UN MATIN DE JUIN 2012, QUELQUES JOURS AVANT SON BAC DE FRANÇAIS, Gaël est réveillé par une dizaine d’agents de la Direction centrale du renseignement intérieur (DCRI), le service de contre-espionnage français. A l’issue d’une garde à vue de quarante-huit heures, il est mis en examen pour introduction frauduleuse dans des systèmes informatisés de données. Et pas n’importe lesquels. L’adolescent de 17 ans, fan d’informatique, a réussi à entrer dans des serveurs de la NASA, de l’armée française et de l’US Air Force. Un geste dont il ne mesurait sans doute pas la gravité.
Gaël, qui devrait être jugé prochainement, a le profil parfait pour intégrer le seul IUT français en sécurité informatique. A Maubeuge, cette licence professionnelle de cinq ans [NDVL : Note de vero loquet : LICENCE PRO dure 1 an pas 5 ans] est censée former de « gentils pirates ». Ceux que les créateurs aiment appeler des « hackers éthiques ». Hacker, le mot a d’abord effrayé le ministère de l’enseignement supérieur. Sollicité, en 2007, pour la création d’une licence de « hacking éthique », il refuse catégoriquement. Le dossier est renvoyé aux expéditeurs sans examen plus approfondi. L’année suivante, la formation ouvre finalement ses portes, mais sous un intitulé autrement plus sobre : CDAISI pour Collaborateurs pour la défense et l’anti-intrusion des systèmes informatiques. Le terme « hacking » n’a pourtant rien de péjoratif. « Un hacker, stricto sensu, est une personne qui fait un usage créatif des techniques en les détournant de leur finalité initiale », précise le livre numérique Hackers : bâtisseurs depuis 1959. Des bidouilleurs, en somme, qui ouvrent les machines, explorent les systèmes (physiques ou logiciels) pour comprendre ce qui se passe sous le capot.
Au milieu des années 2000, lorsque Jérôme Hennecart et Franck Ebel ont l’idée de former des pirates éthiques, le sujet n’était pas aussi tendance qu’aujourd’hui. « Personne ne voulait entendre parler de sécurité informatique », se souvient le premier. A cette époque, la Russie n’avait pas encore paralysé le système bancaire estonien, comme elle le fit au printemps 2007. Personne n’avait non plus entendu parler de Stuxnet, le virus qui a saboté les installations nucléaires iraniennes et dont l’existence a été révélée en juin 2010. Depuis, les cyberattaques font la « une » des journaux. En mai dernier, huit personnes pirataient des distributeurs automatiques dans 27 pays, dérobant 45 milliards de dollars. Des banques, des entreprises, mais aussi des gouvernements sont ciblés. En janvier 2011, 150 ordinateurs du ministère français de l’économie et des finances étaient infiltrés, de même que ceux de l’Elysée en mai 2012, entre le second tour de l’élection présidentielle et la prise de fonctions de François Hollande. Une cyberattaque d’une telle ampleur qu’elle avait nécessité la refonte de tout le système d’informations de la présidence. Face à la montée des « cyberdangers », les Etats revendiquent donc le droit à se défendre et à attaquer. La France l’a une nouvelle fois affirmé dans son livre blanc sur la défense, publié en avril. Le cyberespace, nouveau champ de bataille qui nécessite de nouveaux moyens ? Le scandale Prism, révélé début juin, en est la preuve : ce programme secret de surveillance permettrait à l’Agence de sécurité nationale américaine (NSA) d’obtenir des données privées en puisant directement dans les serveurs de Google, Microsoft, Facebook ou Yahoo!. Des révélations qui devraient pousser l’Hexagone et l’Union européenne à se pencher sur la sécurisation des cyberdonnées.
C’est par la force des choses que Franck Ebel s’est spécialisé dans ce domaine. A la fin des années 1990, cet enseignant en électrotechnique est victime de chantage, par un « pirate » ayant usurpé son identité. Démuni, il cherche sur Internet comment piéger le malfaiteur en lui envoyant un cheval de Troie. Et règle le problème en une soirée. L’usurpateur, identifié, est livré à la police. Ebel, lui, décide de faire de la sécurité informatique sa profession. Depuis 2008, la licence qu’il a lancée avec d’anciens collègues de fac est un succès. De 40 en 2008, le nombre de candidatures – presque exclusivement masculines – augmente constamment : 350 en 2012 pour une promotion de 26 étudiants. Cette année, Sarah est la seule fille, la deuxième depuis l’ouverture de la formation. Dans la salle de cours, son voile rose est l’une des rares touches de couleur. Comme la plupart des étudiants, elle est venue de loin pour suivre cette formation désormais réputée. Elle a quitté Marseille, d’autres arrivent du Maroc, du Mexique, grâce à des partenariats entre universités. La plupart, autodidactes ou diplômés, ont déjà de solides bases en informatique.
