dimanche, décembre 22, 2024

Entretien avec Clément Domingo: Hacker éthique, Bug bounty… Immersion dans l’écosystème de la cybersécurité

2 commentaires

De nos jours, le numérique est au centre des activités humaines et sociales. Plusieurs milliards de données transitent chaque jour sur Internet et les systèmes d’information du monde, commerce, santé, éducation, administration, média… Nous sommes dans un monde plus que connecté. Dès lors, les menaces sur le piratage des données sont devenues quotidiennes.

Clément Domingo, jeune franco-sénégalais, est un expert en cybersécurité, l’un des hackers éthiques les plus réputés en France. Dans cet entretien avec SocialNetLink, SaxX, membre de l’équipe Hexpresso revient sur les enjeux de la cybersécurité, du hacking et surtout de ce concept appelé Bug Bounty.

Pouvez- vous vous présenter à nos internautes ? 

C’est un exercice toujours hasardeux d’oser se présenter soi-même mais je vais essayer. Je m’appelle Clément Domingo, je suis franco-sénégalais de 29 ans et hacker éthique. Il faut hélas ajouter le « éthique » parce que beaucoup de gens encore ont l’image négative du hacker en tête ce qui ne devrait pas être le cas. Je suis expert en cybersécurité. Dès lors, j’aide les entreprises privées et publiques à mieux comprendre les failles de sécurité informatique qu’elles ont. En somme, je les aide à les déceler et ensuite les corriger.

Hexpresso

Je fais partie d’une équipe de hacking en France, Hexpresso. Ensemble, on a remporté de nombreuses compétitions de hacking. Ces compétitions sont plus connues sous le terme de CTF pour Capture The Flag. C’est entièrement légal et à but didacticiel. Le but est de « hacker » des systèmes d’information et de trouver les vulnérabilités. C’est comme une forme de « e-sport ». On a eu la chance de partir dans des pays dans le monde (Chine, Ukraine, Russie, Luxembourg, France, …) pour y affronter parfois la crème des hackers.

Un hacker aide à sécuriser nos données, nos libertés individuelles

Vous êtes un hacker éthique. Qu’est- ce que cela signifie ?

C’est un terme encore méconnu du grand public qui associe directement l’image du hacker à celui du méchant, de cette personne qui va voler des données et aller parfois les revendre sur le marché noir. Un hacker, sans trop faire d’étymologie et de culture générale, est une personne curieuse dans le domaine de l’informatique, de l’électronique.  C’est quelqu’un qui va tenter de comprendre les systèmes, de les bidouiller pour améliorer ces derniers. Il y a une très belle citation de Keren Elazari, hackeuse israélienne, pour la paraphraser qui dit que le hacker est à internet ce que les défenses immunitaires sont au système immunitaire.

On ne peut pas construire un monde tout numérique sans cybersécurité

Un hacker va donc aider à sécuriser nos données, nos libertés individuelles (surtout en ces temps de COVID avec les questions de surveillance déguisées), mais aussi notre démocratie sur internet.

On ne peut pas construire un monde tout numérique sans cybersécurité. C’est un enjeu sociétal majeur. Vos lecteurs sont bien contents qu’un hacker éthique participe sans qu’ils ne le sachent à la sécurisation de leurs données bancaires ou de santé. J’imagine non plus qu’ils ne voudraient pas que n’importe qui ait accès à leurs données personnelles sur le site des impôts, ou encore à vos échanges par mails, sms ou les snaps ou autres choses privées que vous vous partager entre amis, collègues ou au sein de votre famille.

Il faut différencier les blackhats des whitehats. Les Blackhats sont plutôt les hackers méchants, les pirates. Ils utilisent leurs compétences pour voler des données, pirater des systèmes et parfois s’adonner à des actes d’Hactivisme. Lorsque l’on entend dans la presse qu’une entreprise s’est faite pirater, il faut penser la plupart du temps à ces blackhats. A l’inverse, les whitehats sont ces « gentils » hackers, ces hackers « éthiques » qui sont du bon côté de la force et qui vont aider à améliorer la sécurité des systèmes d’information.

La cybersécurité, un ensemble de techniques, d’outils, de lois, d’acteurs…

En tant qu’acteur du domaine, comment vous pouvez nous expliquer la cybersécurité ?

La cybersécurité pourrait se définir comme l’ensemble des techniques, des outils, des lois, des acteurs qui vont œuvrer de quelques manières que ce soit à faire d’internet, des applications et des services du quotidien que nous utilisons quelque chose de plus sûre. J’aime bien prendre des métaphores pour expliquer parfois des concepts. Conséquemment, voyez la cybersécurité comme quelque chose de non tangible mais à la fois tellement concret. Cette chose qui va vous permettre d’envoyer en toute sérénité vos données sur internet ou à votre famille ou vos amis sans vous soucier qu’une personne malveillante vienne voler vos données ou vous pirater.

Clément DOMINGO

Les notions relatives à la cybersécurité sont très très récentes dans le sens où nos politiques et acteurs étatiques, économiques, juridiques et j’en passe, commencent à s’en soucier. Donc, il y a tout à construire et les garde-fous à poser.

