En 2018, Inti De Ceukelaire a décroché le titre de champion du monde de hacking à Las Vegas. Quelques années plus tard, l’Alostois, âgé d’à peine 26 ans, est à la tête de la plateforme de hacking Intigriti et aide les grandes entreprises et les autorités à détecter les fuites de sécurité dans leurs infrastructures digitales. L’interlocuteur idéal pour un entretien passionnant sur le hacking (éthique), la cybersécurité et les limites des audits IT.
En 2018, Inti De Ceukelaire a décroché le titre de champion du monde de hacking à Las Vegas. Quelques années plus tard, l’Alostois, âgé d’à peine 26 ans, est à la tête de la plateforme de hacking Intigriti et aide les grandes entreprises et les autorités à détecter les fuites de sécurité dans leurs infrastructures digitales. L’interlocuteur idéal pour un entretien passionnant sur le hacking (éthique), la cybersécurité et les limites des audits IT.
Inti De Ceukelaire :
On me pose souvent la question mais en réalité, elle est mal posée. Tous les hackers sont par définition éthiques. C’est comme un pharmacien. On ne demande jamais à un pharmacien s’il exerce son métier de façon éthique et s’il ne vend pas des produits interdits. En accord avec le gestionnaire d’un système IT, un hacker cherche les failles de sécurité. Et s’il en trouve, il les partage en toute transparence avec la société. Cela permet alors au gestionnaire d’améliorer son niveau de sécurité. En résumé, un hacker n’a pas de mauvaises intentions.
Inti De Ceukelaire :
J’ai toujours été passionné par les ordinateurs, internet et la sécurité digitale. Le problème est qu’avant, il n’existait pas de manière légale de tester ses compétences. La seule option consistait à surfer sur le net, à essayer des choses et à voir ce qui marchait ou pas. Le hacking éthique n’était donc pas vraiment possible parce qu’on agissait automatiquement en situation illégale. Depuis quelques années, la loi a été adaptée et nous pouvons donc travailler en toute légalité moyennant le respect de certaines conditions.
Inti De Ceukelaire :
Il est bien évidemment interdit d’accéder à un système informatique sans autorisation. Mais si le gestionnaire du système IT donne explicitement son autorisation, rien ne s’y oppose. Cette autorisation explicite représente donc le critère fondamental. Maintenant, le cadre légal reste il faut bien le dire assez sommaire…
Inti De Ceukelaire :
Oui. Sun Tzu a dit un jour : « Pour connaître votre ennemi, vous devez devenir votre ennemi. » Si vous voulez savoir qui sont les hackers et comment ils pensent, vous devez en devenir un vous-même. C’est la seule manière de savoir comment ils procèdent.
Inti De Ceukelaire :
Les entreprises donnent pour mission à Intigriti de tester leur système 24/24, 7j/7 pendant une année. Nous demandons alors à notre communauté de travailler sur les systèmes IT de ces entreprises, par phases, car nous n’envoyons pas toute notre communauté de 35.000 hackers en même temps sur le réseau de nos clients. Cela se fait systématiquement. Pour certains clients, nous augmentons ensuite progressivement le nombre de hackers. Les problèmes directement visibles, ce que nous appelons les proies faciles, apparaissent bien sûr en premier. Mais nous continuons toujours à chercher les problèmes de sécurité possibles, dans un environnement toujours plus complexe. Nous découvrons énormément de choses. Et c’est logique dans la mesure où Intigriti travaille avec ce qui se fait de mieux au niveau mondial. D’un autre côté, nous ne trouvons parfois certains bugs qu’après plusieurs années, par exemple s’ils sont très spécifiques. Cela est et reste une matière très spécialisée.
Nos clients ne nous paient pas pour le temps que nous consacrons à leurs systèmes IT, mais uniquement si nous trouvons une faille de sécurité. Nous calculons alors la vulnérabilité et le donneur d’ordre nous verse un certain montant en fonction de celle-ci. Nous travaillons parfois dans ce cas avec des menus fixes, avec un prix lié aux erreurs ou bugs que les hackers trouvent chez nos clients. On parle dans ce cas de « bug bounties » ou de primes aux bugs.
Inti De Ceukelaire :
Presque toujours de manière extrêmement positive. Je trouve ça normal : les entreprises nous demandent d’analyser leurs systèmes en profondeur et nous paient uniquement si nous trouvons réellement un problème. Elles en ont donc pour leur argent.
