Actualités

Un « hacker éthique » dans les rangs de la gendarmerie de Midi-Pyrénées

Auteur : la capitaine Marine Rabasté - publié le
Temps de lecture: ≃6 min.
© Tous droits réservés

Début octobre, une nouvelle recrue a rejoint les rangs de la réserve citoyenne de la gendarmerie de Midi-Pyrénées. Il s’agit de Baptiste Robert, 31 ans, hacker éthique bien connu des internautes.

Loin du hacker malveillant que l’on peut voir dans les films hollywoodiens, Baptiste Robert ne cherche pas à faire planter les systèmes d’informations des entreprises ou des gouvernements. Son objectif est plutôt de mettre en évidence les failles de sécurité des applications afin d’en avertir les développeurs pour que des corrections y soient apportées. Son recrutement au sein de la réserve citoyenne s’inscrit alors pleinement dans la volonté de la région de gendarmerie de Midi-Pyrénées de développer son dispositif en matière de sécurité économique. Portrait de ce réserviste citoyen atypique dont le regard expert vient compléter celui de l’Institution.

Quel est votre parcours ?

Après une classe préparatoire, j’ai intégré l’ENSEEIHT où j’ai eu mon diplôme d’ingénieur en télécommunications. Sorti d’école, j’ai rejoint l’entreprise Intel, comme développeur d’applications. J’y ai beaucoup appris et suis monté en compétence, notamment en matière de systèmes d’exploitation Android. Puis j’ai travaillé pour un fabricant de téléphone, Doro, qui fabrique des mobiles pour les personnes âgées.

Petit à petit, à force d’étudier les systèmes d’exploitation, je me suis spécialisé dans la sécurité. Il y a trois ans, j’ai révélé une faille de sécurité sur OnePlus qui permettait d’avoir tous les droits sur le téléphone. Je me suis alors intéressé à plusieurs applications, comme AADHAAR, développée par le gouvernement indien. J’ai également révélé des failles dans certaines applications américaines. Enfin, lorsque le gouvernement a lancé Tchap, messagerie plus sécurisée que Whatsapp, je me suis penché sur le système. En moins de deux heures, j’ai trouvé une faille de sécurité et ai pu avoir accès à la messagerie, pourtant réservée aux titulaires d’une adresse e-mail du gouvernement.

Pourquoi avoir médiatisé vos actions sur les réseaux sociaux?

Mon compte Twitter a explosé suite à l’identification de la faille de sécurité sur OnePlus. Aujourd’hui, je compte environ 266 000 abonnés sur Twitter. Cette communauté me permet d’avoir un retentissement important. L’intérêt n’est pas de mettre en avant la technicité des actes que j’effectue mais plutôt l’impact qu’ont les failles. Avec les réseaux sociaux, je peux bénéficier d’une forte visibilité. L’idée n’est pas de jeter la pierre aux propriétaires de l’application, mais de les aider à améliorer la sécurité de ce qu’ils proposent. J’identifie la bonne personne à qui m’adresser, lui présente les problèmes de sécurité et lui propose un compte-rendu technique et public.

Aujourd’hui, quelle est votre activité professionnelle ?

Il faut différencier deux choses : mon activité professionnelle et mon activité Twitter.

Au niveau professionnel, je réalise des prestations privées, du consulting, pour des individus qui me contactent afin de tester la sécurité de leurs applications. Ensuite, depuis 2020, j’ai une société dont l’activité est d’identifier les signaux faibles sur internet pour détecter les événements. Quel que soit l’événement, au moment où il se produit, il y a toujours quelqu’un qui va prendre une photo ou une vidéo et la poster sur les réseaux sociaux. L’idée est donc de capter l’information et de prévenir les clients, qui sont aussi bien des salles de presse que des compagnies privées ou le gouvernement.

Mon activité Twitter, quant à elle, est une activité bénévole. Je ne suis pas rémunéré pour les informations que je poste.

Quel titre vous donne-t-on ?

Concrètement, je suis chercheur en cybersécurité. Mais on peut également me qualifier de « hacker éthique ». La vision que l’on a généralement du hacker est faussée. Ce n’est pas un gars, capuche sur la tête, enfermé dans une pièce sombre devant quatre écrans qui tente de profiter des failles de sécurité pour tirer des bénéfices. Sûrement qu’il en existe, mais ce n’est pas que ça.

Un hacker peut aussi être quelqu’un avec une famille, qui mène une vie tout à fait banale et dont l’objectif est de faire de la sensibilisation, par le biais de conférences notamment.

Mon activité est légale. Je n’en tire pas de bénéfices, je ne récupère pas de données. Au contraire, je fais en sorte de ne jamais en avoir en main ! Ma démarche est bienveillante, je contacte en privé la bonne personne afin de faire avancer les choses.

Je suis ce qu’on pourrait appeler un hacker éthique, avec une démarche bienveillante

Votre activité est déjà bien dense. Pourquoi avoir rejoint la réserve citoyenne ?

Avant cela, de temps en temps, je donnais déjà spontanément des renseignements pouvant intéresser les enquêteurs. J’ai accepté de rejoindre la réserve citoyenne car c’est quelque chose qui a du sens dans ma démarche globale. Je cherche à échanger avec tout le monde. Dans le milieu de la cybersécurité, tout le monde a de la bonne volonté mais personne ne se parle. Les politiques ne parlent qu’aux politiques, les hackers restent entre eux… Il y a donc un vrai besoin d’avoir des personnes transverses, capables de comprendre la technicité et de communiquer sur le sujet.

Avec la réserve citoyenne, nous sommes capables de faire des actions de sensibilisation ensemble qui peuvent avoir du poids. L’association d’un hacker et de la gendarmerie est peu commune. Cela donne la possibilité de faire passer un message d’une manière ludique, qui sera sûrement plus facilement intégré par le public.

L’association de la gendarmerie et d’un hacker est une alliance qui a du sens !

Que pensez-vous pouvoir apporter à la gendarmerie ?

D’une part, je peux être utile en ce qui concerne la communication. J’utilise quotidiennement les réseaux sociaux et dispose déjà d’une vaste communauté. Je connais les codes et les attendus des utilisateurs. D’autre part, je peux avoir un apport en matière de technicité. J’ai l’habitude de rechercher les vulnérabilités, les exploiter afin de mieux les identifier. Mon intégration dans la réserve citoyenne constitue une alliance sur la forme mais aussi sur le fond. Je peux orienter le travail des enquêteurs, leur dire de jeter un œil dans telle ou telle direction, où trouver des indices...

Pour finir, avez-vous des conseils à donner en matière de cybersécurité ?

Tout d’abord, faire attention au téléchargement des applications. Il faut regarder les caractéristiques de l’application. Quelles permissions demande-t-elle ? Est-ce qu’elles sont en lien avec la fonction ? Est-ce que le développeur parait sérieux ? Lorsqu’on vous demande quelque chose, posez-vous vraiment les bonnes questions. Il faut que la décision soit prise en toute connaissance de cause, qu’elle ne soit pas subie.

Globalement, les systèmes sont simples à comprendre, il faut seulement avoir la bonne réflexion. Une application gratuite ne l’est jamais réellement. Il existe en effet un véritable marché de la donnée. Elles sont obtenues grâce aux applications puis revendues afin de permettre le profilage. Ainsi, si le produit est gratuit, c’est que c’est vous le produit, ou plutôt vos données !