En marge de la convention sur le hacking qu’il co-organisait à Paris, Jonathan Brossard revient sur son parcours hacker. Aujourd’hui, il se fait courtiser par Google et Microsoft mais ça n’a pas toujours été le cas.
Place du colonel Fabien – Paris. Au sous-sol du siège du Parti Communiste, l’auditorium est plein à craquer. L’assemblée, presque 100% masculine, écoute un conférencier à l’allure d’adolescent parler d’intrusions informatiques, en tapotant sur des ordinateurs dont les webcams sont systématiquement recouvertes de petits morceaux de scotch.
(img) Jonathan Brossard, notre hacker
Bienvenue à No Such Con, la seule conférence internationale de hacking en France, qui s’est tenue à Paris à la mi-novembre. Sur scène, des hackers de renommée mondiale succèdent aux profils plus confidentiels pour discuter des dernières avancées dans le domaine de la sécurité informatique. Parmi eux Jonathan Brossard, l’un des fondateurs de la convention et petite vedette dans le milieu.
Jonathan a 32 ans et n’a rien à voir avec l’image qu’on se fait du hacker. Bien dans ses baskets, charismatique et éloquent, il a les yeux qui brillent lorsqu’il évoque sa passion. Celui qui définit le hacking comme « un métier d’ingénieur, version sexy » revient les grandes étapes qui ont fait de lui un hacker.
Comment as-tu commencé ?
Quand j’étais jeune, j’habitais au Brésil. J’ai commencé l’informatique pour le bac : un prof m’a suggéré de m’intéresser aux virus, et ça m’a complètement fasciné. Pour comprendre comment ils étaient faits, j’ai appris « l’assembleur », un vieux langage de programmation que seuls les hackers connaissent encore. Donc à 16 ans, j’ai appris par hasard la compétence centrale du hacking. En gros, je n’étais pas bon en foot donc je me suis dit, « Tiens, je vais faire du hacking » !
Je suppose que tu as quand même de grandes études derrière toi…
Après le bac, j’ai fait une prépa à Louis Le Grand puis l’École des Mines, où je suis devenu ingénieur. Mais j’ai de très bons copains qui n’ont pas le bac et qui font exactement le même métier que moi. Dans le milieu, ce qui compte, ce sont tes capacités réelles, que tu aies fait un doctorat ou pas, tout le monde s’en fiche ! Dans cette communauté, les gens sont tous atypiques.
Il faut quand même avouer que les études, ça aide. A moins d’être un petit génie, si tu es jeune et passionné de hacking, je te conseille d’aller faire des études d’ingénieur et d’apprendre l’informatique sérieusement. Il y a quand même 10 ans de théorie à se taper avant de commencer à s’amuser.
C’est quoi ton blaze de hacker ?
C’est Endrazine. Je l’ai choisi à 16 ans, quand j’ai commencé. C’est le nom d’une drogue… Je te laisse sauter aux conclusions mais je ne t’en dirai pas plus. Le choix de l’alias, c’est très personnel, un peu comme un tatouage. Les hackers respectent la vie privée bien plus que les grandes entreprises : chez nous, si tu n’as pas envie de donner ton identité, tu n’es pas obligé de le faire, que ce soit sur Internet ou dans la vraie vie. L’anonymat fait fondamentalement partie de notre culture.
Parlons-en, de culture. Tu considères qu’il y a une culture du hacking ?
Bien sûr ! Elle est née au début des années 80, avec la formation de communautés de hackers qui se sont vite structurées. On a nos propres magazines, comme Phrack Magazine , une des bibles ; nos propres conférences ; nos propres lieux – comme le Chaos Computer Club à Berlin, un collectif qui existe depuis plus de 30 ans et qui rassemble des gens aussi doués que passionnés. Y aller, c’est un peu le pèlerinage à la Mecque.
Et au-delà des références culturelles, des lieux, des magasines, de l’engagement politique, il y a une chose qui nous relie tous : le refus de l’autorité. Si les gentils, c’est la police, et les méchants, c’est la mafia, hé bien nous, on refuse les deux clans.
Tu as des faits d’armes illégaux au compteur ?
Évidemment que je ne vais pas tout te raconter ! Oui, j’ai déjà fumé un pétard, si c’est ça qui t’intéresse. Et j’ai déjà cassé un distributeur. L’idée, c’est d’arriver à lui faire cracher des billets sans percer physiquement le coffre-fort. Ça s’appelle un jackpoting. La première fois que tu y arrives, t’es super fier ! Mais bien entendu, je fais ça pour le boulot.
Ton premier job, c’était quoi ?
Ça a été un peu la galère pour le décrocher… J’ai dû envoyer 5.000 CV partout dans le monde, et les seuls qui m’ont offert un poste de hacker, c’était en Inde, à Calcutta. J’y gagnais à peine 10.000$ bruts par an, mais le job était génial !
Et aujourd’hui, c’est plus facile ?
