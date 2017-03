«Quand il fait du pwn sur la heap, il perd toute notion du temps.» L’informatique, c’est poétique! Drôle et absconse à la fois, la petite phrase émerge du murmure de 450 passionnés engagés dans un marathon du piratage informatique. Bienvenue au 10e concours de hacking éthique, organisé à Palexpo dans la nuit de vendredi à samedi, qui porte bien son nom: Insomni’hack. La compétition rappelle à quel point la question de la cybercriminalité est sensible aujourd’hui.

Lumière tamisée. Musique électrojazzy en léger fond sonore. Tables alignées remplies d’ordinateurs, de câbles, de paquets de chips éventrés, de bonbons, de chocolats, de canettes de bière et de boissons énergisantes. Et des centaines de visages éclairés à la lumière des écrans. Ambiance cool mais studieuse pour ce rendez-vous des fous du bidouillage informatique, le vrai sens du hacking.

Objectif de la nuit? «Résoudre un maximum d’épreuves, sortes de puzzles informatiques. Il y en a une vingtaine, comme le fait de trouver une vulnérabilité sur un site Internet et de l’exploiter», explique Sergio Alves Domingues, directeur technique de SCRT, société vaudoise organisatrice de l’événement. Des concours, il en existe beaucoup en ligne. «Un des intérêts d’un concours comme celui-ci est que les défis sont accessibles uniquement sur place. Cela permet aux participants de se rencontrer et d’échanger sur leurs méthodes.»

Des propositions malhonnêtes

Ce concours de haut vol s’adresse à des étudiants et des professionnels de la sécurité informatique, dont certains travaillent au CERN ou encore au sein du groupe Kudelski. Les équipes viennent de Suisse, de Pologne, d’Espagne, des Etats-Unis, d’Ukraine et de France, pour le plaisir, partager des connaissances, gagner les lingots d’argent en jeu, ou encore améliorer leur classement international. Alors, dans les rangées, ça ne rigole pas.

«Nous sommes tous occupés, désolé!» Impossible de parler au jeune homme coiffé d’un chapeau aux cornes vertes dans l’équipe Tasteless, laquelle a marqué son territoire en affichant un drapeau noir de pirate. «Pouvez-vous revenir plus tard?» Deuxième refus poli, cette fois d’un Polonais des Dragon sector. Parmi les 79 équipes inscrites, celle-ci sortira première devant Tasteless.

Dans cette tribu ultramasculine, on cherche les femmes. «Dans les conférences de hackers, il n’y en a pas beaucoup», constate sans plus d’explication Axelle Apvrille, 42 ans, qui peine à lâcher l’écran. Sa bouteille d’eau pour seul dopant, l’analyste spécialisée dans les virus sur les mobiles et les objets connectés se concentre depuis cinq heures sur les challenges, «très variés et très difficiles». Venue la veille pour intervenir dans un atelier, la Française explique l’intérêt de l’événement: «J’ai été envoyée par ma société, Fortinet, pour participer à un workshop et au concours, parce que cela me sert dans mon travail.» Ses enfants assimilent sa mission à de l’espionnage, sourit-elle, alors que son métier consiste à l’éviter. Justement, les hackers malintentionnés, les black hats, se retrouvent-ils dans ce genre de concours? «Ici, on règle les choses de manière éthique. A priori, ce n’est pas super-compatible…» estime-t-elle.

«On ne peut pas savoir. Ils ne se présentent pas, mais ils vont sûrement aux conférences dans la journée», avance un informaticien de Lausanne, sur la voie du départ à 1 h du matin. Dans le monde de la sécurité informatique, reçoit-on des propositions malhonnêtes? «Oui, cela m’est arrivé, confie-t-il avec prudence. On m’a proposé une fois d’évaluer la sécurité de certains systèmes, puis de déléguer la méthode à quelqu’un d’autre pour qu’il l’applique.» Très sérieuse, l’offre émanait d’un Suisse qu’il a rencontré par hasard et dont il affirme ne rien savoir. «Des propositions de hacking, vous en trouvez à la pelle sur les forums, les chats, et c’est bien payé! Des réseaux criminels sont très intéressés par les compétences informatiques.» Mais pas seulement.

Les objets connectés inquiètent

«Il arrive que des entreprises pour lesquelles vous travaillez vous demandent d’espionner des concurrents. Cela ne touche pas seulement l’industrie, mais tous les domaines.»

Les as du hacking propre font part de leurs inquiétudes. «Le problème numéro 1 à mes yeux vient de l’industrie, qui n’est pas prête à investir pour protéger les objets connectés, relève le Lausannois. Tout le monde est équipé d’objets connectés, des téléviseurs aux jouets, parfois sans le savoir, qui peuvent être utilisés par des personnes malveillantes pour capturer des informations. Le grand public ne se rend pas compte que tout peut être exploité et monnayé!»

Spécialiste de la sécurité à Berne, Martin Rutishauser, 42 ans, évoque un autre problème. «Les gens savent qu’il faut protéger leur ordinateur mais ils ne pensent pas à le faire pour leur smartphone, qui contient pourtant toute leur vie. Ils ne réalisent pas qu’il y a des risques et que c’est à eux de se protéger. On peut tout pirater aujourd’hui!»

L’informatique, c’est donc critique. Et la petite phrase, «Quand il fait du pwn sur la heap…», qui sonnait si poétique à l’oreille, en dit long sur les risques actuels. Traduction pour le non initié: «Quand il exploite une faille dans la zone d’allocation dynamique de la mémoire d’un programme, il perd toute notion du temps.» (TDG)