Yes We Hack, pirate pour le bien commun
Face à la menace cyber, entreprises et pouvoirs publics font feu de tout bois. L’île-de-France, parce qu’elle concentre les pouvoirs politiques stratégiques et économiques du pays et qu’elle est hôte des Jeux olympiques, est particulièrement vulnérable. C’est pourquoi, elle voit naître des écoles et formations en cybersécurité, et des start-up innovantes, comme Yes We Hack, pionnier dans le « bug bounty ».
En janvier 2023, le projet de loi d’orientation et de programmation est promulgué par le ministère de l’Intérieur et place le numérique et la cybersécurité au centre des priorités. Selon le ministère de l’Intérieur, une entreprise sur cinq a été victime d’une cyberattaque au cours de l’année avec des rançons moyennes de 6 400 euros (en hausse de 50 % par an depuis 2016). Des rançons pouvant parfois atteindre plusieurs millions d’euros. Le texte consacre 7 milliards d’euros au numérique et 450 postes à temps plein sur 5 ans. Dans ce cadre nouveau, le module 17 cyber (équivalent du 17) sera lancé au premier semestre 2024 pour que les entreprises, de la PME à la multinationale, mais aussi les collectivités, structures hospitalières ou particuliers puissent faire face à la multiplication des cyberattaques. Il servira à signaler une cyberattaque ou une escroquerie en ligne et « à être mis immédiatement en relation avec un opérateur spécialisé », selon Gérald Darmanin.
Il faut dire qu’il y a urgence. Réseaux et serveurs bloqués, services désorganisés, relations avec habitants et usagers… ces derniers mois plusieurs collectivités et administrations publiques franciliennes ont été la cible d’attaques cyber. L’Hôpital du Sud Francilien à Corbeil-Essonne (91), la ville de Brunoy (91), le conseil départemental de Seine-et-Marne, les villes des Mureaux (78) et de Chaville (92), entre autres ont tous subis des attaques. La Région Île-de-France a décidé d’agir avec un gigantesque « scan » de la performance en termes de cybersécurité des 716 communes d’Île-de-France de plus de 1 000 habitants et des 71 intercommunalités. Plus de la moitié des communes et intercommunalités doivent faire des efforts très importants pour améliorer leur sécurité numérique. En conséquence, la Région a opté pour la mise à disposition en octobre 2023 de deux chèques cyber à destination des entreprises, l’un de 5 000 euros pour un diagnostic et l’autre de 10 000 pour un investissement Cyber, ce qui correspond à une enveloppe globale de 3 millions d’euros.
En décembre 2023, à la demande de l’Agence de sécurité des systèmes informatiques (Anssi), la Région a également mis en place une « cybercaserne », baptisée Urgence Cyber Île-de-France. Le but de la plateforme est de prendre les appels des victimes entre 8 heures et 18 heures (pendant les Jeux, il sera possible de le faire 24 heures/24 et 7 J/7), pour répondre aux situations d’urgence et attaques cyber, faire un premier diagnostic à distance, informer sur les premiers gestes et formalités à accomplir, mettre en relation avec des prestataires cyber de niveau 2 (partenaires qualifiés, référencés par la Région) pour une investigation poussée, (collecte d’indices…). La plateforme accompagne la victime jusqu’à la phase de résolution d’incident, collecte la donnée d’incident à des fins d’analyse, de reporting pour la Région et l’État, et assure également la sensibilisation sur les risques et bonnes pratiques.
Les hackers, meilleur outil pour lutter contre la cyberdélinquance ?
Mais si la solution ne venait pas des hackers eux-mêmes ? Cela s’appelle le « Bug Bounty » et il s’agit d’offrir une récompense aux « hackers éthiques » susceptibles de percer les meilleures armures… pour servir le bien et non le mal. En 2016, le ministère de la Défense américain proposait aux geeks du monde entier un jeu : « Hack the Pentagon ». Le but ? trouver des failles dans l’un des systèmes les plus surveillés du monde et obtenir une récompense allant de 100 à 15 000 dollars suivant la menace détectée. En effet, même l’icône de la défense a des fuites et des failles sécuritaires. L’opération a attiré des individus du monde entier, lançant à grande échelle les programmes de Bug Bounty. Plus de 250 participants avaient découvert au moins une vulnérabilité et 138 d’entre elles avaient été jugées éligibles pour une récompense. L’opération a coûté 150 000 dollars à l’État alors qu’un audit par une société extérieure aurait coûté plus d’un million de dollars, avait affirmé le secrétaire de la Défense d’alors, Ash Carter.