Oui ! Une fois entré dans ce petit monde, les gens nous chassent : tous les 6 mois, Microsoft ou Google me contactent. Aujourd’hui, je viens de m’installer à San Francisco où j’ai monté ma boîte tout en bossant pour la sécurité d’une très grande entreprise. Mais pour en arriver là, il a fallu faire des choix de vie.
Qu’est-ce qui fait un bon hacker ?
La créativité. C’est ce qui va distinguer un bon hacker d’un simple technicien. Une fois que tu as maîtrisé le corpus scientifique, le hacking, ce n’est plus que de la pure créativité. C’est comme apprendre la guitare : Jimi Hendrix n’est pas génial parce qu’il a bien appris ses gammes. Son génie, c’est ce qu’il est capable de faire avec. Nous, c’est pareil : ce qui nous intéresse ce ne sont pas les lignes de codes mais les systèmes sur lesquels on bosse, qui sont omniprésents dans notre vie quotidienne : dans les voitures, les trains, les satellites, les panneaux publicitaires…On peut fait plein de trucs marrants avec, du genre pirater des satellites ou envoyer du code dans l’espace.
S’amuser, d’accord. Mais les hackers sont plutôt des gens engagés en général, non ?
Les hackers sont des gens très ouverts, très libertaires. Pour nous, avec Internet, les États-nations sont devenus obsolètes, et on compte bien les aider à disparaître. On pense que la cryptographie peut changer le monde : c’est la philosophie crypto-anarchiste .
L’engagement politique fait partie de notre identité : quand on pense hacker, on pense tout de suite aux Anonymous par exemple. C’est un mouvement intéressant, mais il faut faire attention à ces trucs-là. Il y a beaucoup de manipulation, notamment par les services secrets de plusieurs pays.
En général, on est pionniers sur un certain nombre de thématiques parce qu’on y est plus exposés au quotidien. Le fait d’être très internationaux, liés à des gens partout dans le monde, ça fait circuler les idées très vite, donc on est plus politisés que la moyenne… Après, on n’est pas une secte, on n’a pas tous les mêmes opinions politiques. Moi j’ai des potes hackers, que je respecte, et qui restent pour autant des fanatiques américains qui défendent les flingues et la guerre en Irak. Mais ça reste une minorité.
Toi, tu as un engagement personnel ? Des causes qui te tiennent particulièrement à cœur ?
En tant que chef d’entreprise, je ne peux pas vraiment t’en parler, ça concerne ma sphère privée. Mais les hackers ont le devoir de jouer les lanceurs d’alerte, de protéger la société de technologies trop intrusives, d’expliquer les enjeux aux responsables politiques, de montrer aux gens ce qui se trame dans leur dos.
Hadopi par exemple : qui va nous faire croire que c’est une histoire de piratage et de droit d’auteur ! Il n’y a pas un seul hacker qui gobera ça. C’est un prétexte des services de renseignement pour mettre en place une technologie permettant de surveiller la société. Il y a eu des lois équivalentes dans tous les pays, sous différentes excuses. Je ne sais pas à quel point les députés en ont conscience : soit ils sont très cons, soit ils sont très mal informés…
Pour apprendre les bases, ça peut servir de jouer à Watch Dogs ?
Tu me demandes ça parce que j’ai participé au lancement du jeu ? Hé bien pas du tout, tu n’apprendras rien du hacking, ça reste un jeu vidéo ! Mais ça peut te permettre de te faire une meilleure idée de ce que c’est. Les développeurs se sont inspirés de véritables recherches, et tout ce qu’on peut faire dans le jeu est potentiellement réalisable en vrai. Dans Watch Dogs, quand tu pirates des voitures ou des satellites, ça ressemble à ce sur quoi on travaille. En plus, le personnage que l’on incarne n’est ni blanc ni noir, ils ont enfin mis de côté le cliché à deux balles des gentils hackers contre les méchants, et ça fait plaisir.
C’est quoi le hacking ?
Faire du hacking, c’est casser ce qui existe dans le but de l’améliorer, c’est pénétrer des réseaux pour en corriger les failles. Notre contribution individuelle est modeste, mais s’il y a un peu de sécurité sur Internet aujourd’hui, c’est bien grâce à notre communauté. En fait, c’est une quête de pouvoir de l’humain sur la machine, quelque chose d’assez universel.
C’est un métier ?
Oui, on travaille à la sécurité informatique de grandes entreprises. Mais c’est avant tout une passion : comme pour les footballers pro, si on ne les payait pas, ils joueraient quand même au foot !
On connaît surtout les hackers pour leurs actions illégales. Ça fait partie du job ?
Le fait d’être chercheurs en informatique nous autorise à faire certaines choses illégales, mais on ne fait pas ça pour la simple excitation d’enfreindre la loi. Parfois, si tu veux une solution à ton problème, il faut commencer par le détruire !
Le hacking est complètement dé-corrélé de la question de la légalité. C’est de l’empowerment, c’est un pouvoir, après c’est à toi de choisir ce que tu veux en faire. Un peu comme si on te demandait : t’es un gentil ou un méchant quand tu lis ? C’est complètement con comme question. Hé ben c’est pareil pour le hacking.