Du "fun"... et des primes: la vie des hackeurs qui piratent StopCovid en toute légalité

Le jour, Adrien Jeanneau, est consultant en cybersécurité. La nuit, derrière l'alias Hisxo, c'est un "bug hunter": il traque les failles des sites web de grandes entreprises ou de l'Etat... avec leur consentement. Depuis mercredi, il épluche l'application StopCovid, dont le lancement est prévu mardi.

JOEL SAGET - AFP

Le jour, Adrien Jeanneau, est consultant en cybersécurité. La nuit, derrière l'alias Hisxo, c'est un "bug hunter": il traque les failles des sites web de grandes entreprises ou de l'Etat... avec leur consentement. Depuis mercredi, il épluche l'application StopCovid, dont le lancement est prévu mardi.

Le jeune Rennais de 27 ans fait partie de la vingtaine de hackers éthiques triés sur le volet pour "pentester" - réaliser un test d'intrusion - cette application de traçage de contacts censée aider à lutter contre le coronavirus.

"J'ai commencé à jeter un oeil au code source et à essayer de déceler des petites faiblesses de sécurité. Il y a des pistes intéressantes", dit-il.

Son premier fait d'armes remonte au collège, en 3e. "Des ordinateurs étaient prêtés pour l'année aux élèves mais ils étaient programmés pour s'éteindre à 22H00", rembobine-t-il. Il ne lui a fallu que "quelques jours" pour contourner cette limite et partager l'astuce avec ses copains de classe.

Le projet d'application "StopCovid" en France

Sébastien CASTERAN - AFP

Depuis quelques années, il est inscrit sur la plateforme Yes We Hack (YWH), une société française qui organise des campagnes de recherche de vulnérabilités - appelées "bug bounty" - à la demande de clients privés ou publics.

"Le côté légal me plaît, c'est rassurant. Et puis derrière, il y a des récompenses", dit-il. Chaque faille débusquée reçoit un score de 0 à 10, qui correspond à une prime versée au hackeur, fixée selon une grille tarifaire. "Mon record, c'est 15.000 euros", confie Adrien Jeanneau.

Une somme qui peut faire tourner les têtes d'apprentis geeks mais "il ne faut pas laisser penser qu'on peut devenir riche", avertit Lucas Philippe, alias "BitK", ambassadeur de Yes We Hack et "bug hunter". Pour StopCovid, les primes ont été plafonnées à 2.000 euros et seront réglées par YWH.

Lui pratique d'abord pour "le fun". "Je suis dans ma chambre, en pyjama, j'attaque légalement des boîtes qui valent plusieurs millions de dollars et je leur trouve des bugs. Le rapport de force est sympa", s'amuse ce Lyonnais.

- Burn-out -

"C'est un jeu, c'est la curiosité, c'est l'interdit" qui motivent Thibeault Chenu, 21 ans. "Et puis je suis encore étudiant, en un week-end et quelques soirées je peux me payer des vacances".

L'application de traçage de contacts contre le coronavirus StopCovid va subir les assauts de "bug hunters" qui traquent les failles des sites web de grandes entreprises ou de l'Etat

Philippe HUGUEN - AFP/Archives

Il attend avec impatience que l'application StopCovid soit publique. "J'aime bien ce qui est réalisé par l'Etat car ça touche tout le monde. Je me sens plus utile".

En juin 2019, il a notamment signalé une faille chez France Connect, la solution d'identité numérique qui permet de se connecter aux sites officiels, notamment les impôts ou l'Assurance maladie.

L'Etat, via sa direction interministérielle du numérique, l'a remercié dans un courrier, accompagné d'une batterie externe d'ordinateur, alors même qu'aucun "bug bounty" n'avait été ouvert.

Cette chasse "sauvage", à laquelle s'adonnent ponctuellement des hackeurs éthiques sans en tirer profit est d'ailleurs illégale: elle est passible de deux ans d'emprisonnement, jusqu'à cinq ans quand la victime est l'Etat.

"Quand je le fais, je le signale à l'Anssi (Agence nationale de la sécurité des systèmes d'information), ça prouve ma bonne foi. Je n'ai jamais eu de problème, mais je sais que d'autres +hunters+ oui", rapporte Léo Jorand, 24 ans, alias Gromak123.

Ce consultant en cybersécurité n'a en revanche jamais songé à devenir un "black hat" (chapeau noir), un hors-la-loi qui monnaye ses piratages par du chantage. "Je fais ça pour protéger les gens, en toute bienveillance, je ne cherche pas à me faire de l'argent".

Clément Domingo, alias SaXx, confesse qu'il aurait pu mal tourner : "J'ai eu la chance de tomber sur des personnes qui étaient du bon côté de la force. Si j'étais tombé sur des personnes moins recommandables, ce que j'ai acquis comme expérience, je l'utiliserais peut-être pour faire des choses détournées, piller et revendre des données".

Aujourd'hui, cet expert reconnu en cybersécurité de 29 ans multiplie les conférences et intervient dans des écoles d'ingénieurs pour sensibiliser les futurs hackeurs éthiques.

"Le maître-mot, c'est l'abnégation. Passer parfois six mois, un an, sans résultat. Et ne pas en faire une activité à plein temps car pour payer leurs factures, certains s'enferment dans un cercle vicieux, jusqu'au burn-out", alerte-t-il.

Par Alexandre HIELARD / Paris (AFP) / © 2020 AFP