quand tu parles des pirates chinois ?

Et à revoir sur Owni, l’interview de Stéphane Bortzmeyer, ingénieur à l’Afnic (l’association en charge d’attribuer les noms de domaine en .fr), engagé dans l’équipe de campagne du Front de gauche. Il avait donné lors du festival de hackers Pas sage en Seine une conférence intitulée “Le technocrate, le geek et le politique ignorant”.

Laisser un commentaire

Derniers articles publiés