Alors que l’opinion publique leur colle généralement les étiquettes de « pirates », voire même de « bandits numériques », les hackers refont encore parler d’eux, sur le bon versant de leur profil, celui des « white hat », dédié aux bonnes causes.
En cette période estivale creuse en faits d’actualité et nouvelles à triturer, des titres de la presse internationale remettent au goût du jour la belle face des hackers, à la faveur de la grande opération du géant de la recherche sur internet qui annonce, à grand coup de publicité, la mise en place d’une équipe de hackers dédiée à la chasse aux failles de sécurité. Ils sont en effet sollicités, courtisés par bon nombre de grandes multinationales, des gouvernements et notamment des services de renseignement pour mettre à profit leur génie au service de la sécurisation de leurs systèmes d’information.
Il y a peu de place dans la littérature médiatique contemporaine pour la place et le rôle des hackers dans le développement d’innovations technologiques majeures et, notamment, leur contribution à la mise en place de l’architecture du réseau internet. Comme l’explique clairement l’encyclopédie en ligne Wikipedia, le hacker est une personne qui montre une passion pour la compréhension du fonctionnement intime des systèmes, ordinateurs et réseaux informatiques en particulier. En sécurité informatique, un hacker est un spécialiste dans la maîtrise de la sécurité informatique et donc des moyens de déjouer cette sécurité. » Le terme est dû, à l’origine à Eric Steven Raymond, poursuit l’encyclopédie qui le présente comme « un hacker américain célèbre à qui l’on doit notamment la popularisation du terme open source par opposition à free software (ou logiciel libre). » Ce qui ne remet pas en cause l’existence d’une autre face de hackers, celle des black hat, ceux mettant à profit ce génie pour des activités de piratage à motivations illicites. Dans ce numéro, il est plutôt question de tourner l’internet vers les apports possibles du mouvement des hackers tant aux entreprises, qu’à la société de manière générale. Dans le sillage des révélations de l’ancien agent du renseignement américain Edward Snowden, le débat sur la sécurité informatique revêt l’importance d’un thème politique, de société devant impliquer nécessairement tous les acteurs sociaux. Refugié en Russie depuis juin 2013, lorsqu’il entama son œuvre d’alerte sur les dépassements des services de renseignent américains en matière d’interception des données privées. Edward Snowden s’est en effet adressé à eux à la faveur d’une réunion internationale de hackers tenue à New York, via une connexion vidéo, pour les inviter à travailler à la mise en place de « technologies permettant de protéger les utilisateurs contre les pratiques de mise sur écoute par les autorités », et « à s’unir et à concevoir des technologies qui devraient empêcher les agences d’espionnage de subtiliser les secrets des internautes » rapporte l’AFP qui met en avant ce passage de son intervention : « Vous, dans cette salle, vous avez les moyens et la connaissance pour rendre l’avenir meilleur en fixant nos droits dans le code IT des programmes et protocoles auxquels nous faisons chaque jour confiance… Une grande partie de mon travail ultérieur y sera consacrée, et j’espère que vous et moi, nous y arriverons.” Toujours en rapport avec cette affaire de révélation des agissements de la NSA, la presse relève la démarche d’un groupe de hackers britannique qui vient de porter plainte contre les services de renseignements de l’empire. Début juillet, le site 01net.com rapportait en effet que « le GCHQ, l’agence de cyberespionnage britannique, doit faire face à une nouvelle attaque juridique, menée par les hackers du Chaos Computer Club et six fournisseurs d’accès Internet de différents pays », convaincus que son activité d’interception des données privées est, selon le même site, « non seulement « illégale », mais également « destructive » pour les infrastructures de l’Internet, dans la mesure où elle altère les équipements et les rend plus vulnérables. Par conséquent, ils demandent l’arrêt de cet espionnage. » L’intérêt de la presse pour le bon côté des hackers se traduit par de nombreux écrits sur les liens avérés entre le monde de ces hackers « bon teint » avec le milieu des multinationales des nouvelles technologies et de l’internet qui, pour la plupart, ont eu, à un moment de