Keren Elazari est experte en cybersécurité à l’université de Tel-Aviv. La jeune femme défend le rôle primordial des hacktivistes (hackers activistes) dans la défense de nos données privées, mais aussi de notre mode de vie.

Voici comment le Larousse en ligne définit un hacker  : « Personne qui, par jeu, goût du défi ou souci de notoriété, cherche à contourner les protections d’un logiciel, à s’introduire frauduleusement dans un système ou un réseau informatique. (Recommandation officielle : fouineur.) »

Cette définition, un peu désuète, traduit bien l’image encore négative des hackers qui prévaut dans l’imaginaire populaire. Les individus qui composent cette catégorie méritent mieux que cette acception méfiante : c’est le message qu’est venue faire passer à Paris Keren Elazari, vêtements noirs, longs cheveux noirs teintés de rouge, hackeuse experte en cybersécurité à l’université de Tel-Aviv. Elle était l’invitée de la conférence USI Events 2017, le 20 juin. We Demain l’a rencontrée.

Pourriez-vous nous donner votre définition du hacker ?

Pour moi, un hacker est quelqu’un qui est toujours curieux, qui n’est pas heureux du statu quo de la réalité, et qui pousse toujours pour le changer. Ce sont les mêmes personnes qui, quand à l’école, on leur dit « Voici les règles », vont demander : « Pourquoi ? Est-ce que je peux faire différemment ? »

Non pas parce qu’ils sont destructeurs, mais par curiosité, parce qu’ils ne s’en contentent pas. Ils n’acceptent pas une mentalité « Souris et tais-toi ». Face au monde, ils posent des questions. Je pense que les artistes et les hackers sont très similaires. Ils regardent la réalité, s’en inspirent pour dire : « Ok, quoi d’autres ? Quoi de plus ? Comment le changer ? »

C’est donc un état d’esprit d’explorateur, très innovant. Alors bien sûr, parfois, on casse des choses. Mais les hackers combattent les problèmes avant même que les compagnies n’en soient conscientes. Il y a par exemple Barnaby Jack, grâce à qui la FDA [Food and Drug Administration] a instauré de nouvelles règles pour les pompes à insuline aux États-Unis, ou Chris Valasek et Charlie Miller qui ont obligé Fiat Chrysler à rappeler 1,4 millions de véhicules pour une mise à jour.

« Si c’est gratuit, c’est que vous êtes le produit »

Avec l’arrivée des objets connectés, vous rappelez que l’intérêt n’est pas tant pour le consommateur que pour les entreprises.

Je pense que nous sommes seulement au début de l’ère numérique. Ces dix dernières années, nous avons numérisé de plus en plus d’aspects de nos vies. Nous utilisons tous des applications, des données qui ne sont même pas sur nos téléphones mais sur le cloud. Et tout ça est arrivé soudainement, mais nous y sommes déjà tellement habitués que nous ne pourrions même pas faire marche arrière.

Imaginez, vous utilisez une brosse à dents électronique, qui enregistre donc l’info que vous êtes bientôt prêt à aller au travail et vous appelle un Uber. C’est confortable, mais ce n’est pas vraiment un service dont nous avons besoin. Par contre, c’est le type d’information que recherche l’entreprise.

Il y a cette phrase très connue que vous avez probablement entendue : « Si c’est gratuit, c’est que vous êtes le produit ». La réalité, c’est que nous sommes montés dans le train de ce monde numérique, et nous donnons accès à certains aspects de notre vie privée, pour obtenir des services gratuits. Et nous sommes très heureux de connecter nos téléphones, nos voitures, peut-être bientôt nos corps, mais nous ne voyons pas le prix que nous payons et les risques que nous prenons.

Des piqûres de rappel très aggressives

Est-ce à ce niveau qu’interviennent les hackers ?

Oui. L’une des raisons pour lesquelles les gens se méfient tellement des hackers, qu’ils les diabolisent, c’est parce qu’ils sont un signal d’alarme désagréable. Quand quelque chose est piraté, c’est un rappel très brutal de notre dépendance, alors que nous vivons beaucoup dans le déni ou que nous ne comprenons pas bien les enjeux.

Je pense que l’attaque Wannacry ou le botnet Mirai en octobre 2016, furent des signaux d’alarme majeurs, des piqûres de rappel très agressives. Je ne dis pas que le rançongiciel ou le botnet sont une bonne chose. Ce sont des actes criminels qui mettent des vies en danger. Mais ça a aussi entrainé les gens, en réaction, à changer leurs mots de passe, à faire des sauvegardes, à télécharger des antivirus.