« Vous avez tous déjà vu un ordinateur portable avec un lecteur d’empreintes digitales ? », lance l’intervenant devant une salle emplie d’une quarantaine de machines, au premier étage du petit IUT. La vingtaine d’élèves opine du chef. Ce jour-là, les étudiants apprennent à monter des réseaux, qu’ils devront un jour défendre. Aux enseignements techniques sur la recherche de failles dans différents systèmes (téléphones mobiles, applications, sites Web) s’ajoutent des cours sur les méthodes de renseignement. Presque de l’espionnage. « Pour attaquer, il faut bien connaître sa cible, donc rassembler un maximum d’informations, précise Robert Crocfer, le responsable des stages. Ça va jusqu’à fouiller des poubelles ! » L’un de ces cours un peu spéciaux est d’ailleurs dispensé par un fonctionnaire de l’armée de terre. Les cas pratiques sont nombreux. Les étudiants se sont ainsi intéressés aux bornes SNCF où l’on achète ou retire les billets dans les gares, et ont identifié des failles. A partir de sources accessibles, comme les sites des constructeurs, ils ont mis la main sur des plans d’ouverture des bornes. Une fois celles-ci ouvertes, il devient possible d’accéder à l’ordinateur qu’elles contiennent. Commence alors une seconde manche pour s’introduire dans le système informatique, voire dans le réseau de la SNCF… D’autres étudiants se sont intéressés à une institution publique dont ils souhaitent taire le nom. Résultat de l’exercice : l’organigramme, les adresses électroniques des responsables, leurs identifiants, leur droit d’accès au réseau interne, tout a pu être collecté. De là à s’introduire dans le réseau, il n’y a qu’un pas… qu’ils n’ont pas franchi.
CAR LES ÉTUDIANTS SAVENT CE QU’ILS RISQUENT. Un cours de droit leur est d’ailleurs dispensé par un avocat. « Ils ne pourront pas dire qu’ils ne l’ont pas fait exprès », souligne Jérôme Hennecart. Même si Thomas, 25 ans, parcours en zigzag entre la biologie, les maths et un BTS, apporte un bémol : « On tombe parfois dans l’illégalité sans s’en rendre compte. » Et pour cause, la définition de l’accès frauduleux à un système informatisé de données, puni par le code pénal, est parfois floue. Le blogueur Bluetouff en a récemment fait l’expérience. En septembre 2012, il accède depuis un moteur de recherche à 7 gigaoctets de données confidentielles de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Poursuivi, il est finalement relaxé en première instance, le tribunal de Créteil estimant que les données n’étaient pas suffisamment protégées. Le parquet a fait appel.
Entre l’intrusion illégale et la consultation d’informations librement accessibles, la frontière est décidément poreuse. D’où la surveillance rapprochée de cette vingtaine d’étudiants un peu particuliers. Tous les ans, les dossiers des candidats retenus sont transmis à la DCRI. Si aucun n’a été rejeté à ce jour, c’est une manière de garder un oeil sur ce qui se passe du côté de Maubeuge. Car rares sont les passionnés de sécurité informatique qui n’ont pas eu affaire aux autorités pendant leur jeunesse. Ce qui ne les empêche pas ensuite de passer par une formation, puis de devenir des profils intéressants pour un secteur qui recrute tous azimuts. Créée en 2008 pour lutter contre la menace informatique, l’Agence nationale de la sécurité des systèmes d’information (Anssi) n’en finit pas d’embaucher. Placée sous l’autorité du premier ministre, l’institution pourrait compter 500 salariés en 2015, contre 190 en 2009. Le ministère de la défense ouvre également des postes « cyber » au sein de la Direction générale de l’armement (DGA), de la sécurité extérieure (DGSE) et de l’administration centrale. Les entreprises comme Google, Microsoft ou EADS sont aussi des employeurs potentiels. Parmi les anciens diplômés de Maubeuge, la grande majorité a trouvé un emploi au sortir de la licence, d’autres après un master dans une autre école. Un cybersecteur qui n’est pas près de connaître la crise.