Parmi les plus grands rassemblements de hackers en France, avec plus de 3 000 personnes attendues, « Le Hack » met en avant, samedi 6 et dimanche 7 juillet à la Cité des sciences, à Paris, les pratiques de ces « bidouilleurs informatiques » qui ne se limitent pas au piratage malveillant.

La Croix : Pourquoi, selon vous, les hackers ont-ils plutôt mauvaise réputation en France ?

Guillaume Vassault : Disons qu’une partie de la presse s’empare du sujet sans le connaître. Pour beaucoup de monde la figure du hacker est associée à celle du pirate informatique. Les gens ne s’intéressent pas à la différence entre un pirate, quelqu’un de malveillant, et un hacker éthique.

Qu’est-ce qu’un hacker éthique ?

G. V. : C’est un hacker qui met son savoir technique au service du bien commun. Il utilise son expertise afin d’améliorer l’écosystème en alertant des organisations si leur système de sécurité informatique est défaillant ou en sécurisant directement le système pour cette organisation.

Il faut comprendre qu’on ne peut construire un monde tout numérique sans cybersécurité. C’est un enjeu de société : je pense que tout le monde est bien content qu’on participe à la sécurisation de leurs données bancaires ou de santé. J’imagine que vous ne voulez pas non plus que n’importe qui attrape vos données personnelles sur le site des impôts.

Au départ, et encore maintenant, nous faisions ça pour nous amuser et nous entraîner. Depuis le début des années 2000, plusieurs hackers ont pris l’initiative de pirater des sites Internet afin de découvrir les failles de sécurité et de prévenir les sites en question. Mais certaines entreprises ont porté plainte contre ces hackers… C’est pourquoi nous avons créé ZéroDisclo, une plate-forme qui permet aux hackers de faire remonter les vulnérabilités de manière anonyme et protégée.

Certains vont-ils jusqu’à travailler directement pour des entreprises ou des administrations ?

G. V. : Bien sûr, et c’est même l’idée de départ de Yes We Hack : mettre en lien des hackers éthiques avec des organisations qui ont des besoins en sécurité informatique. Depuis une dizaine d’années, il y a une demande plus forte d’expertise pour des cabinets d’audit, des entreprises, des administrations… C’est là que nous intervenons.

Nous avons créé le premier site de recrutement en cybersécurité pour la communauté hacker. En soi, c’est une offre d’emploi classique : nous avons à peu près 4 500 candidats pour 400 sociétés clientes. On parle de consultants en cybersécurité, le terme hacker étant réservé à la communauté. On travaille essentiellement avec des entreprises du CAC40, des boîtes comme Blablacar ou Deezer. Ce sont des postes très prisés.

Pouvez-vous expliquer ce qu’est un « bug bounty » (prime à la faille) ?

G. V. : C’est aujourd’hui notre activité principale. Un « bug bounty » est un programme qui permet de détecter des vulnérabilités dans un système informatique. Une organisation sollicite la communauté éthique et propose une prime, qui peut aller jusqu’à 40 000 € chez nous, à ceux qui trouveront les failles en premier. En clair, c’est un jeu.

La Suisse en a organisé un en mars 2019, afin de détecter de possibles failles dans le vote électronique. Cette utilisation des hackers éthiques est en train de rentrer dans les mœurs.