31 octobre 2019 ... min. Écouter

Pirater pour la bonne cause ? Ça existe!

Glenn ten Cate est Security Chapter Lead chez ING Belgique. Ou aussi : pirate éthique. Il dirige une équipe de quinze Security Engineers.

Vous travaillez comme pirate éthique. Que faites-vous exactement ?

Glenn : Un pirate éthique, ou white hat hacker, est engagé par des entreprises pour détecter les faiblesses et les défaillances en matière de sécurité dans les systèmes informatiques et sur les réseaux. En fin de compte, le pirate éthique se glisse dans la peau d'un black hat hacker, un pirate empreint de mauvaises intentions. Il travaille de la même manière : il cherche des façons de s'introduire dans un système. Seul l'objectif est différent : les pirates malveillants veulent causer le plus de dégâts possible, alors que les pirates éthiques repèrent les fuites pour ensuite les colmater.

Nous détectons un risque lors d'un tel test d'intrusion dans un des nombreux systèmes ING ? Dans ce cas, nous fournissons cette information à l'équipe responsable de l'application. Cette équipe peut ainsi prendre les mesures nécessaires.

Chez ING Belgique, nous réalisons des tests d'intrusion sur nos systèmes, avec 15 Security Engineers à plein temps. Et c'est nécessaire, car un hacker ordinaire met parfois des années à pirater un système. Nous n'avons pas tout ce temps, nous devons par conséquent être les plus efficaces possibles. Parfois en équipe, parfois seul.

À quoi ressemble le bureau d'un pirate éthique ?

Glenn : Vous avez sans doute le cliché du hacker en tête. L'idée que nous nous cachons derrière un mur d'écrans dans une pièce sombre. Ce n'est pas comme ça dans la réalité. Nous nous trouvons chez ING, avec nos ordinateurs portables, entre les développeurs Web et les informaticiens. Si vous passez près de mon bureau, vous n'imaginerez jamais qu'il s'agit du lieu de travail d'un hacker.

Nos journées de travail ressemblent aussi à celles des autres employés : nous avons des horaires flexibles et pouvons travailler à domicile un jour par semaine. Nous venons cependant volontiers au bureau, car c'est la seule manière pour pouvoir vraiment fonctionner efficacement comme une équipe.

Pirate et travail d'équipe, cela va-t-il ensemble ?

Glenn : Nous ne sommes pas des solitaires, nous avons l'esprit d'équipe. Nous avons tous le même objectif : protéger le monde numérique. Et nous nous entraidons pour élargir nos connaissances. Mon équipe et moi-même restons une fois par mois un peu plus tard au bureau. Ensuite, nous commandons une pizza et un collègue donne une présentation sur un sujet qui se rapporte au piratage.

Nous ne sommes pas des solitaires, nous avons l'esprit d'équipe. Nous avons tous le même objectif : protéger le monde numérique

Auparavant, il n'existait pas encore de vraies communautés dans le domaine du piratage éthique, mais elles se sont créées au cours des dernières années. Prenez l'OWASP : cette plateforme permet à des professionnels du secteur de partager des techniques et des informations sur la sécurité informatique.

Tous les pirates éthiques ont-ils un casier judiciaire ?

Le piratage a toujours été illégal. Certains pirates éthiques peuvent par conséquent avoir un casier judiciaire, s'ils ont déjà piraté un système sans autorisation. Cependant, ce n'est pas le cas pour un grand nombre d'entre eux. Lorsque vous travaillez comme security engineer pour une société, vous acceptez quelques rules of engagement. Celles-ci indiquent clairement que l'entreprise vous charge de pirater un système. Vous déclarez aussi que vous n'avez pas de mauvaises intentions et que vous partagerez vos conclusions avec le client. De cette manière, vous pouvez pirater légalement.

Les pirates éthiques ne sont par conséquent pas des criminels. Nous utilisons nos connaissances pour sécuriser les entreprises et les systèmes. Pour aider les gens. Même plus : si le piratage éthique n'existait pas, les pirates malveillants auraient le champ le libre. Le monde serait par conséquent confronté à de grandes difficultés. C'est également valable pour les banques. Si vous entassez de l'or dans un coffre-fort, il bénéficiera d'une surveillance étroite. Pourquoi ne feriez-vous pas de même avec vos plateformes numériques ?

Pour quel projet ING avez-vous joué un rôle crucial en tant que pirate éthique ?

Glenn : (rire) Je ne peux malheureusement rien communiquer à ce sujet. C'est confidentiel, vous comprenez ? Ce que je peux dire, c'est que j'ai déjà aidé quelques grandes entreprises dans le passé. J'ai par exemple découvert qu'un grand nombre de systèmes d'exploitation Android sur appareils mobiles pouvaient être piratés. Le problème était que des informations sensibles fuyaient qui pouvaient être lues facilement par chaque application sur l'appareil. Il était ainsi possible de suivre toutes les faits et gestes de quelqu'un à l'écran et finalement de retrouver les mots de passe de cette personne.

Comment êtes-vous finalement devenu pirate éthique ?

Glenn : On apprend d'abord à programmer, en suivant une formation de software developer, par exemple. Ce n'est que quand vous maîtrisez le sujet que vous comprenez comment les systèmes informatiques fonctionnent. Et c'est essentiel pour devenir un bon security engineer, car de petits détails et nuances font souvent la différence dans les tests d'intrusion. Pour ensuite apprendre à pirater, vous devez vous exercer, exercer, exercer. Heureusement, c'est également possible aujourd'hui de manière légale. (rire)

À propos de Glenn

D'origine néerlandaise, Glenn habite depuis quelques années déjà avec sa femme kényane et leur fille en Belgique. Il respire code informatique. Où tout a commencé ? « Par un jeu vidéo. » Lorsqu'il a découvert que quelques adversaires avaient piraté le jeu, il a voulu pouvoir faire de même. Il avait alors treize ans. Glenn est responsable du projet phare de l'OWASP Security Knowledge Framework, donne des cours de sécurité aux entreprises avec sa société def[dev]eu, et bricole entre-temps de petits projets hardware. Pourquoi toute sa vie est-elle sous le signe du piratage ? « Parce que j'aimerais rendre le monde numérique un peu plus sûr. Ce qui a un jour commencé comme un hobby et une passion est à présent mon travail. »

Haut de page