Las Vegas, messe secrète du hacking

La ville du Nevada accueillait la semaine dernière le «Def Con». La réunion a attiré l’élite mondiale de la sécurité informatique et du piratage. Les Suisses sont vice-champions du monde de la discipline. Reportage

Par Mehdi Atmani

Les yeux sont fous. Vingt-quatre heures qu’ils scannent en continu des listes infinies de codes informatiques sur des écrans d’ordinateurs. Ils donnent le rythme aux doigts qui glissent sans fausses notes sur les claviers. Nous sommes dans l’obscurité de la salle Miranda de l’hôtel Rio de Las Vegas, à quelques encablures du Strip, la rue des casinos. Le thermomètre affiche 16 petits degrés. Plus de 40 à l’extérieur. 

Derrière les machines illuminées par le halo de lumière artificielle des écrans se cachent les meilleures équipes de hacking au monde. Douze formations internationales de piratage informatique, dont le Japon, les Etats-Unis, la Russie. Et la Suisse, vice-championne du monde depuis trois ans.

Toutes participent à «Capture the flag» (CTF), la compétition la plus prestigieuse du monde en matière de hacking organisée depuis quinze ans, où les pirates chevronnés rivalisent de technicité pour attaquer les réseaux informatiques ennemis et défendre le leur.

Cette cyberguerre virtuelle se tient dans le cadre de la convention mondiale de hacking, le «Def Con», en référence au programme de défense de l’armée américaine en cas d’attaque (U.S. Armed defense readiness condition). Las Vegas accueillait la semaine dernière, la 19e édition de l’événement, où convergent plusieurs milliers de personnes pour y suivre des conférences et des présentations de haut vol. Surtout, «Capture the flag».

Dans la salle Miranda, où se tient la compétition, Victor-Emmanuel de Sa et Dominique Vidal ont les traits tirés. Ils n’ont pas dormi comme le reste de l’équipe. Les organisateurs ont surpris tout le monde en introduisant de nouvelles difficultés cette année. «Il nous faut revoir des mois de stratégie d’attaque et de défense en quelques heures,» commentent-ils. Victor gratte sa barbe de trois jours pour masquer la tension.

Dominique Vidal est le chef de troupe des routards. Avec Victor-Emmanuel de Sa, hacker éthique de l’équipe, fondateur de la société genevoise Geneva Solutions qui finance les routards depuis ses débuts, ils sont les piliers de l’unique formation francophone du CTF. Ils sont les seuls dont nous pourrons citer le nom. Les hackers aiment à cultiver le secret. Les treize pirates des routards sont Belges, Français et Suisses, cryptographes, ingénieurs en télécommunication consultants en sécurité informatique pour des instituts financiers, développeurs ou créateurs de start-up. Moyenne d’âge: 29 ans. Ensemble, ils disposent d’une palette de compétences complémentaires indispensables à cette cyberguerre virtuelle.

Les routards forment l’équipe de pirates la plus performante de la compétition. Depuis cinq ans qu’ils participent au CTF, les hackers ont développé une palette invincible d’outils techniques pour venir à bout des concurrents. Des mois de mises au point pendant lesquels les routards affinent collectivement leur stratégie sur un chat crypté. Et leur organisation.

Pendant les trois jours et deux nuits de la compétition, huit membres de l’équipe s’activent dans l’arène, au milieu des autres formations. Trois pirates au 23e étage du Rio, dans la plus grande suite de l’hôtel, où s’accumulent les bières et les restes de nourriture. Et deux autres à distance depuis la Suisse sur un chat crypté. Cette année, les routards comptent bien ravir la première place du classement, et bouleverser l’hégémonie américaine depuis 19 ans. 

A quelques mètres des hackers francophones, le public reconnaît les tatouages de Vincent et son crâne rasé orné d’une longue tresse. Le pirate américain de 33 ans est un ancien chapeau noir, l’appellation qui désigne traditionnellement les hackers malveillants. Il nous donne le premier nom qui lui passe par la tête. Interdiction de le citer autrement. «Je suis trop exposé aux attaques.»

Vincent est le maître incontesté de «Capture the flag» qu’il a gagné en 2001, avant de rejoindre l’équipe des organisateurs de la compétition. Dans le monde restreint et secret du hacking, Vincent est admiré, respecté autant qu’il est craint par la communauté pour avoir développé de prodigieuses attaques aujourd’hui utilisées par les meilleures équipes du monde. Vincent met aujourd’hui son savoir-faire à la disposition d’une société américaine pour laquelle il développe des logiciels informatiques. Il ne nous dira pas laquelle, ni combien il gagne exactement. «Plusieurs centaines de milliers de dollars annuellement.»

Le Def Con de Las Vegas attire près de 15 000 adeptes de nouvelles technologies. Parmi eux, beaucoup de geeks, plusieurs experts en sécurité informatique et des grandes sociétés actives dans le domaine comme Microsoft, Intel ou Google. Quelques membres du gouvernement américain et d’ex-agents de la CIA aussi. Ensemble, ils forment une communauté hétérogène impénétrable.

«Depuis WikiLeaks, le public et les médias sont fascinés par les pirates, explique Vincent. Mais le monde du hacking est très complexe. Le 90% du public ici se dit pirate, mais le nombre de personnes qui maîtrisent concrètement un savoir-faire de haut niveau se restreint à quelques dizaines d’experts.»

Dans la communauté, le fossé culturel est grand entre ces deux catégories de hackers, «les vrais et ceux qui prétendent». Les premiers évitent à tout prix de se faire connaître pour garder leur liberté de pirates et éviter les représailles. Au sein de ce petit groupe de chirurgiens de l’informatique, tout le monde se connaît. Ils sont jugés et reconnus simplement sur la base de leur prouesse de pirates. Tous dissèquent les systèmes informatiques les plus complexes, repèrent leurs failles et les exploitent. Très souvent pour le compte de grandes sociétés actives dans le domaine de la sécurité ou le gouvernement. Une manière de gagner beaucoup d’argent légalement.

La grande majorité d’entre eux entretiennent en parallèle des activités de piratage illégales. «Le vrai hacker se doit d’avoir une personnalité schizophrène s’il veut survivre et changer de rôle au fur et à mesure des situations et des contrats», souligne Vincent. Le défi constitue à mener les opérations d’infiltration avec la plus grande discrétion. Le risque que d’autres utilisent ces armes constitue la principale menace. Dans le milieu du hacking, le retour du boomerang n’est jamais loin. 

Dimanche, ultime jour du Def Con. La crème du milieu hacker underground n’a pas quitté les allées climatisées de l’hôtel Rio, qui se retrouvent chaque année au Def Con pour l’ambiance. Ces geeks festifs cultivent tous les mêmes codes esthétiques (crêtes, longues barbes à la ZZTop), vestimentaires (calqués sur le look manga). Nous en trouverons beaucoup dans la salle des fêtes de l’hôtel, participant au concours de barbes et moustaches du Def Con. D’autres à l’une des nombreuses fêtes organisées par Facebook ou IO Active, la multinationale américaine leader sur le marché de la sécurité.

Au CTF, les routards terminent un marathon de 52 heures passées à mener leur cyberguerre virtuelle. Pour la quatrième année consécutive, ils arriveront deuxièmes derrière une équipe danoise. L’équipe fêtera l’exploit autour de mojitos et de jolies stripteaseuses.


Cet article est paru dans LE TEMPS