Baptiste Robert, 30 ans, est un hacker renommé à l'international. Depuis Toulouse où il vit, il débusque des failles jusque dans la messagerie sécurisée du gouvernement français ou une application du Vatican, une "action politique d'intérêt général", plaide-t-il.
"Un jeudi, le gouvernement a annoncé le lancement de Tchap, une messagerie pour les hauts fonctionnaires, plus sécurisée que WhatsApp ou Telegram. Quand un hacker entend ça, ça sonne comme un défi", confie l'informaticien.
"J'ai du mal avec les annonces très affirmatives, voire prétentieuses. Le vendredi, j'ai débuté à 09h00, et à 10h15, j'avais réussi, j'étais inscrit comme employé de l'Elysée dans Tchap et je pouvais communiquer avec tous les inscrits sur la messagerie", s'amuse-t-il, évoquant la "jouissance intellectuelle" procurée par l'exercice.
S'il assume le terme de hacker, il lui préfère celui de "chercheur en cyber sécurité".
"Je crois que mon action est utile, c'est une action politique pour la sécurité individuelle. Je constate une grand méconnaissance des enjeux de la cyber sécurité de la part de nos décideurs", s'inquiète Baptiste Robert.
Dans le monde des hackers, il y a des nuances. Le "black hat" (chapeau noir) est hors la loi, souvent maître-chanteur. Le "white hat" (blanc) est recruté par une entreprise, ou une institution, pour améliorer la sécurité de leurs produits. Le "grey hat" fait le travail de ce dernier sans y être invité.
- "Bonnes intentions" -
Le Toulousain se définit "comme un "grey hat". "On n'a pas forcément l'autorisation, mais on travaille avec de bonnes intentions".
Sans révéler les détails au public, il avait annoncé sur son compte twitter avoir craqué Tchap en mai dernier, et a transmis aux autorités françaises ses trouvailles sur les faiblesses du dispositif.
Les services de renseignement français, et d'autres pays, l'ont contacté, lui proposant de l'embaucher. "Mais pas question, il faudrait pour cela que je déménage de Toulouse".
Cet homme grand et mince, calvitie naissante, fines lunettes, plutôt iPhone et Mac que PC et Android, privilégie une qualité de vie.
Diplômé de l'École nationale supérieure d'électronique, d'électrotechnique, d'informatique, d'hydraulique, et des télécommunications (ENSEEIHT), il travaille depuis son appartement, où il vit avec femme et enfants. Marathonien, il part, quand il peut, courir le long du Canal du Midi.
Sur son compte Twitter @fs0c131y, pas de photo. Il utilise le pseudonyme de Elliot Alderson, héros de la série américaine Mr Robot sur l'univers du hacking.
- "Bug Bounty" -
Dans l'écosystème des hackers, explique-t-il, il y a aussi "des sociétés mal intentionnées prêtes à payer un million de dollars au hacker qui trouvera une faille de très haut niveau, le moyen par exemple de prendre à distance le contrôle d'un téléphone. Elles revendent ensuite la méthode à des gouvernements qui s'en serviront pour faire du renseignement, cibler des opposants".
WhatsApp a par exemple porté plainte contre la société israélienne NGO qui avait exploité une faille pour espionner une centaine d'utilisateurs.
L'informaticien choisit du coup avec soin ceux à qui il facture ses prestations, avec sa société FSOCIETY: actuellement une banque britannique, après des entreprises notamment du secteur de la défense voulant améliorer leur sécurité.
"Ils ont des équipes performantes de recherche et développement mais ils veulent une perspective différente, celle de l'attaquant, un regard extérieur sur leur produit".
Il participe aussi à des opérations de "bug bounty", des "crash tests" lancés par de grands groupes qui font appel aux hackers et leurs proposent des primes juteuses pour détecter des failles.
Mi-novembre, il a été invité à Munich par Huawei, actuellement sous le feu d'accusations d'espionnage, pour la présentation du "bug bounty" du géant chinois des télécommunication, avec en jeu des primes de 200.000 euros.
Google "a réagi" en offrant des primes allant jusqu'à 1 million de dollars pour ses smartphones Pixel.
Parmi ses faits d'armes les plus notoires, il a aussi trouvé en Inde des failles dans le système AADHAAR de stockage de données biométriques, ou, en Chine, pris à distance le contrôle des smartphones OnePlus.
Vos commentaires