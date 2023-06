Ce jeudi et vendredi, plus de 5.000 participants sont attendus à l'ICT Spring, la conférence technologique luxembourgeoise. De nombreux invités sont attendus, dont Bryan Seely, un hacker rendu célèbre pour être devenu la seule personne à avoir mis sur écoute les services secrets américains

La grand-messe de la tech luxembourgeoise débute ce jeudi à LuxExpo The Box. Organisée depuis 2010, l'ICT Spring attire chaque année des milliers de visiteurs dans le cadre d'un gigantesque salon réunissant les grandes entreprises technologiques mais aussi bon nombre de conférences tenues par des invités tous plus prestigieux les uns que les autres. On se souviendra que l'événement a accueilli, par le passé, l'ancien basketteur de légende Tony Parker, le fondateur de Wikipédia Jimmy Wales, l'ancienne directrice marketing de Facebook Randi Zuckerberg et accessoirement soeur aînée du fondateur du réseau social, les frères Bogdanov ou encore Trip Hawkins, le cofondateur du d'Electronic Arts, célébrissime studio de jeux vidéos.

L'ICT Spring 2023 se tiendra à à LuxExpo The Box. © PHOTO: ICT Spring

Cette année, l'ICT Spring s'intitule «Time for Change» et met l'accent sur la croissance constante du monde numérique et sur la manière dont il redessine les entreprises, la culture du travail et la vie dans les années à venir. Et parmi les speakers attendus pour cette cuvée 2023, on retrouve notamment Bryan Seely. Ce nom ne vous dit peut-être rien, mais les exploits de ce hacker dit «éthique» ont fait le tour du monde. Il est en effet devenu l'un des hackers les plus célèbres au monde lorsqu'en 2014, il est devenu la seule personne à avoir mis sur écoute les services secrets des États-Unis ainsi que le FBI.

Mais au lieu d'être envoyé dans une prison de haute sécurité, les services secrets l'ont qualifié de héros et ont fait l'éloge de son courage et de son intégrité. Il partagera ainsi son expérience et son savoir au Luxembourg, lors de l'ICT Spring. En marge de l'événement, cet ancien marine revient, pour nous, sur sa carrière de hacker.

Bryan Seely, quel est votre définition du «hacking (ou piratage) éthique»? Le piratage éthique est une distinction très simple. Le piratage non éthique consiste à accéder à des ordinateurs, des appareils ou des choses auxquels vous n'avez pas la permission d'accéder. Le piratage éthique se fait avec un consentement légal, généralement écrit, et précise l'objectif, la cible, afin d'obtenir une autorisation claire.

Comment êtes-vous tombé dans ce milieu? J'ai commencé un peu tard dans le monde de la sécurité informatique. Mais tout a commencé avec Google Maps, lorsque j'essayais de découvrir la meilleure façon de résoudre un problème. Les canaux habituels et les rapports ne semblaient pas fonctionner. Ce qui m'a ensuite rendu célèbre, c'est lorsque j'ai mis sur écoute les services secrets et le FBI sans autorisation, en utilisant une plateforme téléphonique et Google Maps. C'est ainsi que j'ai atterri dans la sécurité informatique. J'avais été ingénieur système et j'avais travaillé sur des plates-formes VOIP (le protocole de la transmission de la voix par Internet, NDLR) et d'autres choses de ce genre, mais je n'étais pas un spécialiste de la sécurité ou du piratage. C'était juste un hobby.

Comment êtes-vous parvenu à infiltrer les services secrets américains? Ce n'est pas exactement le bon terme. Ils seraient beaucoup moins contents de moi si c'était le cas! En résumé, j'ai réussi à modifier le profil de l'entreprise des services secrets et sa fiche sur Google Maps, comme vous le verriez sur les pages blanches ou un simple annuaire téléphonique. Au lieu que les appels leur parviennent directement, ils passaient par un intermédiaire que j'ai pu utiliser pour enregistrer les appels téléphoniques. Il s'agissait donc d'une direction très spécifique, de tous les appels entrants effectués à partir d'un numéro de téléphone spécifique qui figurait sur Google Maps pendant une très courte période.

Le but était d'attirer l'attention sur un problème qui n'était pas résolu, à mon avis, et cela a eu l'impact que j'espérais.

Ce n'est pas comme si j'avais piraté l'ensemble des services secrets ou quoi que ce soit de ce genre. Le but était d'attirer l'attention sur un problème qui n'était pas résolu, à mon avis, et cela a eu l'impact que j'espérais. Les services secrets ont un peu engueulé Google, et les choses se sont mises en place. Des changements ont été apportés, les choses ont été mises à jour, et cela a rendu les choses plus sûres. Ce n'est évidemment pas parfait, mais cela a permis d'accélérer la mise en œuvre de certains correctifs qui, selon moi, s'imposaient. Avez-vous déjà eu peur d'éventuelles répercussions négatives liées à votre activité?

Oui, bien sûr. J'ai vraiment eu peur à ce moment-là, parce que je suis entré dans le bureau des services secrets sans savoir si j'allais en ressortir libre ou non.

Oui, j'ai reçu des menaces de mort de la part de personnes sur des forums Internet et aussi par SMS.

