L’étonnant parcours du hackeur de Sciences Po
L’étonnant parcours du hackeur de Sciences Po
Par Damien Leloup
En début d’année, le prestigieux établissement parisien a été piraté… par un candidat à son concours d’entrée. Un risque qui touche de très nombreux établissements du supérieur.
Mi-février, au parc des expositions de Villepinte, au nord de Paris. Plusieurs milliers de candidats planchent sur le concours d’entrée à Science Po Paris. Parmi les postulants à la prestigieuse formation parisienne, un candidat connaissait probablement un peu mieux que les autres certains aspects de la grande école. Quelque temps plus tôt, il avait piraté une partie du site de Sciences Po, mettant la main sur deux bases de données comportant quantité de données personnelles, dont les mots de passe, de 4 000 étudiants en cours de scolarité ou fraîchement diplômés, ainsi qu’une liste de 200 000 adresses e-mail de personnes ayant assisté à des événements organisés par la grande école.
Après son piratage, mais avant de passer le concours, le hackeur a contacté Le Monde. Il utilise le pseudonyme « Rabbin des Bois » – « Je prends aux puissants pour montrer aux petits ce qui peut leur arriver », dit-il. Il n’a pas publié ni revendu le contenu des deux bases de données et assure n’avoir eu aucune intention criminelle, mais avoir pris les données uniquement « parce que c’était possible » et pour « avertir le grand public » :
« Si un type comme moi peut, avec un PC à 400 euros, récupérer les données de la plus prestigieuse école de France depuis sa chambre de HLM, vous imaginez tout ce qu’il est possible de faire… Il est plus que temps que l’on prenne la sécurité informatique au sérieux. »
Ingénierie sociale
Le parcours de Rabbin des Bois est assez étonnant. Il n’a « pas eu de chance dans la vie », dit-il : une mère décédée alors qu’il est jeune, un père distant, une jeunesse dans un quartier pas très riche de région parisienne. Au lycée, ses notes s’effondrent après la mort de sa mère. Le jeune homme se réfugie en ligne, où il passe « dix heures par jour, à absorber, à apprendre » – et notamment sur des forums cachés où se vendent, s’achètent ou s’échangent données volées et failles informatiques. Il se spécialise dans l’ingénierie sociale, le fait de se faire passer pour autrui ou d’utiliser les bons ressorts psychologiques pour inciter une « cible » à ouvrir une pièce jointe piégée :
« Ado, je faisais ça comme un jeu, mais je gagnais aussi de l’argent. J’avais commencé par créer des bots pour des jeux vidéo en ligne, je gagnais 800 euros par mois environ. Puis j’ai vendu des "like" sur les réseaux sociaux, commandé des iPad sans payer sur des sites de vente en ligne… Je gagnais beaucoup d’argent. »
Son père, lui, ne voulait pas entendre parler des activités annexes de son fils. « Pour lui, réussir dans la vie, c’est faire de bonnes études. Quand j’étais petit, il me disait tout le temps que j’allais faire Harvard. » Faute d’Harvard, Rabbin des Bois en est persuadé, il doit faire Sciences Po Paris, mais son premier essai est un échec cuisant. Il assure pourtant ne pas avoir piraté l’établissement dans un esprit de revanche – au cours d’une discussion entre le hackeur et l’école, il a expliqué à cette dernière comment corriger les failles de sécurité ayant permis le piratage. Même si, reconnaît-il, il aurait rêvé de pouvoir bénéficier d’un « bonus » au concours après sa « bonne action », dit-il :
« Aux Etats-Unis, on m’aurait donné une récompense. En France, lorsqu’on signale une faille de sécurité, on risque la prison. »
Conformément à sa politique, Sciences Po a refusé d’accorder tout passe-droit à Rabbin des Bois, explique l’établissement.
Reproduction des élites
Le discours de Rabbin des Bois sur le système éducatif dans son ensemble est très critique. Il vit comme une injustice fondamentale le fait de ne pas réussir à « rentrer dans le moule » alors même que dans « son » domaine, la sécurité informatique, les grandes écoles et les universités sont « nulles » – avant Science Po, il avait aussi piraté « très facilement » les données personnelles des anciens élèves de l’Ecole supérieure de journalisme de Lille, l’une des plus réputées en France, et a ensuite signalé la faille à l’établissement, qui l’a corrigée. La faute, estime-t-il, à un système de reproduction des élites inadapté aux élèves ayant un profil différent. « J’adorerais faire Sciences Po. Mais le système de sélection des grandes écoles n’est pas fait pour des étudiants comme moi », estime-t-il. Reçu à l’écrit d’une autre grande école parisienne, il a eu le sentiment d’avoir été rejeté à l’oral parce qu’il ne « parle pas comme les gens qui sortent d’Henri IV ou de Louis-le-Grand« . Moi, je voulais juste avoir un putain de futur. »
Amer, le hackeur dit avoir du mal à comprendre ce décalage, d’autant plus qu’il a vu, aux premières loges, l’importance qu’a et qu’aura la sécurité informatique dans le futur. « J’ai vu des hackeurs ruiner des vies », explique-t-il :
« Aujourd’hui, votre vie vaut moins que les données que vous produisez. Tout le monde se dit que se faire pirater, ça n’est pas possible, jusqu’à ce que ça leur arrive… Mais en réalité, c’est le Far West. Des mecs comme moi, dans dix ou quinze ans, il n’y aura plus que ça, et personne ne semble en avoir conscience. Le hack de Sciences Po, c’est juste la partie émergée de l’iceberg. »
Sur ce dernier point au moins, difficile de lui donner tort : le piratage dont a été victime Sciences Po est loin d’être un cas isolé. Selon les décomptes du Monde, depuis 2013, au moins vingt universités françaises ont été touchées par des piratages plus ou moins graves, concernant parfois des laboratoires de recherche, et parfois la base de données des étudiants. A Lyon III-Jean Moulin, fin 2015, un hackeur était parvenu à obtenir l’accès à l’intégralité des informations des étudiants, numéro de sécurité sociale et notes comprises. A Tours, en 2013, c’est le laboratoire d’archéologie qui s’était fait voler sa base de données. A Nancy, en 2016, un étudiant de l’université de Lorraine avait piraté la messagerie de sa propre université, « pour tester »…
Ces cas ne représentent potentiellement qu’une petite partie des piratages ayant visé des établissements d’enseignement supérieur, puisqu’il ne s’agit que des intrusions revendiquées ou pour lesquelles l’auteur a été retrouvé ou condamné. Les pirates cherchant à revendre les données dérobées restent généralement discrets, et une même faille peut, au moment de sa découverte, avoir déjà été exploitée par plusieurs intrus…
Les universités souvent ciblées
Quentin Hugon / Le Monde
Comme dans beaucoup d’autres domaines, chaque université est libre de fixer sa propre politique en matière de sécurité informatique et les ressources qu’il y octroie, explique Stéphane Amiard, vice-président de l’université d’Angers et membre du comité numérique de la Conférence des présidents d’universités. « Chaque université a son responsable de la sécurité des systèmes d’information, mais ils travaillent en réseau. » S’il reconnaît que « tout n’est pas rose », et que les piratages arrivent, M. Amiard note que les dirigeants d’université sont aujourd’hui très sensibilisés à ce sujet. « La situation est très différente de celle d’il y a dix ans », explique-t-il.
