Baptiste Robert, hacker international “bien intentionné”
Il a craqué une application du Vatican, la messagerie “sécurisée” du gouvernement français et pris à distance le contrôle des smartphones OnePlus, en Chine: le Français Baptiste Robert est un hacker renommé à l’international qui débusque des failles en revendiquant une “action politique d’intérêt général”.
“Un jeudi, le gouvernement (français) a annoncé le lancement de Tchap, une messagerie pour les hauts fonctionnaires, plus sécurisée que WhatsApp ou Telegram. Quand un hacker entend ça, ça sonne comme un défi”, confie l’informaticien à l’AFP.
“J’ai du mal avec les annonces très affirmatives, voire prétentieuses. Le vendredi, j’ai débuté à 09h00, et à 10h15 j’avais réussi, j’étais inscrit comme employé de l’Elysée (la présidence française ndlr) dans Tchap et je pouvais communiquer avec tous les inscrits sur la messagerie”, s’amuse-t-il, évoquant la “jouissance intellectuelle” procurée par l’exercice.
S’il assume le terme de hacker, il lui préfère celui de “chercheur en cybersécurité”.
“Je crois que mon action est utile, c’est une action politique pour la sécurité individuelle. Je constate une grande méconnaissance des enjeux de la cybersécurité de la part de nos décideurs”, s’inquiète Baptiste Robert.
Dans le monde des hackers, il y a des nuances. Le “black hat” (chapeau noir) est hors la loi, souvent maître-chanteur. Le “white hat” (blanc) est recruté par une entreprise, ou une institution, pour améliorer la sécurité de leurs produits. Le “grey hat” fait le travail de ce dernier sans y être invité.
– “Bonnes intentions” –
Baptiste Robert, lui, se définit “comme un “grey hat”. “On n’a pas forcément l’autorisation, mais on travaille avec de bonnes intentions”.
Sans révéler les détails au public, il avait annoncé sur son compte twitter avoir craqué Tchap en mai dernier, et a transmis aux autorités françaises ses trouvailles sur les faiblesses du dispositif.
Les services de renseignement français, et d’autres pays, l’ont contacté, lui proposant de l’embaucher. “Mais pas question, il faudrait pour cela que je déménage de Toulouse”, la ville du Sud-Ouest où il vit.
Sur son compte Twitter @fs0c131y, pas de photo. Il utilise le pseudonyme de Elliot Alderson, héros de la série américaine Mr Robot sur l’univers du hacking.
– “Bug Bounty” –
Dans l’écosystème des hackers, explique-t-il, il y a aussi “des sociétés mal intentionnées prêtes à payer un million de dollars au hacker qui trouvera une faille de très haut niveau, le moyen par exemple de prendre à distance le contrôle d’un téléphone”. “Elles revendent ensuite la méthode à des gouvernements qui s’en serviront pour faire du renseignement, cibler des opposants”.
WhatsApp a par exemple porté plainte contre la société israélienne NGO qui avait exploité une faille pour espionner une centaine d’utilisateurs.
De ce fait, l’informaticien choisit avec soin ceux à qui il facture ses prestations, avec sa société FSOCIETY: actuellement une banque britannique, après des entreprises notamment du secteur de la défense voulant améliorer leur sécurité.
“Ils ont des équipes performantes de recherche et développement mais ils veulent une perspective différente, celle de l’attaquant, un regard extérieur sur leur produit”.
Il participe aussi à des opérations de “bug bounty”, des “crash tests” lancés par de grands groupes qui font appel aux hackers et leur proposent des primes juteuses pour détecter des failles.
Mi-novembre, il a été invité à Munich par Huawei, actuellement sous le feu d’accusations d’espionnage, pour la présentation du “bug bounty” du géant chinois des télécommunications, avec en jeu des primes de 200.000 euros.
Google “a réagi” en offrant des primes allant jusqu’à 1 million de dollars pour ses smartphones Pixel.
Parmi ses faits d’armes les plus notoires, il a aussi trouvé en Inde des failles dans le système AADHAAR de stockage de données biométriques, ou, en Chine, pris à distance le contrôle des smartphones OnePlus.
Il a également défrayé la chronique en révélant une importante faille dans le chapelet connecté du Vatican, eRosary, qui donne accès à des suggestions de prières. L’application a été craquée en seulement 15 minutes.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici