De la cybersécurité...

...de ce qu’elle fut, et de ce qu’elle devient.

J’ai un grand respect pour ceux qui vivent la cybersécurité dans leurs tripes.

Depuis les années 90, j’ai régulièrement croisé ces gens qui ont la sécurité informatique dans la peau, qui conceptualisent instinctivement les attaques et leurs principes, les systèmes de défense et leurs vulnérabilités, aussi complexes soient-ils. J’ai eu plaisir, ces 30 dernières années, à les voir évoluer dans un milieu qui a bien changé.

Tous se reconnaissent quand ils se croisent. Tous savent que le niveau technique n’est pas un enjeu en soi, mais savent l’évaluer en quelques minutes quand ils interagissent avec un « expert » ou une « célébrité » du domaine. Ils savent faire la part des choses entre compétence et témérité, entre puissance et vantardise. La réussite d’un CTF ne les impressionne pas. Ils ont d’autres objectifs, dans la vie, que de gagner 3 sous en participant à un bug bounty. Tous sont convaincus que l’outil le plus impressionnant et le produit le mieux conçu ne remplaceront jamais cette appétence dont ils disposent depuis toujours et qu’ils ne sont pas toujours capable d’expliquer.

La plupart d’entre eux (et elles) sont discrets, ont aujourd’hui des niveaux de responsabilité élevés, et vivraient comme une agression que les nomme. Certains sont devenus riches, d’autres ont témoigné devant les plus hautes instances et conseillent des gouvernements, ils ont parfois créé leur boîte, travaillent dans les plus grandes sociétés ou sont devenus journalistes. D’autres ont bifurqué, changé de vie, se sont investis dans des projets vitaux pour eux, mais sans lien avec le numérique. Mais même ceux-là n’ont rien perdu de leur acuité parce qu’ils n’ont pas choisi d’être compétents, et parce qu’ils gardent la mémoire de l’évolution de la cybersécurité depuis les origines. Ils sont les dépositaires d’une histoire. Il sont aussi les témoins directs d’actes extraordinaires, d’authentiques exploits dont ils ne pourront jamais rendre compte publiquement.

Nous n’évoluions pas toujours dans les mêmes cercles, n’avions pas forcément les mêmes centres d’intérêt ni les mêmes valeurs. Passionnés de virus, de reverse engineering, de pénétration de réseaux, d’attaques de serveurs, de social engineering, de lock picking, de MITM, de DoS ou de DDoS, notre complémentarité faisait la force des groupes dans lesquels nous nous retrouvions. La plupart du temps, nous ne faisions rien, il faut bien le dire. Sur IRC, nos idletime étaient souvent impressionnants. Nous nous retrouvions simplement en ligne, en attendant que l’un d’entre nous se lance dans une initiative qui nous parlait et à laquelle ceux que cela intéressait se joignaient volontiers. Certains logiciels, certains principes d’attaque ou de défense sont nés de ces interminables moments de glande entrecoupés d’actions plus ou moins collectives.

Le SSTIC à Rennes était, à un moment, l’événement français dans lequel la plupart d’entre nous (ceux qui vivaient en France, principalement) aimions nous retrouver (c’est peut-être toujours le cas, je ne sais pas, je n’y vais plus). De 2004 à 2008 la concentration de compétences y était véritablement impressionnante. L’hôtel Ibis proche de la gare, dans lequel nous nous donnions rendez-vous, nous maudissait régulièrement et menaçait de nous expulser lors de quasiment toutes les éditions. Les services de renseignement et de sécurité ne s’y trompaient pas qui venaient, à une période ou l’effort gouvernemental dans le domaine était encore timide (et rarement assumé), s’enquérir des dernières fourberies des énergumènes que nous étions. Les fameuses « rump sessions », des présentations courtes et parfois improvisées, étaient l’occasion de démonstrations folles, variées et souvent jubilatoires. Il n’était pas rare que les organisateurs nous sermonnent après coup, et c’était généralement mérité. Je n’ose même pas mentionner nos soirées dans les rues, bars et boîtes de Rennes.

Je croise certains de ces comparses francophones temps à autre, par hasard et toujours avec un grand plaisir. Ils sont toujours actifs, toujours pertinents et souvent impertinents. C’est l’occasion de parler librement de certains événements dont nous avons une connaissance précise, parce que nous en connaissons (ou en avons été) les acteurs, et souvent bien éloignés de ce qui en a été raconté. C’est aussi, parfois, l’occasion de mesurer ce qu’est devenu la cybersécurité, comment les intérêts économiques sont devenus prédominants, reléguant les 0days à des produits de luxe et glorifiant la puissance de feu au détriment du plaisir et de la solidarité de groupe. Je suis certains autres en ligne, avec une curiosité mêlée de fierté (c’est un post sur LinkedIn de l’un d’entre eux, ancien membre du même groupe que moi et aujourd’hui appelé à de hautes responsabilités dans son pays, qui est à l’origine de ce message).

Mais il m’est difficile de condamner définitivement cette évolution, parce qu’il ne s’agit justement que d’une évolution. Nous avons une part de responsabilité dans la façon dont les choses ont tourné. N’étant plus partie prenante du milieu, si je l’ai jamais été, il m’est facile de poser un regard critique sur l’état de l’art. Mais je mesure aussi, par le biais de messages lus sur LinkedIn et d’autres réseaux sociaux, comment certains d’entre nous ont eu une influence majeure sur cette évolution, et comment ils nagent avec aisance dans les eaux du moment. Nous avons fait des choix différents, parce que nous sommes différents, mais j’ai toujours de la tendresse pour ces « anciens » parce que je sais qu’au fond ce qui les anime est ce qui m’anime également, même si cela n’est pas mis au services des mêmes enjeux.

Une pensée pour Sid, que nous aimions tous et qui est parti beaucoup trop tôt. Discuter avec lui de tout cela autour d’une bière m’aurait fait tellement plaisir. Salut fraternel à tous les autres, ils se reconnaîtront.

Retrouvez-moi sur Mastodon →

[Image d’illustration réalisée par une IA quelconque dont j’ai oublié le nom, à partir d’un compte bidon dont j’ai oublié l’identifiant]