Dès lors, pourquoi des piratages se produisent-ils encore régulièrement ? Pour M. Amiard, ce n’est en tout cas pas une question uniquement budgétaire. « Lorsqu’il faut renouveler des équipements de sécurité, il n’y a jamais de débat », assure-t-il, notamment parce que ces dépenses sont considérées comme des investissements, et non des frais de fonctionnement, ce qui facilite leur financement :
« Bien sûr, l’investissement seul ne fait pas la sécurité, et il peut y avoir des niveaux d’expertise variables selon les universités, mais le système de recrutement nous permet d’embaucher des ingénieurs systèmes et réseaux spécialisés. »
Au-delà du fait que les universités peuvent être des cibles tentantes pour petits plaisantins et grands criminels, un facteur peut aussi expliquer les piratages réguliers d’universités : la taille et l’hétérogénéité de leurs systèmes d’information. « Dans une université moyenne comme celle d’Angers, nous avons une centaine de briques différentes », dit M. Amiard. « Les principales plates-formes des universités sont généralement à jour, mais elles ont parfois des sites Web annexes, anciens, et moins bien protégés. » Autant de portes d’entrées potentielles pour des pirates cherchant à voler des informations ou à perturber le fonctionnement d’un établissement.
Au-delà des piratages crapuleux et de ceux réalisés par des étudiants cherchant à remonter artificiellement leurs notes – au moins deux cas répertoriés ces cinq dernières années – certains piratages répondent aussi à un motif plus « politique ». « L’éducation nationale d’aujourd’hui est un échec total, retentissant (…). L’Etat préfère agrandir les prisons plutôt qu’améliorer les écoles », expliquait ainsi au magazine spécialisé Zataz un pirate utilisant le pseudonyme « The Destroyer », après avoir revendiqué en 2014 le piratage de plusieurs sites de l’éducation nationale. Un entretien dans lequel il accusait également le système éducatif d’avoir « ruiné sa vie ».
Des progrès mesurables ces dernières années
Pour ces étudiants-hackeurs, qui peinent à trouver leur place dans les formations classiques, la situation a toutefois nettement progressé ces dernières années, juge Monir Morouche, qui dirige aujourd’hui Suricate concept, une société spécialisée dans la sécurité informatique. Lorsqu’il débute des études d’informatique à l’université de Lille 1, il y a une dizaine d’années, il découvre une faille de sécurité sur les serveurs de l’université, qu’il signale à ses enseignants. « J’ai été convoqué par l’administration, on m’a dit "des gars comme toi, on en a déjà eu, ils utilisent la puissance de calcul de la fac pour casser des clés, on n’en veut pas" ». Après avoir essayé « presque toutes les licences d’informatique de France », il a créé son entreprise, qui propose audits de sécurité et formations, et compte aujourd’hui parmi ses clients… l’université de Lille 1. « Le monde a changé », juge M. Morouche :
« Si je commençais mes études aujourd’hui, j’aurais trouvé des licences spécialisées dans la sécurité informatique, où je n’aurais pas eu les mêmes problèmes. Quand j’ai commencé dans le métier et candidaté auprès de grandes sociétés, on me disait "on veut des seniors". Aujourd’hui ils recrutent surtout des jeunes ! Nous-mêmes, nous embauchons des étudiants qui ne sont même pas encore diplômés. »
Le diplôme, pourtant, reste souvent un sésame indispensable… pour les parents.
M. Morouche lui aussi a fait face à l’incompréhension de ses parents, qui le poussaient à poursuivre des études alors même qu’il avait déjà créé sa société. Rabbin des Bois envisage, aujourd’hui, de suivre le même parcours. « Sciences Po, c’est la fin de ma carrière [illégale] », affirme-t-il, expliquant vouloir raccrocher et créer sa société de sécurité informatique, tout en écrivant en parallèle un livre sur ses activités de hackeur. A moins, bien sûr, qu’il n’ait, cette année, le concours de Sciences Po Paris, dont les résultats sont attendus en avril. Coïncidence, cette année, l’une des épreuves du concours portait sur un spécialiste bien connu de la sécurité informatique : le lanceur d’alerte Edward Snowden.