Franck Ebel
Coeur de hacker
C’est une école pas tout à fait comme les autres. Dans le sud des Hauts-de- France, à Maubeuge, la licence professionnelle “Cyber défense, anti-intrusion des systèmes d’information” (proposée par l’IUT de Valenciennes) forme depuis 2008… des hackers. Comprenez, des as du numérique chargés de nous protéger contre les pirates et leurs virus. Franck Ebel, le créateur de ce cursus unique en Europe, par ailleurs commandant de gendarmerie réserviste et spécialiste de la lutte anti-cybercriminalité, nous décrit une réalité qui n’a rien de virtuelle, et n’aurait pas dépareillé dans un épisode de Black Mirror.
Quand et comment cette licence est-elle née ? Je travaille dans la sécurité informatique depuis 2002. à l’époque on parlait très peu de cybersécurité. Puis on s’est rendu compte, au fil du temps, de l’importance du piratage. J’ai donc créé cette licence en septembre 2008 à Maubeuge.
Les cyberattaques sont-elles devenues un fléau ? Oui, et concernent tout le monde. Les professionnels, les services publics comme les particuliers sont visés chaque jour et chaque nuit.
Quels types d’agressions visent les particuliers ? Si vous êtes faillible, les pirates peuvent utiliser votre adresse IP grâce à des outils automatiques, de façon aléatoire. Ils prennent alors possession de vos machines pour, par exemple, attaquer une banque sans être repérés. Charge ensuite à vous de prouver votre innocence. Ils sont aussi capables de contrôler votre webcam via un trojan (ndlr : un cheval de Troie), regardant ce qui se passe chez vous à votre insu. J’ai déjà rencontré ce cas de figure : des gens ont été filmés au cours d’un acte, disons, très privé. Les vidéos servaient ensuite un chantage…
Qu’en est-il du “ransomware”, le logiciel de rançon ? Il concerne plutôt les entreprises. C’est simple : le pirate envoie un mail quelconque avec une pièce attachée. En cliquant sur le lien, la victime installe sans le savoir le “ransomware”, qui chiffre la machine. Toutes les données deviennent dès lors inaccessibles. Pour débloquer la situation, il faut une clé de déchiffrement, que le pirate cèdera moyennant une somme d’argent. C’est une sorte de kidnapping.
Avez-vous des exemples de cyberattaques spectaculaires ? Toutes ne sont pas nécessairement très poussées. Une partie de notre enseignement concerne ainsi le “social engineering”, un type d’escroquerie psychologique s’appuyant sur les failles humaines. Par exemple, il y a une arnaque très courante, dite du “président “. Nausicaá, à Boulogne-sur-Mer, a en été la proie en 2014. Le pirate a observé comment fonctionnait l’entreprise, infiltrant le réseau interne. Il a découvert qui était le comptable et l’agenda du président. Il a profité d’une de ses absences pour se faire passer pour lui par mail et par téléphone, expliquant qu’il voulait acheter une baleine et avait immédiatement besoin d’argent. Le service comptabilité s’est exécuté et a effectué un virement de près de 600 000 euros, avant de se rendre compte de la supercherie.
La cyberdéfense revêt-elle un enjeu de société important ? De plus en plus. Aujourd’hui, on sait pertinemment que les pays s’agressent entre eux, en déposant chez l’autre ce qu’on appelle des “APT”, pour Advanced Persistent Threat (ndlr : menace persistante avancée). Ce sont des logiciels dormants. Ils infiltrent les sociétés d’importance vitale, comme celles gérant la distribution d’eau, d’électricité ou de télécommunication. Ils seront déclenchés en cas de cyber-guerre, provoquant l’effondrement de tout le réseau et une capitulation rapide.
Concrètement, en quoi consiste votre licence ? Avant tout, nous formons des hackers, et non pas des pirates. En France, on a l’habitude de confondre ces termes.
Quelle différence ? Le hacker fait exactement la même chose que le pirate, jusqu’à la découverte de la faille pour entrer dans le système. Mais lorsqu’il l’a trouvée, il la dénonce et prévient les utilisateurs, il ne l’utilise pas pour récupérer de l’argent. A un moment on parlait même de “white” et de “black” hacker.
Quelles techniques enseignez-vous ? Toutes celles utilisées par les pirates pour pénétrer les systèmes, afin de mieux les contrer. On leur apprend aussi à détecter ces attaques, à rédiger des rapports aux entreprises pour les protéger. C’est une école de hackers éthiques, unique en France et en Europe, car elle s’intéresse à l’aspect préventif.
