Publicité

Hacking éthique, cybersécurité, empreinte numérique... Rencontre avec Baptiste Robert

  • rencontre_baptiste_robert_hacker-ethique.jpg

    baptiste-robert-hacker-ethique-empreinte-numerique
    Baptiste Robert s'est fait connaître sur les réseaux sociaux, en trouvant des failles de sécurité dans des applications mobiles ou des sites internet. (DR)
  • Baptiste Robert est le fondateur de Predicta Lab, qui propose des services et une plateforme de renseignement en source ouverte (Osint) destinée à la visualisation et à la maîtrise de l’empreinte numérique de ses clients. Mais c’est sur Twitter que ce hacker éthique toulousain, répondant au pseudonyme fs0c131y, s’est surtout fait connaître en livrant ses conseils en matière de cybersécurité. Retrouvez le podcast en fin d'article.

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Comment vous définissez-vous ?

    Si je devais me donner une casquette, je dirais que je suis un hacker éthique. Pour moi, le hacking, c’est un état d’esprit (être curieux pour comprendre comment les choses fonctionnent), mais avec des valeurs très importantes à respecter.

    Ce sont ces valeurs que j’essaye de transmettre dans nos professions et sur lesquelles j’ai fondé Predicta Lab. Car c’est mon activité principale aujourd’hui : je suis chef d’entreprise !

    Comment vous êtes-vous fait connaître ?

    Je me suis fait connaître il y a six ou sept ans sur les réseaux sociaux, principalement sur Twitter, en trouvant des failles de sécurité dans des applications mobiles ou des sites internet et plus particulièrement - comme j’aime bien les problèmes - des applications gouvernementales.

    Lire aussi : David Chavalarias : "les plateformes sociales font courir un risque systémique aux démocraties"

    J’ai travaillé sur plusieurs pays et en particulier sur le cyberespace indien. Je me suis également intéressé à la France, aux États-Unis, à la Russie et à la Chine. J’ai pour habitude d’essayer de travailler avec les personnes ou les entreprises concernées pour résoudre leurs problèmes de sécurité.

    J’ai bénéficié très rapidement d’une forte médiatisation internationale, ce qui m’a permis de faire de la sensibilisation, qui est devenue l’une de mes activités. Je dois participer cette année à une quinzaine de conférences auprès de publics très variés : développeurs spécialistes en cybersécurité, journalistes, étudiants… Il est important de s’adresser à un maximum de monde, car la cybersécurité s’applique à tous.

    Quelles failles de sécurité avez-vous découvertes ? Pouvez-vous nous partager des exemples ?

    L’une d’entre elles date un peu, mais j’aime bien la raconter : le gouvernement français a lancé une application interministérielle qui permet aux fonctionnaires de différents ministères de discuter sur une même plateforme. Ce chat existe encore aujourd’hui. L’État a sorti l’application un jeudi et j’ai travaillé dessus dès le vendredi : j’ai essayé de m’y inscrire, mais il fallait disposer d’une adresse gouv.fr ou elysée.fr.

    En trouvant un bug, j’ai réussi à me faire passer pour un employé de l’Élysée et à accéder à la messagerie avec tout le carnet de contacts et les groupes… comme un utilisateur lambda.

    J’ai également beaucoup travaillé sur le cyberespace indien. En Inde, il y a ce qu’on appelle l’Aadhaar, un numéro d’identification associé à chaque personne de nationalité indienne. Avec le temps, la population indienne a pris l’habitude de scanner sa carte Aadhaar, de l’enregistrer et de la déposer un peu partout. Un peu comme si nous laissions nos cartes vitales disponibles sur internet. Sauf que là, c’est encore pire !

    Parce qu’au fil des années, ce numéro Aadhaar est devenu un numéro de sécurité sociale sous stéroïdes que les Indiens utilisent partout : pour déclarer leurs impôts, acheter une voiture, ouvrir une ligne de téléphone…

    À l’aide d’un petit programme, je me suis lancé un soir un défi : combien de cartes Aadhaar vais-je pouvoir trouver sur internet en seulement trois heures ? J’en ai trouvé entre dix et quinze mille, ce qui est assez énorme !

    Pourquoi vous êtes-vous intéressé au cyberespace indien ?

    Pourquoi pas ? Je me suis intéressé à ce pays, car l’Inde est un laboratoire gigantesque avec des défis fascinants. Son développement technologique est incroyable et il dispose d’une force de travail folle, de vraies compétences et de véritables problématiques.

    Lire aussi : Didier Barathon : "La fracture numérique concerne aussi certains salariés équipés d'un ordinateur"

    La question de l’échelle est également intéressante. Par ailleurs, beaucoup de mes followers sur Twitter venaient d’Inde et certains m’ont signalé des vulnérabilités. De fil en aiguille, j’ai passé presque deux ans à travailler principalement sur son cyberespace.

    Il y a trois ans, vous avez fondé la société Predicta Lab. De quoi s’agit-il ?

    C’est une société d’une petite dizaine de personnes basée à 100 % sur l’Osint. Nous évoluons autour de trois activités différentes : tout d’abord de la formation, principalement en présentiel, sur les multiples facettes de l’Osint et destinée à différents types de publics, du débutant à l’expert, pour le secteur public ou privé.

    Notre deuxième activité est dédiée à la réalisation de rapports : nous travaillons beaucoup sur ce que nous appelons l’empreinte numérique, c’est-à-dire les traces (actions, contacts, etc.) que nous laissons tous sur internet.

    Dans certaines situations, il peut être intéressant de la connaître et de la maîtriser, c’est pourquoi nous réalisons des audits pour le compte de journalistes, d’avocats, de personnalités politiques ou publiques, afin de trouver ces traces et de les croiser les unes avec les autres. Une fois cet audit réalisé, nous proposons à nos clients de la réduire en leur expliquant ce qu’il faut enlever ou encore quelles sont les démarches à engager.

    Notre troisième activité est la commercialisation de notre plateforme Osint d’investigation numérique : elle permet à des spécialistes de l’Osint (des analystes ou des enquêteurs) d’enquêter eux-mêmes sur des empreintes numériques, sur internet et le dark web, et de pouvoir visualiser les données.

    Les gens ont-ils suffisamment conscience de l’empreinte numérique qu’ils laissent sur internet ?

    C’est très subjectif et cela dépend vraiment des personnes à qui nous nous adressons. Dans le secteur de la défense, dans lequel j’évolue, les gens sont généralement très sensibilisés. Certains ont même déjà réalisé des démarches de leur propre initiative et leurs empreintes numériques peuvent être ridiculement petites. Heureusement, parce que leurs professions sont parfois très exposées.

    Lire aussi : Arthur Grimonpont : « Nous vivons en algocratie et ce régime n'est pas démocratique... »

    Pour le grand public, c’est parfois plus compliqué : lors des conférences de sensibilisation que j’anime, je constate que les mentalités évoluent et que les conversations changent progressivement. Mais si les gens prennent peu à peu conscience de la problématique et ont identifié un danger, ils n’ont pas forcément toutes les clés pour s’en prémunir. Personne ne les leur a données.

    Car si je schématise, les outils et les applications que nous utilisons sont justement conçus pour que, de manière cognitive, nous cliquions sur le fameux « OK ». Ce sont des choses qui vont mettre des années à se mettre en place, mais qui avancent. La prochaine génération sera-t-elle meilleure à ce jeu-là ? J’en doute, malheureusement. Mais nous ne reculons pas : je suis optimiste !

    Quels sont vos trois conseils pour que chacun puisse mieux gérer son empreinte numérique ?

    Tout d’abord, je conseille tout simplement de taper régulièrement votre nom dans Google. Regardez bien les liens qui ressortent et ne vous arrêtez pas à la première page : ces liens comportent-ils des informations potentiellement personnelles ?

    C’est alors qu’intervient mon deuxième conseil : faites une pause, prenez quelques secondes pour vous poser des questions, car nous avons tous tendance à cliquer très rapidement sur un ordinateur. Ouvrez les différentes pages et mettez-vous dans la peau de quelqu’un qui vous veut du mal : en disposant seulement de vos nom et prénom, que peut-il obtenir de vous ? Comment peut-il vous profiler ?

    Et voici enfin mon troisième conseil : réfléchissez avant de confier vos données sur internet. Il s’agit des questions auxquelles vous allez répondre en vous inscrivant sur un site, ou encore des cookies que vous allez accepter...

    Le service auquel vous souhaitez souscrire a-t-il vraiment besoin de vos données et avez-vous absolument besoin de dire la vérité ? Car n’oubliez jamais que vous pouvez mentir ou même inscrire un faux nom. Ce n’est pas très grave : internet a été conçu comme ça !

    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".
    Publicité