ndh

1. Voici un long moment que je n’ai plus publié d’article mais je me devais d’écrire celui-ci, car sans mauvais jeu de mot, il me tient particuliérement « hacker ». Ce ne sera pas un article technique, ni même pratique mais plutôt un coup de gueule et surtout une mise au point. Coup de gueule car récemment, un ami, que certains reconnaitront très certainement (mais je vous demande de ne pas le citer explicitement) passioné aussi de sécurité informatique au point où il en a fait son métier, a eu des ennuis. Des ennuis de quels types ? Eh bien, ceux du genre défoncage de porte suivi d’un “POLICE” (enfin la porte n’a pas réellement été défonçée hein), garde à vue, perquisition, saisie du matériel, bref, la totale quoi. La raison de tout ça ? Avoir tout simplement « osé » partager sa passion (enfin plus officielement c’est plus un truc du genre « détention/démonstration d’outils de hacking » alors que ce sont des outils, légaux, que des milliers d’autres personnes, de tout âge, utilisent).
2.  
3. Bien entendu le hacking est un domaine plutôt méconnu et très souvent vu avec une connotation « illégale », mais je pensais qu’on avait passé ce cap, qu’on savait faire la différence entre les personnes intéressées par ce milieu, par les aspects techniques, par l’esprit et les challenges que par les mauvais cotés. Sincérement, je le pensais, et cet ami le pensait aussi. Cependant, nous avons eu, malheureusement, la preuve que ce n’est clairement pas encore le cas. Aux yeux de certains, nous sommes encore des criminels.
4.  
5. Il est vrai que depuis quelques années, ce domaine s’est ouvert à tous, pour le meilleur mais également pour le pire. Mais c’est, pour moi, d’autant plus important de diriger les personnes vers le bon coté, de leur montrer qu’elles peuvent pratiquer leur passion, gagner leur vie, et ce, sans faire de mal aux autres et que tout de façon légale. Mais apparement, pour le dernier point, ça dépend énormément du point de vue. De plus, ils accusent de « possesion d’outils de hacking » mais, messieurs, juste comme ça ; saviez-vous qu’il existe depuis genre, 10 ans, des distributions comme Kali Linux (ancienement BackTrack pour ceux qui vont gueuler que ça ne fait pas 10 ans), distributions disponibles gratuitement et légalement et qui rassemblent bon nombre de ces outils ? Saviez-vous que ces outils sont bien entendu disponibles dans la plupart des dépôts officiels des autres distributions Linux ? Bon nombre des outils que vous lui reprochez de posséder sont des outils que n’importe qui peut posséder, et pas en allant les chercher sur un forum obscur au find fond du web non non, tout simplement en l’installant depuis les dépôts officiels de leur distribution. Donc en gros vous êtes en train de nous dire qu’installer un de ces logiciels depuis des sources qui sont tout à fait officielles… est illégal ? Donc en gros, nous sommes des centaines de milliers de personnes à être des criminels. Ca va vous faire du boulot, messieurs.
6.  
7. Après qu’on ne se méprenne pas, je ne dis pas que l’on peut se permettre pour autant de faire tout et n’importe quoi sans être inquiété, soyons très clair sur ce point : si vous merdez, si vous faites n’importe quoi avec ces outils, vous assumerez les conséquences. De plus, il est certes vrai qu’il est bien plus facile aujourd’hui de basculer vers le « coté obscur » où d’être attiré par lui mais personnellement je ne crois pas que c’est en la « fermant » que les choses iront vers un mieux. La technologie prend de plus en plus de place dans notre monde, nous en sommes de plus en plus dépendant. Permettre à des gens de comprendre comment ça marche ne va pas forcément créer des délinquants virtuels mais, entre autre, de permettre à ces personnes de savoir, (https://www.youtube.com/watch?v=iAm2CqQ7VJ0) comme l’avait dit Benjamin Bayart dans la conférence d’ouverture de la Nuit du Hack 2014, « quand on a envie de vous faire un enfant dans le dos » (et on eu quelques exemples ces dernières années d’abus de ce genre). Comprendre comment les choses fonctionnent (et donc, à posteriori, comment les « detourner ») est un rôle qui est essentiel. Mais il y a, bien évidemment, une différence entre s’amuser sur des programmes/sites personnels et/ou plateformes prévues à cet effet, et le faire sur quelque chose qui ne vous appartient pas et sans accord et surtout dans un but malveillant. C’est ce qui différencie le passioné du, pardon pour le terme, « connard ». Et nous n’avons jamais voulu faire partie de la seconde catégorie, pas plus hier qu’aujourd’hui ou que demain. Pourtant, c’est dans cette catégorie là qu’on l’a « classifié ». La raison ? Le fait d’avoir partager ses connaisances, de posséder des outils qui, comme montré plus haut, peuvent être installé de manière légitime par n’importe qui. Ca vous parait dingue et con ? Ca l’est. D’autant plus que pour cette personne, la sécurité informatique est son métier. Mais non, tout ça on s’en branle et on vous accuse d’être un « odieux » criminel.
8.  