leur développement, à recourir à leur service.Dernier en date, le géant Google qui annonce, en cette fin de mois de juillet, la mise en place d’une équipe de programmeurs informatiques chargée de traquer les failles de sécurité, dite 0 day (ou 0 jour), sur les programmes informatiques à usage grand public. « Dans le domaine de la sécurité informatique, écrit l’encyclopédie en ligne Wikipedia, une vulnérabilité zero-day est une exploitation qui utilise une faille jusqu’ici méconnue du public. Une exploitation 0 day est susceptible d’engendrer la création d’un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée contre cette faille jusqu’à ce qu’elle soit découverte et corrigée ». Les responsables de Google, cités par ce site, expliquent, en effet, qu’au niveau des « attaques sophistiquées, nous voyons des vulnérabilités « jour 0 » exploitées pour viser, par exemple, des défenseurs des droits de l’homme ou pour de l’espionnage industriel » et précisent que leur « objectif est de réduire de façon significative le nombre de personnes touchées par les attaques ciblées ». Baptisé Project Zero, le projet est bâti autour d’une équipe comprenant les meilleurs hackers connus sur la place internationale, à l’image de « George Hortz, un Américain de 24 ans, surtout connu pour avoir piraté l’écran verrouillé de l’iPhone à l’âge de 17 ans et la Playstation 3 », selon le magazine spécialisé Wired repris par 0net.com qui ajoute que ce jeune bidouilleur était également à l’origine de la découverte, au début de cette année, de failles dans le système d’exploitation Google Chrome ; ce qui lui a valu une rétribution de 150.000 dollars pour y remédier. Le journal français lefigaro.fr apporte un peu plus de précisions sur l’équipe de Google et signale qu’en plus de Hortz, elle englobe « le néo-zélandais Ben Hawkes, qui a identifié des failles chez Adobe Flash et Microsoft Office, notamment, l’Anglais Tavis Ormandy, spécialisé dans la recherche de vulnérabilités « zero day » dans les logi ciels de sécurité, et le Suisse Ian Beer, dépisteur de six bugs dans iOS, OSX et Safari d’Apple ces derniers mois ».D’après les comptes rendus de presse, ce nouveau projet de Google ne se limitera pas aux produits du géant de la recherche, comme le confirme d’ailleurs Chris Evans chargé du recrutement pour monter cette équipe, qui a précisé selon lefigaro.fr : « Nous ne posons pas de limite particulière à ce projet et travaillerons à l’amélioration de la sécurité de n’importe quel programme informatique utilisé par de nombreuses personnes. Nous porterons une grande attention aux techniques, aux cibles et aux motivations des attaquants » L’initiative de Google vient dans un contexte marqué par de nombreux éléments pouvant en justifier le fondement. D’abord la récente méga faille, la fameuse Heartbleed qui a failli mettre en péril tout le réseau internet en raison d’une vulnérabilité logicielle critique portée à la connaissance publique « en mars 2014 et rendue publique le 7 avril 2014, elle concerne de nombreux services Internet. Ainsi, 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, seraient touchés par la faille au moment de la découverte du bogue », d’après Wikipedia qui ajoute qu’il s’agit d’une « vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL depuis mars 2012, qui permet à un « attaquant » de lire la mémoire d’un serveur ou d’un client pour récupérer, par exemple, les clés privées utilisées lors d’une communication avec le protocole Transport Layer Security (TLS) ». Une menace qui a valu l’apparition juste après de la Core Infrastructure Initiative à travers laquelle notamment Facebook et Microsoft se sont associés pur apporter leur aide à des projets open source en situation de difficultés, sachant qu‘ils son les plus exposés à ce genre de vulnérabilité. L’autre élément contextuel pouvant éclairer sur les ressorts de Google est, de l’avis de nombreux analystes de la presse, à rechercher du côté de l’ambiance née de l’affaire des révélations sur les agissements de la NSA. « Project Zero c’est aussi la réponse de Google à la NSA. La firme a mal encaissé les failles utilisées par l’agence américaine pour espionner ses utilisateurs. Google a déjà mis en place de nouveaux mécanismes de sécurité pour mieux protéger ses données », écrit le journaliste du site lefigaro.fr dont l’avis semble partagé par bon nombre d’autres observateurs et experts.
R. M.