 

SaxX, vous faites partie des hackers éthiques les plus reconnus dans l’écosystème de la cybersécurité en France. Vous êtes l’un des plus compétents dans ce qu’on appelle Bug bounty. Alors qu’est- ce que le Bug bounty ?

Reprenons à nouveau un petit parallèle qui devrait parler à vos lecteurs. On fait un petit bon en arrière d’environ 1 siècle et demi en arrière dans les années 30 environ, à l’époque des fameux sheriffs, des saloons et des westerns. A cette époque, les sheriffs mettaient à prix d’or la tête de fugitifs connus ou beaucoup moins. Donc, à quiconque ramenait des informations sur ces personnes recherchées ou les capturait, on offrait une prime plus ou moins importante en fonction de la notoriété/dangerosité du fugitif.

Le Bug bounty c’est lorsqu’une entreprise va demander à des hackers éthiques, des chercheurs en cybersécurité de trouver des failles de sécurité

Et bien en cybersécurité, c’est pareil ! Les entreprises ont compris l’importance des données personnelles aujourd’hui avec l’avènement de la RGPD depuis mai 2018. Donc, aujourd’hui, les entreprises travaillent en bonne intelligence avec des hackers pour traquer leurs failles informatiques et rémunérer ces hackers. Ainsi, c’est du gagnant-gagnant.

Pour être plus précis, le bug bounty c’est lorsqu’une entreprise va demander à des hackers éthiques, des chercheurs en cybersécurité de trouver des failles de sécurité sur son site, son service ou encore sur son application mobile. Par exemple, une entreprise alpha va contacter une plateforme française comme YesWeHack en Europe, et ouvrir son programme. Ainsi, elle va définir ce que l’on appelle un périmètre – très important pour ne pas que les hackers testent n’importe comment la cible. Elle va définir des grilles de rémunération. Cette grille de rémunération peut aller de quelques centaines d’euros jusqu’à des milliers d’euros.

Lire aussi: La police nationale, une faille dans les communications confidentielles du gouvernement

Ensuite l’entreprise choisit des hackers en fonction de leur classement et de leur réputation pour commencer à tester son site web/son application. Au bout de quelques heures, elle commence à recevoir des rapports détaillant les vulnérabilités trouvées. Par exemple, comme type de vulnérabilités on peut avoir des injections SQL qui permettent de récupérer les données des clients ou encore des exécutions de code permettant d’avoir un accès directement sur le serveur de l’entreprise et de pouvoir lire tous les fichiers de configuration ou le code source.

Les membres de l’équipe Hexpresso

Une fois que l’entreprise reçoit ces rapports, elle va les traiter et faire une réponse au hacker. Et si la vulnérabilité existe bien et est avérée, le hacker reçoit sa prime.

Le bug bounty est primordial…

Aujourd’hui, le bug bounty est primordial. Tous les GAFAM en font et presque toutes les grosses entreprises et des startups ont recours au bug bounty. C’est le cas en France, en Europe et dans divers pays du monde. Même des acteurs étatiques comme l’armée française ou encore le prestigieux Departement Of Defense des Etats-Unis ont recours au Bug bounty. Ils font appel à des hackers pour tester leur système. Le Bug bounty est un moyen d’avoir les meilleurs experts pendant une journée, une semaine, un mois voire plus sur son programme. Ils vont trouver des failles de sécurité informatique avant que des pirates ne les trouvent et en fassent mauvais usage. C’est aussi un complément solide aux tests de pénétration (pentests). Le bug bounty apporte une assurance de qualité et surtout financière; l’entreprise ne paie que s’il y a une vulnérabilité.

C’est juste aujourd’hui inéluctable de passer à côté du bug bounty que l’on soit une entreprise ou un chercheur. D’ici 2022 ce sera vraiment généralisé.

Des vulnérabilités assez critiques concernant les données de citoyens sénégalais et des données d’opérateurs au Sénégal

Hélas, je me rends compte qu’il n’y a absolument rien en Afrique concernant des initiatives autour du BugBounty. Les parties sont assez frileuses ! Il y a de nombreuses vulnérabilités dans les systèmes des pays africains. Le Bug Bounty contrôlé serait une manière d’aider à déceler ces vulnérabilités. Le continent africain sera de plus en plus scruté dans les années à venir niveau numérique. Ainsi,  toutes ces failles qui dorment seront révélées et certaines risquent de faire couler énormément d’encre !

Le Sénégal séduit beaucoup de pays de la sous- région, avec ses multiples innovations numériques dans le domaine administratif, avec différentes lois et mesures en matière de cybersécurité. Cependant, nous sentons que notre pays est très vulnérable. Quelle analyse faites-vous de ce manque de considération d’un domaine si important qui est la cybersécurité ?

Je suis le premier étonné de ce constat. En effet, j’ai pu expérimenter les deux dernières années à quel point le Sénégal est assez vulnérable. J’ai dû tomber sur des vulnérabilités assez critiques concernant les données de citoyens sénégalais et des données d’opérateurs au Sénégal.

Conséquemment, j’ai alerté tant bien que mal mais la prise de conscience n’a pas été la même qu’en France ou en Europe. Ce manque de considération est à plusieurs niveaux, déjà parce que le sujet est tabou je pense au Sénégal. Les entreprises voient les experts en cybersécurité comme des gens qui vont venir pointer tout ce qu’elles ont mal fait pour ne pas protéger les données de leurs clients. Alors que c’est tout l’inverse. Je fais beaucoup de pédagogie auprès de mes clients en Afrique de l’Ouest pour leur expliquer cela.

Un CERT, primordial dans la cybersécurité

Ensuite, je pense qu’il y a un manque de formations pour sensibiliser les acteurs étatiques et juridiques. Il faut qu’ils puissent mieux comprendre les enjeux dont il est question. La critique est toujours facile comme dirait un de nos contemporains. Mais j’essaie d’être constructif et de prendre du recul pour comprendre les pourquoi ce retard au Sénégal.

Lire aussi: Cyberespionnage, cyberattaque, vol de données… la messagerie de l’Etat bafouée par l’administration

Par exemple, quelque chose de concret dont manque le Sénégal et qui sera primordial d’ici l’année prochaine – si réellement le Sénégal ne veut pas rater le coche – c’est de mettre en place une Agence Nationale de Sécurité des Systèmes d’Information ou un CERT (Computer Emergency Response Team). Quelques rares pays africains commencent à le mettre en place. Cela permet de centraliser toutes les décisions critiques liées à la cybersécurité et de pouvoir agir rapidement mais surtout efficacement. En conséquence, éviter les couches administratives, qui, parfois peuvent être assez handicapantes surtout au Sénégal.

 

A votre avis qu’est- ce qu’il nous faut pour que ces innovations numériques ne soient pas d’éventuelles menaces pour les populations ?

Le maître-mot serait SENSIBILISATION. On est seulement mieux préparé que pour quelque chose dont on nous a parlé. Un des premiers vecteurs aujourd’hui est l’humain mais aussi tous nos jeunes.  D’abord, ils sont connectés H24. Ensuite, certains n’ont absolument pas idées de ce que l’on pourrait faire avec leurs données surtout avec l’avènement de discipline comme l’Intelligence Artificielle et le Machine Learning.

SaxX lors du BreizhCTF 2019

Il est important que nos jeunes puissent avoir la chance d’être informé sur les métiers de la cybersécurité et avoir des figures auxquelles s’identifier. Je n’ai pas eu cette chance, mais j’essaie de rectifier le tir maintenant même si cela s’avère plus fastidieux que je ne l’imaginais. Peut-être parce que je n’ai pas encore rencontré les bons acteurs.

Dernier point tout aussi primordial, tester les solutions numériques qui sont mises dans les mains des citoyens. Car, de manière générale, un utilisateur lambda utilisera normalement l’application même si elle comporte des vulnérabilités. Cependant,  une personne malveillante regardera de plus près et exploitera la moindre faille. Elle va chercher à voler les données, piéger les citoyens ou encore les utiliser à mauvais escient.

 

Clément, c’est quelqu’un qui cherche toujours des failles dans les systèmes informatiques, les sites, les applications… Vous êtes surtout quelqu’un qui cherche à obtenir des données personnelles d’utilisateurs, quels conseils donneriez –vous à ces personnes qui se connectent chaque jour sur Internet ?

Je recherche ces failles parce que je suis attaché à la sécurité des données et à cette liberté tellement précieuse que l’on retrouve sur internet.

N’utilisez surtout pas le même mot de passe…

Aussi, un des conseils que je donnerais à vos lecteurs, est de faire attention. Un exemple assez concret, ce n’est pas parce que l’on vous demande toutes vos informations sur internet que vous êtes obligés de les donner. Essayez d’avoir 3 adresses mails différentes pour vos différentes utilités. N’ayez SURTOUT PAS le même mot de passe pour tous les sites et applications que vous utilisez. C’est assez simple. Une fois que l’on a accès à un de vos comptes, c’est facile d’avoir accès rapidement à tous les autres, comptes et applications que vous avez. Pour ma part j’ai un peu plus de 80 adresses mails. Ce qui fait,  j’utilise un outil que l’on appelle LastPass qui est un gestionnaire de mots de passe. Il vous permet d’éviter d’utiliser le même mot de passe partout.

 

Vous êtes une star du hacking. Dès lors, on peut dire qu’il y a forcément des jeunes, des étudiants sénégalais voire africains qui veulent devenir comme vous. Alors, c’est quoi le conseil que vous leur donnez ?

De ne pas avoir peur de se lancer. La cybersécurité est totalement un métier d’avenir. Il y a tellement de choses qui s’y rapportent. Il y a des moyens d’apprendre de manière ludique comme les compétitions de cybersécurité auxquelles j’ai participé. J’en ai co-créé une en France, le BreizhCTF qui est la deuxième aujourd’hui. Ce genre de compétition permet de déceler des jeunes talentueux et surtout de venir apprendre. J’espère que le Sénégal pourra organiser de telles compétitions pour les jeunes et identifier le terreau de compétences qui y existent.

Dernier conseil, penser hors du cadre ! … peut-être la clé pour devenir un bon hacker.