Et vis-à-vis d'une éventuelle vengeance de la part de pirates informatiques beaucoup plus malveillants? J'ai reçu des menaces de mort de la part de personnes sur des forums Internet et aussi par SMS. Au cours des trois dernières années, on m'a envoyé des stupéfiants illégaux à mon domicile et des agents fédéraux se sont présentés à ma porte pour me dire que quelqu'un m'avait envoyé une grande quantité de drogue par la poste. Je ne pense pas que la cyberpolice considère que j'empiète sur son territoire. Je pense qu'il n'y a tout simplement pas assez de forces de l'ordre chargées spécifiquement de la cybercriminalité.

Face à une société qui se digitalise à une vitesse record, sommes-nous suffisamment protégés? Non, nous ne sommes pas suffisamment protégés. C'est l'un des sujets que j'aborderai lors de cette conférence à Luxembourg. Les raisons pour lesquelles les cadres supérieurs sont particulièrement vulnérables, pourquoi ils sont des cibles et ce qu'ils doivent faire pour y remédier. Les règles de sécurité ne s'appliquent pas seulement aux personnes les plus puissantes d'une entreprise. Les PDG ne sont pas les seuls concernés. Et les différentes stratégies de sécurité visent n'importe quel individu.

D'aucuns pensent que les pirates informatiques sont généralement beaucoup plus malveillants que bienveillants... Il y a beaucoup de très bons hackers qui sont des gens bien. On n'en entend pas parler, tout comme on n'entend pas parler de tous les incendies que les pompiers ont éteints. On n'entend parler que de ceux qui n'ont pas été éteints avec succès. Combien de vols d'avion se déroulent chaque jour sans problème? Non, nous n'entendons parler que des accidents.

En tant qu'utilisateur ordinaire, vous devriez utiliser un gestionnaire de mots de passe.

Comment un utilisateur lambda peut-il se protéger efficacement contre les intrusions et les attaques informatiques? En tant qu'utilisateur ordinaire, vous devriez utiliser un gestionnaire de mots de passe. Il est trop difficile de se souvenir de l'ensemble de ses mots de passe. Les gens ont tendance à devenir paresseux et à créer des mots de passe beaucoup trop semblables les uns des autres. C'est très, très dangereux. C'est essentiellement la prémisse du film «Imitation Game» qui parle du décryptage du code Enigma et de la découverte d'un mot au sein d'un message crypté dont ils connaissent le sens et qui leur permet de décrypter tout le reste du message. Ainsi, si je connais votre mot de passe, même s'il comporte 20 caractères et qu'il est normalement inviolable, si je connais cinq de ces caractères, cela change radicalement la donne. Si j'en connais sept, c'est plié.

Mettez aussi à jour vos systèmes et vos logiciels. Chaque fois qu'une mise à jour vous est demandée, si vous devez la retarder, notez-la sur une note autocollante et dites-vous de la lancer impérativement plus tard. Assurez-vous d'avoir un jour de la semaine où vous passez une heure à mettre à jour tout votre matériel, redémarrez la machine, de cette façon, vous ne retardez pas les redémarrages parce que vous n'avez pas sauvegardé le travail. Mettez à jour votre téléphone, votre tablette, la tablette de vos enfants, le routeur internet de la maison, le logiciel qui vient avec. A quoi s'attendre lors de votre conférence à l'ICT Spring 2023 au Luxembourg?

Eh bien, vous pouvez vous attendre à ce que je sois jetlaggé! Non, je plaisante. En fait, je voyage tellement que je m'y suis habitué. Je parlerai de la façon dont les cadres supérieurs sont généralement attaqués. Le PDG, le directeur financier, le directeur de l'information, le directeur de l'exploitation,... Ces personnes sont maintenant responsables de ce qu'elles publient sur Internet et si vous n'avez pas fait d'audit de ces personnes, c'est que vous avez négligé vos devoirs parce qu'elles devraient faire partie d'un audit de sécurité pour savoir, par exemple, si leurs mots de passe ont été compromis lors de brèches récentes, s'ils publient sur les réseaux sociaux des photos de leurs enfants, des endroits où ils vont, des vacances qu'ils prennent ou encore de l'endroit où ils vivent.

Certes, la situation est bien différente aux États-Unis et en Europe. Je sais que le Règlement général sur la protection des données (RGPD) et les lois sur la protection de la vie privée en Europe sont différents, mais si vous ne vous êtes pas renseigné sur la question, comment allez-vous faire une demande de RGPD et des demandes de retrait de vos informations? Par ailleurs, si vous êtes un conglomérat et que vous avez un siège au Luxembourg ou en France ou en Allemagne et que vous avez une autre société, une filiale aux États-Unis, cela peut être également un gros point vulnérable. Les cadres sont donc très bien payés, ils ont beaucoup de responsabilités, et une partie de ces responsabilités consiste à s'assurer que les informations en ligne les concernant ne sont pas divulguées.

C'est la première fois que je viens au Luxembourg, je suis donc très enthousiaste à l'idée de venir vous rendre visite.

Vous pouvez vous attendre à un humour très grinçant, à des histoires intéressantes que vous n'entendrez nulle part ailleurs et qui proviennent de mon expérience en tant que pirate informatique et conférencier dans l'espace mondial. C'est la première fois que je viens au Luxembourg, je suis donc très enthousiaste à l'idée de venir vous rendre visite. C'est un honneur d'être invité à prendre la parole parmi tant de personnes de renom et vraiment intéressantes.