Par exemple, à travers quels exercices ? Je récupère des logiciels faillibles et les étudiants tentent d’y entrer. Généralement, la brèche provient d’une ligne de programmation mal écrite. Ils apprennent alors à la modifier. C’est la même chose pour les sites web. On leur fournit des sites factices, et ils les testent.
Justement, nos sites web sont-ils bien protégés ? C’est rarement le cas, les formations de développeurs s’intéressant rarement à ces notions de sécurité. Et puis, comme souvent dans les entreprises, on commande des projets avec un très court délai. De ce fait, ils travaillent très rapidement, avec un résultat inachevé. Par exemple, on remarque de nombreuses failles au sein des versions de Microsoft Windows, dès leur sortie…
Même les “gros” logiciels sont imparfaits ? Oui, et les erreurs sont d’autant plus difficiles à corriger par la suite. Une faille sur Internet Explorer a été corrigée en 10 ans ! Voilà pourquoi il faut s’intéresser au problème en amont.
Ne craignez-vous pas de former de “méchants” hackers ? Nous sommes étroitement liés aux services d’Etat, et les étudiants sont fichés. S’il y avait un souci, on le saurait avant d’inscrire les candidats. Ensuite, on leur dispense des cours de droit avec des avocats spécialisés, et sommes très attentifs aux questions éthiques. à notre connaissance, il n’y a pas eu de problème, mais il est toujours possible que certains sortent du droit chemin…
Ces étudiants sont-ils aussi protégés ? Oui, car ils sont les cibles des pirates. La licence ayant acquise ses lettres de noblesse au fil du temps, elle est très connue des professionnels, mais aussi des individus malveillants. Le cybermonde est très fermé. Si un étudiant crée un site web quelconque, il sait très bien qu’il sera “testé”. L’école a-t-elle pour ambition de se développer ? Non, car le contenu deviendrait trop universitaire. Les intervenants sont là par amitié, mais difficiles à trouver. C’est pourquoi cette école n’a pas encore été copiée.
Comment fait-on pour entrer dans cette école ? Avec un bac+2 en informatique, un BTS ou un DUT. Nous avons reçu cette année près de 900 candidatures, issues de toute la France, pour 26 places en formation initiale, où les étudiants ont cours de septembre à avril. Nous accueillons également un second groupe de 26 personnes, cette fois en formation continue. Ce sont des alternants travaillant 15 jours ici en 15 autres en entreprise. 52 étudiants, au maximum, sont donc reçus chaque année. Auparavant, nous accueillions aussi des étrangers, mais avons limité ces demandes au regard du nombre des françaises. Et puis, nous délivrons un savoir très précis, il s’agit de ne pas trop l’exporter…
Y a-t-il un concours d’entrée ? Non, c’est une pré-sélection sur lettre de motivation et sur dossier. Nous envoyons ensuite cette liste aux autorités, qui font leur tri, et puis nous choisissons. Nous observons principalement le niveau d’anglais, de math, de sciences et bien sûr d’informatique. Nous sommes également attentifs aux appréciations des enseignants, concernant les absences, le comportement, les retards. Il y a quelques années, nous recevions tous les étudiants un par un, mais c’est devenu impossible !
Comment se déroule le cursus ? Il dure une année, les étudiants suivant 450 heures de formation et 100 autres sont consacrées à des projets de groupe. Par exemple, on les confronte à la technologie “sans contact” (badge, paiement), le contrôle à distance des drones, des caméras… Les enseignants sont tous des professionnels, spécialisés dans un domaine particulier : le web, le hardware… Ce sont des acteurs “de terrain”, ce qui est primordial car le cybermonde est très évolutif. De nouvelles failles apparaissent chaque jour, il faut donc être réactif.
Quels sont les débouchés de cette formation ? Les étudiants peuvent enchaîner avec un master en cyber-défense, plus théorique, ou travailler dès l’obtention de leur diplôme. Dans ce cas, ils trouvent rapidement un emploi. Principalement dans le “pentest”, pour “test de pénétration”, soit de l’audit de sécurité pour les entreprises, qui ne sont jamais sécurisées à 100 %, parce qu’un employé aura utilisé sa propre clé USB ou téléchargé quelque chose qu’il ne fallait pas sur le net… Il y a beaucoup de sociétés de “pentest”, à Lille mais surtout à Paris. Il manque des milliers de professionnels dans ce secteur en France…
A visiter / formations.uphf.fr