Si nous ne vivions pas à l’ère numérique, à votre avis, qui seraient ces hackers ? Quels seraient leurs profils ?

Je pense tout d’abord que ce seraient des ingénieurs, des personnes qui fabriquent, comme des horlogers, des fabricants de coffre-fort, des inventeurs, avec de nouvelles idées qu’ils arrivent à concrétiser, même quand tout le monde leur dit que c’est impossible.

Je pense aussi qu’il y a définitivement un aspect politique et social, une volonté de pousser au changement, de ne pas se contenter de la réalité, de faire les choses différemment.

Donc un esprit révolutionnaire ?

Oui, vous pouvez dire ça. Aujourd’hui, dans le monde, tous les hackers ne sont pas motivés par des idées politiques. Je pense d’ailleurs qu’en Europe et en Afrique du Nord, c’est plus le cas qu’aux Etats-Unis.

En Angleterre, il y a une industrie de la cybersécurité très développée, comme en Israël. Donc les débouchés professionnels pour les hackers sont là-bas. Ils sont plus punk rock, comme le mouvement des années 70, contre l’ordre établi, à qui ils aiment démontrer ce qu’ils sont capables de faire.

Les hackers, garants de la libre circulation de l’information

Il existe une volonté de plus en plus forte de contrôler les informations, de maîtriser la communication, que ce soit par les entreprises ou les États. Les hackers peuvent-ils être les garants d’une libre circulation de l’information sur Internet…

Vous voyez… [en montrant la manche de son T-shirt] l’EFF, l’electronic frontier foundation. C’est une organisation présente surtout aux Etats-Unis, qui travaille pour défendre la liberté d’expression, qui se battent dans les tribunaux contre la censure d’internet ou pour qu’un individu puisse crypter ses informations sans être systématiquement catalogué comme un criminel. Ils se financent grâce aux dons des hackers. Ils sont un peu comme le mouvement des droits civiques à l’ère d’Internet.

À Toronto, il y a un autre groupe de hackers, Citizenlab, qui conduit des ateliers pour apprendre aux journalistes comment se protéger contre la surveillance et la censure. Mais aussi comment protéger leurs sources dans des zones de guerre ou dans les pays où il n’y pas de liberté de la presse.

Qu’en est-il d’Anonymous ?

Au sein d’Anonymous, lors de ses premières années, il y avait un accord tacite, largement partagé, que le groupe ne devait pas attaquer les médias. Aujourd’hui, c’est devenu plus mainstream, comme une marque du hacking, et beaucoup de hackers présents à l’origine s’en sont détourné.

Tous, bien sûr, ne sont pas des anges. Et certains sont convaincus du bien fondé de leurs actions, mais utilisent des manières de faire criminelles, ou des techniques assez agressives.

Comment faire pour que ces « gentils hackers » soient reconnus, et leur travail valorisé ?

Heureusement, il existe de plus en plus de collaborations aujourd’hui entre ces hackers et les entreprises ou même les gouvernements. En 2016, le Pentagone a lancé un concours, appelant les hackers à tester son système. En 30 minutes, la première faille dans un rapport valide était signalée. Au final, il y en a eu plus de 200 !

Tesla développe aussi beaucoup cet esprit de collaboration, avec des olympiades pour hackers dont le but est de trouver les failles de leurs véhicules. Les programmes comme ceux-là, appelés « bug bounty program«  [en référence aux chasseurs de prime], sont assortis d’une récompense financière qui varie, autour de 5000 dollars.

Ils offrent des opportunités dans le monde entier, et notamment dans des pays où avant, quand tu étais hacker et que tu trouvais des failles, tu n’avais qu’une option, la criminalité, pour gagner de l’argent. Parfois les plus jeunes ne se rendent même pas compte qu’ils font quelque chose d’illégal.

Il y a donc les programmes collaboratifs, mais il faut aussi changer la législation, par exemple le « Computer Fraud and Abuse Act«  aux Etats-Unis, ou les règlements internes des compagnies, pour avoir le droit de trouver des failles sans être criminalisé.

Propos recueillis par Joseph Bancaud

Retrouvez ci-dessus l’intervention de Keren Elazari pendant l’USI le 20 juin à Paris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s