Je n’ai rien contre les consultants IT mais comparez un peu notre approche à la leur : ils étudient l’infrastructure IT d’une entreprise et rédigent ensuite un rapport avec leurs observations. Si le consultant écrit dans ce cas que le système est sûr, pourrez-vous vraiment vous y fier en tant que dirigeant d’entreprise ou gestionnaire IT ? Aurez-vous vraiment la certitude que votre infrastructure IT sera toujours et partout sûre ? On ne peut retirer ce degré de certitude d’un rapport, c’est impossible. Je crois beaucoup plus dans le power of the crowd. Laissez les meilleurs hackers du monde attaquer votre système et ils mettront sérieusement sa vulnérabilité à l’épreuve. Cela constituera-t-il un gage de sécurité à 100 % pour l’avenir ? Non, mais vous aurez la certitude que votre système aura été analysé au maximum. Est-ce que vous faites un exercice incendie sur papier ou dans des conditions réelles ?
Inti De Ceukelaire :
La tricherie. Je trouvais ça toujours plus sympa que de jouer simplement, mais je ne jouais jamais en dessous de la ceinture, soyons clairs. Je cherchais des solutions créatives pour contourner les règles et je le disais ensuite toujours ouvertement. J’aimais bien aussi tricher pendant les jeux dans les mouvements de jeunesse par exemple. Pas pour énerver, mais pour le côté intellectuel de la chose : il s’agit en fait ni plus ni moins que de résoudre une énigme. Et quand j’ai trouvé la solution, je dis honnêtement comment j’ai fait. C’est naturellement cette composante éthique qui est indissociablement liée au hacking, la rémunération est moins importante, vraiment.
Le hacking est souvent tout sauf simple. Qu’est-ce que j’entends par là ? Les ordinateurs sont des systèmes qui font ce que vous leur demandez. Il s’agit donc de traduire notre façon de penser à travers le fonctionnement d’un ordinateur. Imaginez que nous commandions simultanément 2 bouquets de fleurs et -2 bouquets de fleurs. Vous vous direz que nous n’avons rien commandé puisque 2 bouquets de fleurs et -2 bouquets de fleurs, ça fait 0. Mais un ordinateur raisonne autrement. Celui-ci vous livrera bien les 2 bouquets de fleurs car il les retrouvera dans les stocks, mais pas les -2 bouquets de fleurs parce qu’il ne les trouvera pas. Vous recevrez donc bien 2 bouquets de fleurs avec cet ordinateur. Il y aura par ailleurs de fortes chances pour que vous ne deviez rien payer au moment de clôturer votre commande : nous remarquons en effet régulièrement que de telles opérations s’annulent dans les outils de calcul. Le montant final de la somme de 2 bouquets de fleurs et -2 bouquets de fleurs est nul puisque les deux se neutralisent. Conclusion : vous recevrez 2 bouquets de fleurs mais ne paierez rien. Vous trouvez que c’est un peu tiré par les cheveux ? Détrompez-vous. J’en ai fait moi-même l’expérience un jour en voulant commander des entrées en ligne pour un festival. Si je l’avais voulu, j’aurais pu acheter tous les billets et ne rien payer. Mais je ne suis pas comme ça et les organisateurs étaient tout heureux que je les informe du problème, vous pouvez me croire.
Inti De Ceukelaire :
Après mes humanités, j’ai étudié les multimédias et les technologies de communication. Ces études comprenaient beaucoup de programmation mais au final, j’ai surtout appris par moi-même, en essayant : rassembler des connaissances, chercher des méthodes, étudier des manières de travailler, beaucoup d’essais et d’erreurs, … Il n’existe pas de livre qui explique comment devenir le meilleur hacker. Avec Intigriti, on nous demande aussi de trouver des failles de sécurité qui ne sont décrites nulle part dans la littérature.
Inti De Ceukelaire :
J’ai en effet été invité aux championnats du monde de hacking à Las Vegas en 2018, une initiative de la société de sécurité en ligne HackerOne. On avait quelques jours pour relever chaque fois de nouveaux défis en devant chercher des problèmes de sécurité dans les infrastructures IT de grandes entreprises et instances publiques. C’était intense, mais j’ai gagné. J’ai notamment trouvé des failles de sécurité dans les systèmes du Pentagone, mais je ne peux bien évidemment pas en parler.
