Enquête sur les mercenaires de la cyberguerre

[Africa Diligence] Ils sont une poignée dans le monde à vendre leur expertise en piratage informatique. Leur profession: marchands de cyberarmes. Leurs clients : les agences de Renseignement et les entreprises. Enquête sur les mercenaires de la cyberguerre.

Il s’agit de codes informatiques conçus pour exploiter des failles dans des logiciels. Une fois la brèche ouverte, l’agresseur peut entrer dans le réseau pour y commettre ses méfaits : voler des fichiers confidentiels, installer un « mouchard » qui lui permettra d’espionner sa victime, ou encore inoculer un virus dans le système pour l’endommager, voire le détruire.

Interrogé par le magazine Forbes, il y a un an, the Grugq s’est fait photographier devant son PC, dans un café, un sac de dollars à ses pieds. Il ne manquait qu’une ou deux bimbos pour compléter le tableau… Un excès de narcissisme qui a beaucoup détonné dans ce monde de l’ombre, où ces « cybermercenaires » apparaissent rarement au grand jour. On ne sait d’ailleurs pas grand-chose d’eux. Leur nombre ? Une poignée, sans doute. « Ce sont souvent d’anciens hackers, raconte un connaisseur. A force de grenouiller dans le milieu, ils se sont constitué un bon carnet d’adresses. En fait, ils se comportent comme des courtiers. »

Loin de la caricature du geek boutonneux

Cas typique, un client veut monter une opération d’intrusion. Il a besoin de compétences particulières – par exemple des spécialistes de l’attaque à distance. Il s’adresse alors à l’un de ces brokers. Celui-ci recrute les hackers idoines, qui peuvent être éparpillés sur la planète. Chacun dans son coin, ils écrivent un morceau du programme. Aucun d’eux n’a de vision d’ensemble du projet, pas plus qu’ils ne connaissent le destinataire final. L’intermédiaire n’en sait parfois pas beaucoup plus. Sa seule certitude, c’est sa marge – entre 10 et 15 %.

Les commanditaires ? Des agences de renseignement, la plupart du temps. La Chine, en particulier, serait très active sur ce marché. Mais elle n’est pas la seule. « Le marché compte une petite vingtaine d’acheteurs potentiels », estime Jonathan Brossard. Ingénieur des Mines exilé en Australie, ce créateur de start-up est aussi un hacker renommé. Mais il est loin de la caricature du geek boutonneux qui serait devenu un génie de l’intrusion en quelques clics. « Il faut arrêter avec les fantasmes, dit-il. Pour atteindre un haut niveau en hacking, il faut bosser seize heures par jour pendant dix ans. Ce n’est pas inné… »

S’il n’a jamais travaillé pour une « agence », Jonathan sait toutefois comment ce marché fonctionne. Peu de hackers seraient capables de concevoir de tels programmes et certains, comme lui, refusent ce genre de mission : « C’est très difficile de donner un chiffre, mais je dirais qu’ils sont une centaine, pas plus. »

Le système fonctionne aussi dans l’autre sens. Un « pirate » peut contacter un courtier parce qu’il a mis au point une nouvelle arme et qu’il cherche un acquéreur. Le broker se charge alors de lui trouver un client. Trouver un point faible dans un logiciel bureautique, par exemple, est une spécialité qui se vend très bien. Personne ne connaissant cette vulnérabilité – pas même l’éditeur -, elle peut permettre d’entrer dans un réseau en toute discrétion. « Ce genre d’application peut valoir plusieurs dizaines de milliers de dollars, parfois même quelques centaines, quand elle touche un logiciel connu », précise Jonathan Brossard.

Le business est suffisamment juteux pour que quelques sociétés aient décidé de s’y positionner. Combien sont-elles ? Quelques dizaines dans le monde ? En Russie, aux Etats-Unis ou dans l’Hexagone, elles ont toutes gravé les mêmes mots sur leur plaque officielle : « société de conseil en sécurité ». C’est en effet sous cet intitulé qu’elles apparaissent au public. Elles proposent, par exemple, aux grands groupes de tester la solidité de leurs défenses en essayant de s’introduire sur leur réseau informatique. Et comme elles y arrivent toujours, bien sûr, elles peuvent ensuite leur facturer de coûteuses missions de consulting.

Des pirates « rétribués au résultat »

Mais la véritable activité de ces compagnies est bien plus discrète : elles conçoivent des programmes d’attaque pour le compte de gouvernements. En France, on compte une petite dizaine de sociétés sur ce créneau, telle Vupen. On trouve aussi quelques microstructures, souvent fondées par d’anciens agents des « services ». « Et n’oublions pas les cabinets d’intelligence économique, qui, bien qu’ils s’en défendent, sont assez actifs. Ils ne sont pas spécialisés dans le piratage informatique, mais ils le sous-traitent à des hackers », révèle le patron d’une petite structure parisienne de dix personnes – tous des « chercheurs » en informatique. Difficile de savoir exactement ce que fait cette société, dont le dirigeant ne veut pas révéler le nom, et qui ne dispose pas de site Web. Mais on peut en avoir une idée… Les « services » (DGSE, DCRI et DGA) ne sont pas les seuls à solliciter ces barbouzes numériques. Les entreprises ne s’en privent pas. Un hacker, qui tient à garder l’anonymat, a « sévi » pour de grands groupes français au début des années 2000 : « Ils me demandaient surtout de mener des missions offensives, se souvient-il. Souvent, il s’agissait de récupérer des informations stratégiques, notamment lors de fusions-acquisitions ou d’appel d’offres. Il m’est arrivé, aussi, de voler des grilles tarifaires à des concurrents étrangers. Ça a duré pendant des années. Ces prestations étaient facturées comme des missions de sécurité classiques. Quand je vois les risques que j’ai pris, je réalise que je n’étais pas si bien payé que cela. D’autant que j’étais rétribué au résultat, ce qui veut dire qu’en cas d’échec je ne touchais rien. »

« J’ai formé des policiers au hacking »

Aujourd’hui, les pratiques ont changé. Des scandales ont entaché l’image de grands groupes, à l’instar d’EDF, condamné fin 2011 à verser 1,5 million d’euros à l’organisation Greenpeace pour « complicité de piratage informatique ». Les intrusions informatiques ont-elles disparu pour autant ? « Non, mais elles se font de façon plus discrète », croit savoir Anthony Zboralski, l’un des plus célèbres hackers français, connu notamment pour avoir, il y a une quinzaine d’années, ridiculisé le FBI en piratant son central téléphonique.

Est-il sollicité pour « cracker » des systèmes ? « Oui, dès que je participe à une conférence ! Il y a toujours un type louche pour venir me demander, à la fin, si je ne veux pas bosser pour lui ! En Indonésie, où j’avais monté une boîte il y a quelques années, j’avais trouvé la parade. Je refusais ces missions, mais j’organisais des formations pour les fonctionnaires des impôts et les policiers. Je leur ai appris à pirater eux-mêmes des réseaux Wi-Fi et à s’introduire dans des réseaux. » Curieux monde, où les hackers travaillent pour les services secrets et les policiers deviennent pirates…

(Avec Charles HAQUET)