9. Je pense qu’il est donc bon de rappeler que la sécurité informatique, traduit généralement par le terme anglais hacking, ne forme pas forcément des gens aux mauvaises intentions. Nous essayons au contraire de faire notre maximum pour promouvoir le hacking dit « éthique ». Comme exemples connus et reconnus, nous pouvons citer Root Me et Newbie Contest, plateformes d’apprentisage de la sécurité, soutenues par pas mal d’entreprises ainsi que diverses écoles, des conventions françaises telles que la Nuit du Hack (17ième édition en 2019, qui sera renommée en « Le Hack » pour info) dont des personnalités, telles que Guillaume Poupard, directeur de l’ANSSI (https://www.youtube.com/watch?v=xCoLlkTEOhY), l’Agence nationale de la sécurité des systèmes d’informations, sont venues promouvoir et encourager ce type d’événement et de pratique. Citons aussi la Sthack à Bordeaux, depuis 2011, et des petits nouveaux comme SigSegV1, dont la toute première édition se tiendra ce 1er décembre à l’école 42 à Paris. Et ça, ce ne sont que quelques exemples francophones, car il y en a des dizaines, des centaines d’autres partout dans le monde. Toutes ces plateformes et événements rassemblent des milliers de gens, tous intéressés par ce beau domaine qu’est la sécurité informatique. Ces événements sont soutenus par des entreprises, des écoles (l’école 42 par exemple, « obligeait » ses étudiants à valider des challenges sur Root Me) et même des entités telles que l’ANSSI. Tout ça nous permet d’apprendre le hacking. Eh oui, ce « hacking », sur lequel vous avez craché messieurs, est soutenu, pratiqué, partagé par des dizaines de milliers de personnes ainsi que des entreprises et des entités même de l’état ou encore des écoles. Et vous, vous avez tout bonnement craché sur tout ça.
10.  
11. J’ai toujours voulu partager cette passion mais jamais dans un but de nuire. J’ai toujours fait attention de ne pas faciliter la tâche de ceux que j’appelle les « connards » car ça n’a jamais été mon but. J’ai toujours expliqué et ré-expliqué mes intentions, même encore ici, sur ce site. J’ai toujours donné sans attendre en retour, toujours essayé de diriger au mieux les débutants pour leur éviter de tomber dans les travers de ce milieu et si tout ça était à refaire je le referais sans hésiter. Bref, j’ai tout fait pour ne pas être un « connard ». Et pourtant, je me suis rendu compte que je suis toujours, aux yeux de certains, un « connard », que partager cette passion peut me bousiller ma vie si on décide de me tomber dessus. Car il faut aussi bien le préciser mais, oui, ce genre d’incident peut bousiller votre avenir : perte de votre emploi et de votre liberté, amende, prison, casier judiciaire, interdiction de toucher à un ordinateur et j’en passe. Autant vous dire que retrouver un boulot dans l’informatique risque d’être carrément impossible et que votre vie sera un enfer. Ce ne sont donc pas des sanctions sans conséquences, bien au contraire. Voilà ce que nous risquons. Je pensais que tout ça était derrière nous mais il semblerait que ça ne soit pas encore le cas et que toutes ces menaces, nous les risquons toujours, et ce même en faisant notre maximum pour ne pas tomber ou enseigner les mauvais aspects de ce milieu.
12.  
13. Pourtant, je ne peux pas rester assis là sans rien faire et simplement abdiquer. C’est malencontreusement tombé sur cet ami, et je ferais tout pour le sortir de là parce qu’il ne mérite absolument pas ce qui lui arrive, mais ça pourrait également tomber sur n’importe qui de la communauté infosec francophone car oui, pour moi, c’est une menace qui pèse sur chacun d’entre nous, et ce tant qu’ils n’auront pas compris le principe de l’éthique (qui, encore une fois, n’est pas l’excuse ultime à tout, surtout si elle est utilisée en tant que « fausse excuse » : l’éthique se construit sur les actes et pas seulement sur trois phrases dans un disclaimer comme certains voudraient se l’imaginer. Parce que dire que vous faites du hacking éthique et montrer ensuite quelque chose qui n’a strictement plus rien d’éthique et où on sent clairement que vous vous en foutez royalement, ça, désolé pour vous mais ça n’est pas de l’éthique et ce n’est pas « juste » un disclaimer qui vous couvrira), nous serons menacés.
14.  
15. Alors que faire après tout ça ? Tout supprimer ? Ne plus rien publier et rester seul dans son coin ? Alors à quoi bon les conventions ? A quoi bon les plateformes ? A quoi bon nos vidéos et articles ? Non, je ne peux définitivement pas faire une croix sur tout ça parce que quelques personnes ne parviennent pas à se dire que nous ne sommes pas tous des « connards ». Je ne vais pas non plus changer de bord et me mettre à faire du carding ou à arnaquer des innocents car je ne suis pas un « connard ». Non ! Je vais continuer à écrire des articles. Je vais continuer à faire des vidéos. Je vais continuer à discuter de tout et de rien sur IRC ou Discord. Je vais continuer à m’arracher les cheveux sur les CTF et challenges. Je vais continuer à boire des bières avec les potes lors des conventions (soda pour les mineurs bien entendu, parce que vu où on en est…). Bref, je vais simplement continuer ce que j’ai toujours fait, en faisant d’autant plus attention à ne surtout pas former des « connards » car ça, effectivement, il en est de ma responsabilité, je dirais même de notre responsabilité à toute la communauté. Il est de notre devoir de montrer le bon coté du hacking, de participer à son développement afin que ce type de mésaventure n’arrive plus à ceux qui ne l’ont pas mérité. Nous pensions vraiment que c’était déjà le cas mais il semblerait qu’il y ait encore du travail à faire à ce niveau là. En tout cas, comme dirait cet ami, une chose est sûre : « Hacking never die » !