samedi 17 septembre 2011

Misha Glenny: « recrutez des hackers ! »

« Il y a deux types d'entreprises dans le monde : celles qui savent qu'elles ont été piratées et celles qui ne le savent pas. »

Selon Misha Glenny, des millions de dollars sont dépensés en éblouissantes solutions cybersécuritaires mais personne ne s'intéresse et ne veut encore moins discuter avec les hackers qui, malgré tout, demeurent des figures centrales de l'Internet.

Pas à pas, le journaliste spécialiste des questions de crime organisé explique pourquoi et comment le hacker est très souvent l'élément le plus vulnérable dans une entreprise cybercriminelle, et à quel point les aptitudes requises sont très peu tributaires de l'environnement : un adolescent ukrainien ou un étudiant nigérian peut devenir un baron du cybercrime pour peu qu'il en ait la volonté, l'opportunité et quelques avantageuses prédispositions.



Glenny conclut par un constat qui fut le temps fort de son allocution : bon nombre de hackers souffriraient du syndrome d'Asperger.

N.B.: Le syndrome d'Asperger est « un trouble du développement du spectre autistique qui affecte la vie sociale de la personne, ses perceptions sensorielles, mais aussi sa motricité. [...] Une fois ce syndrome reconnu par le milieu médical, la caractéristique la plus remarquée fut celle des passions hors-normes dans leur type et leur intensité, la personne atteinte pouvant devenir experte dans un domaine restreint. Mais le syndrome d'Asperger s'accompagne souvent d'autres traits tels que : hypersensibilité à certains bruits ou aliments, dysgraphie, élocution très particulière (ton de la voix, prosodie, tendance au langage très formalisé même chez les enfants), propension aux routines répétitives » (cf.Wikipedia).

Dès lors, doit-on nécessairement emprisonner des hackers pour leurs aptitudes hors-normes et (compte tenu de leurs inaptitudes sociales) pour leur très probable naïveté face au cybercrime organisé ? En outre, beaucoup d'entre eux souhaitent et implorent vivement qu'on leur laisse une chance d'intégrer l'industrie de la cybersécurité. Peine perdue.

Glenny ne mâche guère ses mots : des états comme la Russie et la Chine recrutent des jeunes talents du hacking et des repentis du cybercrime afin qu'ils deviennent des « cyber-agents » gouvernementaux.

Un reportage d'Al-Jazeera indique que la Corée du nord serait dans le droit fil des affirmations de Misha Glenny. Il en est de même en Chine où les relations entre hackers et autorités sont beaucoup moins déchiffrables et un peu plus compliquées qu'on ne se l'imagine (selon World Affairs Journal, Foreign Policy et l'Université de Southampton). Dans La cyberguerre venue du froid, j'avais longuement décrit les complicités et les transversalités entre universités, syndicats du cybercrime et services fédéraux de sécurité en Russie.



Nul doute que Pyongyang, Pékin et Moscou nieraient ce secret de polichinelle tant partagé par les passionés et experts en cybersécurité de par le monde. Toute la question est de savoir si leurs complicités étroites avec des hackers ou si leurs politiques quasi ouvertes de recrutement massif de hackers accroissent réellement leurs masses critiques intellectuelles en matières de sécurité informatique et de cyberguerre.

En Europe comme en Amérique, le cybercrime sous toutes ses formes est durement sanctionné par la loi mais la vision de maints gouvernements du hacking (qui relève soit d'une activité complètement illégale, soit d'une activité aux frontières de la légalité) a légèrement évolué sous la pression d'une cybercriminalité et d'un cyberespionnage incroyablement évolutifs et protéiformes.

Quelques années plus tôt, le Général William Lord de l'US Air Force reconnut « que la cyberguerre implique de recourir à un style différent de soldats. Mais comment attirer ces cerveaux qu'on préfèrerait ne pas soumettre au détecteur de mensonges et faire appel à leurs merveilleuses capacités créatives ? »

Professeur au UCL Institute for Security and Resilience Studies (ISRS), Sir Reid of Cardowan estime que « les entreprises et les agences gouvernementales doivent réaliser que les personnes disposant des bonnes compétences en sécurité de l'information sont souvent de libres penseurs et non des candidats habituels pour la fonction publique ou pour un emploi en entreprise.[…] Un hacker c'est quelqu'un qui casse le code et le secteur public a toujours recruté des personnes qui cassent le code. »

Pour un gouvernement obsédé par l'éventualité d'un sabotage critique ou d'un vol d'informations sensibles impliquant de brillants esprits malveillants, le recours dans l'ombre à des hackers – étroitement surveillés par leurs employeurs ou menacés par le glaive de la justice - est parfaitement compréhensible. Il en va tout autrement pour une entreprise qui serait placée dans la position d'un transporteur de fonds devant justifier à ses fournisseurs, à ses partenaires et à ses clients (établissements financiers, commerces, casinos, etc) la présence dans son personnel d'anciennes figures du braquage à main armée...

Cependant, tout état jurera par tous les octets n'avoir jamais eu recours aux services d'un hacker. Dans le cyberespace, la meilleure stratégie de communication d'un gouvernement consiste à s'afficher comme une parfaite victime d'intrusions et d'attaques perpétrées par des hackers sans scrupules à la solde d'officines cyniques et sournoises.


Aucun commentaire: