A l’aéroport McCarran, après nous avoir demandé ce qu’on venait faire à Las Vegas, le douanier accueille la réponse d’un regard soudain soupçonneux et lâche, la mine sévère : «Il y a beaucoup de criminels qui vont là. Beaucoup de bad guys.» On a hésité à lui signaler qu’il y aurait «là» des chercheurs en sécurité informatique qui pointent dans des entreprises caracolant au Nasdaq, des universitaires, des élus, des fonctionnaires fédéraux…

«Là», c’est la Def Con : sans doute la plus grosse convention de hackeurs. Et la plus connue au monde. Chaque année, dans la suffocante chaleur estivale du Nevada, des foules de fondus d’ordinateurs et de réseaux, traqueurs de failles en tout genre, se pressent dans Sin City, la «ville du péché». Pour la 26e édition, de jeudi à dimanche, ils ont investi les centres des congrès du Caesars Palace et du Flamingo, deux des hôtels-casinos tapageurs et hyperclimatisés alignés le long du Las Vegas Boulevard.

Samedi midi, on a raconté l’anecdote de l’aéroport à Jeff Moss, alias «The Dark Tangent», le créateur de l’événement. Ce grand brun au visage juvénile, membre depuis 2009 du conseil consultatif pour le département de la Sécurité intérieure des Etats-Unis, connaît la chanson. «Un hackeur, c’est quelqu’un qui explore les limites de la technologie, souligne-t-il. Mais la presse a utilisé ce terme pour désigner les criminels informatiques : il y a eu une confusion entre les compétences techniques et l’intention, éthique ou malveillante. Or les gens ont peur de ce qu’ils ne connaissent pas.»

Pour Cris Thomas, dit «Space Rogue», l’un des fondateurs de L0pht Heavy Industries, fameux groupe de hackeurs des années 90, la persistante odeur de soufre de la Def Con tient aussi à sa réputation de zone à haut risque technologique, qu’il juge à bien des égards excessive : «Au début des années 2000, tout le monde essayait de pirater tout le monde. Aujourd’hui, si votre téléphone ne peut pas survivre au réseau wi-fi de la Def Con, alors il ne survivra pas à celui du café près de chez vous, qui est bien moins sûr.»

«Mur des moutons»

Pour autant, une solide hygiène numérique est un prérequis – taper un mot de passe sur un site web non sécurisé vous vaudra à tout coup d’être affiché sur le «mur des moutons» mis en place par l’équipe de la Def Con, qui surveille ce qui se passe sur le réseau – et nombre de participants préfèrent éviter les distributeurs de billets des casinos de peur de se faire pirater leur code de carte bleue.

En tout cas, pas de quoi décourager la présence de milliers de participants. Lors de la première édition, en 1993, ils étaient à peine plus d’une centaine à se retrouver, amis et contacts de Jeff Moss ; l’an passé, ils étaient 25 000, et le cru 2018 aura réuni autour de 28 000 personnes. Le public, mélange de professionnels et d’amateurs éclairés, s’est élargi : «A mesure que la technologie devient de plus en plus populaire, qu’elle devient un produit de consommation, la sécurité informatique devient elle aussi plus populaire», constate Melanie Ensign, l’une des porte-parole de l’événement. Dans un milieu traditionnellement hyper masculin, l’assistance s’est féminisée, de même que l’équipe d’organisation, dont le noyau dur est désormais composé pour moitié de femmes. Lesquelles ont poussé à la mise en place d’une hotline pour les victimes de harcèlement et de violences.

La convention est aussi devenue une grosse machine, où les conférences – plus de 110 dans le programme officiel, sans compter celles qui se tiennent dans les différents «villages» thématiques – sont prises d’assaut. Et où les couloirs résonnent des «Tenez votre droite !» lancés à plein poumons par les bénévoles chargés d’y réguler la circulation.

«Ce n’est plus la même Def Con», sourit Cris Thomas, venu pour la première fois lors de «la quatrième ou cinquième édition». Tout a changé, y compris les rapports avec les institutions – et Space Rogue est bien placé pour le savoir. Il y a tout juste vingt ans, les sept membres de L0pht témoignaient, sous pseudonyme, devant une commission du Sénat américain, alertant sur la criante absence de sécurité des ordinateurs et d’Internet, en un temps où les relations avec les autorités étaient pour le moins antagonistes. Depuis, ils ont créé ou rejoint des entreprises (Cris Thomas travaille aujourd’hui chez IBM), la cybersécurité est devenue une préoccupation majeure, et à la Def Con, cela fait des années que «Spot the Fed», le jeu qui consistait à repérer les membres des agences de police et de renseignement, est passé de mode – «Il y en a tellement…»

En 2012, la keynote de la convention avait été assurée par Keith Alexander, alors patron de la NSA ; un an plus tard, après les révélations d’Edward Snowden sur l’espionnage massif pratiqué par cette dernière, The Dark Tangent avait prié les «Feds» de se tenir à l’écart de l’édition 2013. Cet été, la conférence de Rob Joyce, ancien coordinateur cybersécurité de la Maison Blanche et haut responsable de la NSA, a fait salle comble.

Chasseurs de bugs

Au deuxième jour de la Def Con, vendredi, une représentante du département de la Sécurité intérieure, Jeanette Manfra, a encouragé les participants à contribuer à la sécurité de l’infrastructure électorale. Un sujet brûlant, alors que l’enquête sur l’ingérence russe dans la présidentielle de 2016 n’en finit pas de se déployer, et que les élections de mi-mandat se rapprochent… L’été dernier, dans un village dédié au hacking de machines à voter, des vulnérabilités ont été identifiées dans vingt-cinq d’entre elles, issues de cinq modèles différents. Dont quatre toujours en usage aux Etats-Unis… Cette année, six modèles sont soumis aux chasseurs de bugs. «Jusqu’à il y a quelques années, seule une poignée d’experts autorisés avait la possibilité de les examiner», relève Matt Blaze, professeur d’informatique à l’Université de Pennsylvanie et l’un des animateurs du «village». Depuis, une réglementation a autorisé la recherche «de bonne foi» de failles dans ces dispositifs. Alors que «10 à 15 Etats» américains utilisent toujours ce type de machine, Blaze en est convaincu : les participants au «village» rendent «un service important et essentiel à la démocratie».

Un étage au-dessus, dans le village consacré au «biohacking», ce sont des pompes à perfusion programmables et connectées en réseau ainsi que des masques respiratoires contre l’apnée du sommeil qui font l’objet d’explorations, sous la houlette de membres du groupe de chercheurs en sécurité informatique «I Am the Cavalry». «Il y a cinq ans, les hôpitaux, les fabricants et la FDA [Food and Drug Administration, l’agence de sécurité sanitaire américaine] ont vraiment pris conscience du problème, explique Beau Woods, l’un des fondateurs du collectif. Aujourd’hui, on a des appareils beaucoup plus sûrs. Le problème, ce sont ceux qui ont été fabriqués avant. La durée de vie d’un appareil médical est de quinze ans environ : nous allons évoluer dans un environnement incertain pendant encore une dizaine d’années.» La FDA suit l’initiative d’un œil attentif ; quant aux fabricants, «certains réagissent avec crainte, d’autres, au contraire, veulent participer». C’est par exemple le cas de Becton Dickinson (BD), une multinationale basée dans le New Jersey qui a amené sur place des pompes à perfusion.

Coup de frein

«Ces dix dernières années, il y a eu une plus grande reconnaissance du fait que les hackeurs peuvent aider», constate Jeff Moss. De plus en plus d’entreprises lancent des programmes de «bug bounty», qui rémunèrent financièrement la découverte de failles de sécurité, ou adoptent des politiques dites de «divulgation coordonnée des vulnérabilités», pour inciter les experts à les leur signaler sans crainte de poursuites judiciaires. «Les choses s’améliorent, abonde Cris Thomas. Mais c’est un long processus. Nous avons toujours des lois obsolètes, et il est très difficile de les changer.»

L’an dernier, le cas de Marcus Hutchins, alias «MalwareTech», a ravivé les inquiétudes. En mai 2017, ce jeune chercheur britannique en cybersécurité mettait un coup de frein à la propagation du «rançongiciel» WannaCry ; le 3 août, il était arrêté à l’aéroport de Las Vegas après avoir assisté à la Def Con, accusé d’avoir conçu et vendu trois ans plus tôt un logiciel de piratage bancaire. Lui nie toute activité criminelle. Les formulations de l’acte d’accusation inquiètent bon nombre de hackeurs «éthiques», qui craignent un nouveau tour de vis.

C’est aussi cette histoire-là que raconte la croissance continue du nombre de participants à la Def Con : celle d’un entre-deux, entre l’underground des origines et la reconnaissance inégale mais bien réelle. «La culture hackeur a influencé la technologie au point que tout le monde en bénéficie», lance Darren Kitchen, le fondateur de Hak5, une entreprise de Floride qui commercialise des outils permettant de réaliser des tests d’intrusion. Lui vient chaque année à la Def Con depuis onze ans. «Si nous avons aujourd’hui des messageries sécurisées comme Signal ou WhatsApp, c’est grâce aux hackeurs, aux cryptographes, poursuit-il. Il a fallu casser beaucoup de choses et faire beaucoup de bruit pour en arriver là.»

Cette année, à Las Vegas, on a pu voir débarquer à l’improviste Elon Musk, le patron de Tesla. Signe supplémentaire d’une institutionnalisation galopante ? Pour The Dark Tangent, «la Def Con est un reflet de la communauté». Sous toutes ses facettes, et dans tous ses paradoxes.