L’as du code aime trouver la faille

CryptologieBruno Produit a publié les erreurs des cartes d’identité estoniennes.

Bruno Produit s’est spécialisé en cybersécurité en Estonie.

Bruno Produit s’est spécialisé en cybersécurité en Estonie. Image: Laurent Guiraud

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur ?

C’était en 2017. L’Estonie était en proie à un scandale. Des chercheurs venaient de mettre au jour de grosses failles dans la sécurité des cartes d’identité électroniques obligeant le gouvernement à modifier l'ensemble de ces documents. Si les problèmes ont été mis au jour par des chercheurs tchèques, ces derniers n’ont jamais publié les défauts de ces cartes. C’est un Genevois qui l’a fait l’été dernier. Il se nomme Bruno Produit et vient de terminer son master de cryptologie en Estonie. Retour sur le parcours de ce passionné d’informatique.

Pour comprendre comment Bruno est devenu un véritable amateur de codes, il suffit de présenter sa famille: une mère statisticienne à l’Université de Genève, un père spécialiste en astrophysique, qui a réussi l’exploit d’envoyer un de ses appareils de mesure dans l’espace sur une fusée spatiale chinoise, et un frère doctorant en physique. Naturellement, autour de la table des Produit, on parle chiffres, astres mais également politique, jazz, religion et fondue. «Je suis né à Genève, mais mes parents sont tous les deux Valaisans. J’ai donc passé mon enfance entre Plan-les-Ouates, Vernier, où j’ai déménagé à l’âge de 10 ans, et Loc-sur-Sierre, un petit village où nous nous rendions tous les week-ends.»

Pénétrer des systèmes informatiques

Dans cette famille de scientifiques, pas question d’utiliser WhatsApp ou Windows «pour des questions de sécurité». Ici, on ne jure que par Signal et Linux. Lorsque Bruno ne discute pas de programmes informatiques avec son père, il joue du tuba chez les Cadets de Genève puis à la fanfare du Grand-Saconnex et démonte les vieux ordinateurs de la famille. «J’aimais bien regarder comment c’était conçu à l’intérieur. Et puis quand j’ai eu 16 ans, mon père nous a appris à utiliser Python, un programme de codage. C’est là que je me suis réellement découvert une passion pour l’informatique.»

Le jeune homme plonge dans ce nouveau monde fait de 0 et de 1 et perçoit rapidement les multiples possibilités que ses connaissances peuvent lui apporter. «Dès qu’on s’y connaît un peu, on peut faire des choses rigolotes comme entrer dans les ordinateurs des autres...» Avec quelques amis, il lui arrive de pénétrer certains systèmes informatiques «juste pour voir quelles mesures de sécurité ont été prises». Ou pour bidouiller le système scolaire et ne plus payer ses photocopies…

Maturité allemande en poche, il se lance dans des études en télécommunication, option réseau et sécurité informatique à l’École d’ingénieur de Fribourg avant de s’envoler pour l’Estonie en 2017. Mais pourquoi donc l’Estonie ? «Parce que c’est une référence en matière de cybersécurité!» lance le jeune homme avant de nous raconter, des étoiles plein les yeux, que la petite république balte s’est spécialisée dans ce domaine suite à l’attaque informatique lancée sur le pays par la Russie en 2007. «Elle abrite le centre de cybersécurité de l’OTAN et des Universités à la pointe du domaine. Afin de rester au top, ils font chaque année un concours international et offrent 30 bourses pour des étudiants étrangers. J’ai eu la chance d’en obtenir une.»

Publication peu appréciée

C’est donc dans la petite ville universitaire de Tartu que le Genevois débarque afin de faire un master en cybersécurité, option cryptographie. Sous la surveillance de son professeur Arnis Parsovs, il se lance dans l’étude de la faille de sécurité des cartes d’identité numériques estoniennes. «Cette faille avait été démontrée, mais les codes permettant de craquer la puce n'avaient pas été divulgués, ce qui est étonnant car en général ils sont rendus publics au bout de six mois afin que les informaticiens puissent corriger les erreurs.» Il réécrit donc les codes de l’attaque et découvre un moyen de la réaliser encore plus rapidement. «Avec cette méthode, on pouvait craquer la carte quatre fois plus vite. En accord avec l’Université, nous avons ensuite décidé de publier ces codes sur internet.» Un geste qui ne plaît pas à tout le monde. «Certains gouvernements ou institutions n’étaient pas forcément contents. Il faut dire que des cartes comprenant la même puce défaillante sont encore utilisées.»

Master en poche, Bruno Produit est rentré en Suisse cet été. Il vient de décrocher son premier emploi en tant que Cyber security analyst chez Kudelski. Durant ses heures perdues, il rêve de retourner à Tartu pour utiliser le super ordinateur de l’Université afin de tenter de prendre réellement le contrôle d’une ancienne carte d'identité estonienne.

Créé: 12.12.2019, 08h01

Publier un nouveau commentaire

Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous vous prions d’utiliser votre nom complet, la discussion est plus authentique ainsi. Vous pouvez vous connecter via Facebook ou créer un compte utilisateur, selon votre choix. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.

Caricatures

Le coronavirus crée une frénésie de nettoyage
Plus...