A Valenciennes, la fabrique des hackeurs éthiques
A Valenciennes, la fabrique des hackeurs éthiques
Par Sheerazad Chekaik-Chaila
A l’heure où les attaques informatiques se multiplient, rendant les « white hats » particulièrement recherchés, cette université du Nord propose des masters en cybersécurité et cyberdéfense.
Olivier Bonhomme
Ni noms ni photos. « On a totalement disparu d’Internet. » Et pas question d’y revenir, expliquent Bastien, 21 ans, et Rémy, 25 ans, étudiants du master « cyberdéfense et sécurité de l’information » (CDSI), inauguré en 2015 à l’Institut des sciences et techniques de Valenciennes (ISTV). Ces élèves sont ce qu’on appelle des « hackeurs éthiques ». Leur effacement d’Internet ? « On pourrait faire le lien avec des entreprises pour lesquelles ils travaillent et leur extorquer des données, justifie Yassin El Hillali, responsable pédagogique du master. Vouloir disparaître, c’est se protéger. »
Ces dernières années, le regard posé sur ces white hats (les hackeurs « au chapeau blanc ») s’est adouci. A l’heure où la moitié de la planète est connectée, les amateurs de traque aux bugs sont à leur tour « chassés » pour leur savoir-faire.
« Pour mieux se défendre, il faut savoir attaquer », raisonne Yassin El Hillali. « Notre but est d’avertir quand on trouve une faille, pas de l’exploiter », témoigne Florian, apprenti à Paris. Quant à ce qui les dissuade de devenir des pirates sans foi ni loi, Bastien lance, catégorique : « Garder sa liberté. »
Architecture des systèmes
« C’est plutôt intéressant de ne pas finir en prison, s’amuse Rémy. Il vaut mieux être du bon côté pour continuer d’apprendre et le faire toute sa vie. » Toutefois, il serait réducteur de résumer ces jeunes gens au hacking : dans ce cursus inédit, les étudiants intègrent aussi des compétences sur l’architecture des systèmes et la mise en place de stratégies de défense.
Dans la même pièce, trois paires d’yeux fixent un tableau de bord, sur lequel menaces et incidents s’analysent en temps réel. Ce sont les étudiants en « ingénierie des réseaux communications mobiles et sécurité » (Ircoms), un master plus axé sur l’outil informatique. L’Agence nationale de la sécurité des systèmes d’information (Anssi), la branche cyberdéfense de l’Etat, l’a labellisé SecNumEdu – comme 34 autres formations reconnues pour la qualité de leur enseignement en sécurité du numérique. Un catalogue encore insuffisant pour couvrir les besoins humains derrière les machines, tant ils sont exponentiels.
Cyberguerre
Les deux parcours valenciennois (Ircoms et CDSI) se révèlent complémentaires sur ce marché de la cybersécurité. Un réseau parallèle à celui de l’université de Valenciennes a évidemment été déployé pour faciliter les exercices pratiques et « rassurer tout le monde », sourit Thierry Delot, le directeur de l’ISTV. Leur dernière collaboration ? Sur une voiture connectée, les Ircoms ont établi un diagnostic supposé en garantir la sécurité.
Leurs camarades du master CDSI, glissés dans la peau d’attaquants, ont détourné son fonctionnement et pris son contrôle. Les étudiants ont ensuite réalisé ensemble un système, en prenant en compte les vulnérabilités décelées dès la phase de conception. Car en informatique, aucune citadelle n’est imprenable. « Celui qui attaque a tout son temps, celui qui protège doit agir vite », schématise Dhavy Gantsou, responsable du master « Ircoms », qui rappelle qu’« une attaque peut paralyser un pays ».
En juin 2017, l’Ukraine subit la plus grande cyberattaque de son histoire. L’aéroport de Kiev, des banques et des entreprises sont touchés par un virus destructeur de fichiers, nommé Petya. Le Centre d’excellence de cyberdéfense coopérative de l’OTAN y voit la signature d’un Etat voulant semer la panique. Dans ce qu’elle considère comme un acte de cyberguerre, Kiev accuse Moscou, malgré l’absence de preuves.
D’autres types de menaces circulent dans le cyberespace. La France est le huitième pays ciblé au monde. En parcourant une série de rapports publiés par des sociétés spécialisées (Symantec, KasperskyLab, Norton, Orange Cyberdéfense…), on apprend que 13,7 millions de Français ont été confrontés à la cybercriminalité en 2016, soit 24 % de la population. Et que la moitié des entreprises ont pâti d’une attaque en 2017. Une grande majorité n’a pas eu d’impact mais certaines escroqueries peuvent « mettre des gens au chômage », rappelle Thierry Delot.
Conséquences « dramatiques »
La médiatisation des attaques massives encourage la prise de conscience, mais focalise l’attention sur le vol et la destruction de données industrielles et gouvernementales. Or, à l’ère des voitures autonomes, des bracelets traceurs d’activité, des téléviseurs et des jouets intelligents, la sécurité de l’information et des systèmes connectés devient l’affaire de tous. Pour le directeur de l’ISTV, « dans ce registre-là, les conséquences peuvent être dramatiques ».
En 2012, le Néo-Zélandais Barnaby Jack avait ainsi prouvé qu’il pouvait tuer à distance en piratant des pacemakers. En juillet 2013, le trentenaire est mort d’une overdose juste avant la tenue de la conférence Black Hat, l’événement mondial le plus important pour la communauté de la sécurité informatique. Ce pirate « de légende », comme il fut salué à l’époque, était attendu pour présenter ses découvertes sur les faiblesses des équipements médicaux pour IOS Active, un leader de la cybersécurité. C’était un white hat.
« Le Monde » organise son 13e salon des masters et mastères spécialisés, samedi 27 janvier 2018
Avec la réforme de la sélection en master, qui s’effectue principalement à l’entrée du M1, il est important de se renseigner en amont sur les critères d’admission dans les différents cursus. Le 13e Salon des masters et mastères spécialisés du groupe Le Monde, organisé samedi 27 janvier aux Dockes - cité de la mode et du design à Paris, sera l’occasion d’assister à six conférences animées par la rédaction et de rencontrer près d’une centaine d’établissements – grandes écoles de commerce et d’ingénieurs, universités et Instituts d’administration des entreprises (IAE) –, qui présenteront quelque 3 000 programmes, toutes spécialités confondues. L’entrée sera gratuite, la préinscription est recommandée pour éviter l’attente à l’entrée.
Plus d’informations sur salondesmasters.com
Consultez également notre dossier spécial consacré aux masters, mastères spécialisés et MSc, sur LeMonde.fr/masters-ms, et à paraître dans Le Monde daté du jeudi 25 janvier.