Inti De Ceukelaire :
Cela m’a bien évidemment valu une grande attention des médias. Mais une carrière de hacker est fort différente de la carrière classique d’un consultant IT par exemple, qui commence comme junior et voit ensuite son salaire augmenter avec son âge et son ancienneté, comme si le fait de vieillir permettait de montrer sa valeur. Chez les hackers, tout est beaucoup plus simple. Tout le monde est sur un pied d’égalité, quel que soit l’âge, le diplôme, … tout dépend de ce que vous découvrez en tant que hacker. Même le plus parfait inconnu peut réussir. Et il n’y a aucune forme de jalousie entre nous : si un hacker trouve une faille de sécurité importante, ses collègues le félicitent. Pas de préjugés : tout le monde est admiratif des performances de chacun. Ce que vous avez fait avant ne compte pas si vous parvenez à entrer dans le système IT d’une multinationale connue. Et cela peut alors très bien payer : j’ai vu des hackers devenir millionnaires à 15 ou 17 ans. Nos hackers peuvent de cette manière gagner trois à quatre fois plus que des consultants expérimentés. Ce n’est cependant pas du tout une question d’argent mais bien de crédibilité.
Inti De Ceukelaire :
Détrompez-vous. Pourquoi est-ce qu’un hacker non éthique s’inscrirait sur Intigriti, communiquerait son identité, laisserait des données de paiement, … pour ensuite faire des choses illégales ? Il n’a absolument pas besoin de nous pour faire ça. Quoi qu’il en soit, nous appliquons une tolérance zéro absolue.
Inti De Ceukelaire :
Oui et non. Les cyberassurances ont clairement leur utilité, et nous aussi. Si une entreprise veut souscrire une cyberassurance, elle est alors soumise à un audit. Cela peut sembler utile, mais le rapport d’audit offrira à vrai dire très peu de garanties. Je constate que nous trouvons une vulnérabilité critique chez 70 % de nos clients dans les 48 heures. Un audit ne met pas de tels problèmes en lumière. Je m’attends donc à ce que les assureurs aient de plus en plus recours aux bug bounties avec des hackers payés pour trouver des failles. Le modèle d’Intigriti en somme. Un autre problème que j’ai avec les audits, c’est qu’ils analysent les infrastructures à un instant T. Or, les systèmes changent en permanence. Ce qui est sûr aujourd’hui pourra représenter un problème de sécurité critique dans quelques mois. Vous devez aussi rester attentif à ce moment-là et tester en continu. À côté de cela, les cyberassurances peuvent bien sûr avoir un effet rassurant et intervenir dans les frais, c’est une évidence. Comme je l’ai dit, nous sommes parfaitement complémentaires.
Inti De Ceukelaire :
Nous essayons de montrer les failles d’un système. Cela peut porter sur la sécurité des données, mais aussi des outils de calcul, un module de paiement, … On parle souvent d’erreurs humaines lorsqu’il s’agit de problèmes de sécurité informatique : un travailleur a cliqué sur un fichier joint malveillant et ouvert la boîte de Pandore. Mais ce n’est pas toujours aussi simple : nous cherchons les problèmes qui peuvent survenir et faciliter une attaque des systèmes sans que personne ne s’en rende compte. Cela peut être extrêmement complexe, mais porter aussi tout simplement sur de bêtes erreurs dans une application qui permettent de « fracturer » facilement les portes.
Inti De Ceukelaire :
Oui et malheureusement, car c’est totalement injuste. Toute entreprise est confrontée un jour ou l’autre à un problème de sécurité. Les entreprises ne doivent certainement pas avoir honte si l’on découvre des problèmes de sécurité. L’important est de savoir en tirer des leçons, d’adapter
les programmes, d’ajuster les processus et les procédures, … Le plus important est d’apprendre des problèmes. Cela aide vraiment à avancer. Ce que l’on peut par contre reprocher à une entreprise, c’est de ne pas utiliser les nouvelles informations.
Inti De Ceukelaire :
Absolument. Comme de plus en plus d’entreprises sont liées, il y a souvent, en cas d’intégration IT, une sorte de quatrième dimension où il est difficile d’identifier précisément la responsabilité de chacun. Beaucoup de problèmes de sécurité sont donc dus en premier lieu à un problème de communication et à un manque d’ownership. Cela montre à vrai dire uniquement que les tests de consultance ne sont pas extensibles : les consultants ne peuvent pas tout tester 24h/24, 7j/7.
Inti De Ceukelaire :
Uniquement les compétitions mondiales, quatre à cinq fois par an. Le reste de mon temps est consacré à la direction d’Intigriti.
Inti De Ceukelaire :
Non, mais je n’exclus pas que cela arrive un jour. Je suis un être humain et il m’arrive aussi de commettre des erreurs. Donc qui sait… Ils peuvent toujours essayer (rires).