À La Défense (92), le Campus Cyber est installé depuis 2022 dans une belle tour de verre, de béton et d’acier donnant sur le boulevard circulaire. Impulsé par la présidence de la République en 2019, il rassemble sous un seul et même toit les plus grands acteurs nationaux et internationaux de la cybersécurité (grands groupes, PME, organismes de formation, acteurs de la recherche et associations) ainsi qu’une partie des équipes de l’ANSSI, certains services du ministère des Armées et du ministère de l’Intérieur, le dispositif cybermalveillance.gouv.fr et le Coordinateur national de la stratégie d’accélération cybersécurité est localisé sur le Campus Cyber. Parmi ces acteurs de la cybersécurité, des pirates. Yes We Hack, fondé en 2013 par des as du hack, Guillaume Vassault-Houlière, très connu dans la communauté des hackers français, Romain Lecoeur et Rodolphe Harand. « Qu’une plateforme de mise en relation avec des hackers se retrouve à côté des plus gros prestataires de services, des cabinets d’audits, ça montre bien la reconnaissance que nous avons acquise au fil des années ». Nous explique le dernier, le seul à ne pas être un « geek ». « Les deux autres cofondateurs ont d’abord été des passionnés d’informatique et de cyber sécurité, ils sont devenus chercheurs en cybersécurité. Forts de ces expériences, ils ont pu voir toutes les facettes des vulnérabilités. En créant Yes we hack, ils se sont dit qu’ils pourraient rendre les mêmes services aux entreprises en court-cuitant les audits de sécurité en mettant en liens directeurs hackers et décideurs ».
En effet, peu de choses différencient les méthodes employées par les entreprises spécialisées dans la cybersécurité qui peuvent faire des tests d’intrusion ou de pénétration pour sécuriser les sites, les applis, les systèmes d’exploitation des entreprises. « Au lieu d’utiliser un consultant une fois par semaine, on dédie une communauté entière crowd sourcée qui vont découvrir des vulnérabilités tous azimuts ou dans les limites fixées avec le client », détaille Rodolphe Harand. Chez les clients, la démarche du hacking éthique nécessite souvent une petite mise au point, surtout du point de vue juridique. En effet, la réglementation RGPD rend frileux bien des services juridiques. « Nous les taquinons souvent en leur disant que nous travaillons pour la moitié du CAC 40, pour l’État français ou Paris 2024, afin de les rassurer. Tout est bien cadré juridiquement avec le client qui va dire voilà ce que vous pouvez attaquer, où vous devez vous arrêter et la récompense définie en fonction de gravité. Ses choix se basent selon le principe de la loi des 80/20 : aucune entreprise ne peut tout corriger, elles sont obligées de se fixer des priorités, de corriger des choses les plus importantes. Il faut bien tout cadrer pour s’assurer que les tests se déroulent bien car il y a toujours le risque de causer de petites disruptions ».
Aujourd’hui, Yes We Hack compte 60 000 chercheurs vérifiés de 150 nationalités différentes. « Leurs profils sont très variés, on a des consultants assez standards (avec certifications et diplômes), mais les meilleurs hackers sont des gens sans diplômes, des passionnés qui ont développé une expertise, qui ont une mentalité particulière. On a des consultants le jour, des hackers la nuit, on a des étudiants qui le font pour apprendre ou pour obtenir un palmarès avant même de commencer une carrière. Nous fournissons des outils gratuits d’autoformation et des produits dédiés aux écoles d’ingénieurs pour que les professeurs ajoutent l’exploitation des vulnérabilités à leurs parcours pédagogiques », explique Rodolphe Harand.
Avec des bureaux à Paris, Lausanne et Singapour, Yes We Hack dispose de clients dans 40 pays différents et il suffit de faire une petite promenade sur leur site pour le comprendre : en ligne, les tests ouverts aux hackers éthiques comptent l’État français (avec des primes allant jusqu’à 20 000 euros pour France Connect), Dailymotion (3 000 euros max), Doctolib (50 000 euros max) ou JBL (4 000 $ max).
Référence : AJU012x0