Du piratage à la sécurité informatique, il n’y a qu’un pas
En mars se déroulait à l’IUT Belfort-Montbéliard la quatrième édition du Sécu’RT, journée de conférences et de concours de hacking. L’occasion de découvrir cette notion à connotation assez négative mais qui joue un rôle important dans la formation des futurs néticiens.
Le Sécu’RT a été créé par un ancien étudiant de l'IUT, puis reconduit par Christophe Vanstraceele, enseignant en électronique, télécoms et réseaux au département Réseaux et télécommunications, en collaboration avec l’association belfortaine HackGyver. L’évènement prend chaque année de l'ampleur, en proposant davantage de conférences et en s’ouvrant à un plus large public, y compris aux chefs d’entreprises. « C’est capital pour les sociétés d’avoir des systèmes fiables », explique l’enseignant.
L’événement a notamment pour but d’enrichir la partie sécurité informatique du DUT. Pour les étudiants qui y participent, le Sécu’RT se prévoit dès la rentrée : « Pour préparer les étudiants au concours, un club Sécu’RT a été créé en septembre dernier : il fonctionne un peu comme un parrainage d'étudiants en DUT par des anciens. Tous les jeudis après-midis, des épreuves et des petits défis sont lancés ; les parrains donnent des astuces et des petits cours. » En plus du Sécu’RT a été mis en place un module d’enseignement libre (MEL) de 24 heures sur l’initiation à la sécurité informatique, ouvert à tous les étudiants de l’IUT.
Cybersécurité ou cybercriminalité ?
Si le hackathon est en général un concours de programmation, de développement d’applications ou de jeux vidéo (le département Informatique de l’IUT a organisé le sien en février), les épreuves de concours de hacking portent plus spécifiquement sur un réseau local virtuel qu’il faut pirater : craquer les mots de passe, changer la page d’accueil d’un site Internet, trouver la clé d’accès à un programme informatique…. Ce sont bien sûr des éléments spécifiquement créés pour le concours, mais qui permettent de découvrir les bases de la sécurité informatique : il s’agit de découvrir les failles types qu’on peut trouver dans un système. « Ça peut paraître un peu agressif d’attaquer un système, poursuit Christophe Vanstraceele. On a l’air de détruire plutôt que de construire. Mais il faut bien comprendre qu’un bon administrateur réseau doit être capable de trouver des solutions pour que le réseau soit sûr. Il doit comprendre comment celui-ci peut être attaqué pour savoir quelles défenses mettre en œuvre. Connaître les points faibles d'un système, c’est être capable de le renforcer. » Qu'on se rassure, l’IUT ne forme pas pour autant des pirates informatiques qui vont détourner des comptes bancaires ou infiltrer des virus dans des ordinateurs. Chez les hackers, il faut distinguer les black hats (chapeaux noirs) des white hats (chapeaux blancs). Les premiers sont effectivement nuisibles, tandis que les seconds veillent à la sécurité. « Aujourd’hui, certains organismes qui ont particulièrement besoin de sécurité, comme les banques, recherchent des bons hackers. »
Pentester : un nouveau métier très recherché
Après un DUT RT, l’un des principaux métiers recherchés est celui d’administrateur réseau. Mais le secteur des réseaux et télécommunications étant récent et en évolution permanente, de nouveaux métiers apparaissent, comme celui de pentester. Si l’administrateur réseau a pour missions de mettre en place et de gérer le réseau d’une entreprise et ses utilisateurs, mais aussi de veiller à sa sécurité, le pentester, lui, est un hacker professionnel spécialiste de la sécurité. Pour proposer les solutions adéquates, il réalise tout d’abord des audits commandés par des entreprises ou des institutions. « Les failles ne sont pas forcément logicielles ou de réseau, elles peuvent aussi être physiques ou matérielles : une personne malveillante peut par exemple essayer de rentrer dans les locaux avec un faux badge ou en crochetant une serrure, pour voler un disque dur ou brancher une clé USB pour récupérer les données d’un ordinateur. Mais ça peut être encore plus vicieux, comme la souris malicieuse qui pourrait être offerte mais qui contient un programme permettant au hacker (le méchant, cette fois) de prendre le contrôle d’un ordinateur à distance… » Ce mulot grignoteur de données a d’ailleurs été présenté par un ancien étudiant lors du Sécu’RT pour montrer des exemples de hacking.
Vice ou maladresse du programmeur, la faille de sécurité pourra être corrigée ; mais le problème vient parfois de l’utilisateur qui ne met pas forcément à jour les programmes de son ordinateur, qui télécharge des applications gratuites pouvant cacher un moyen d’accès à ses données, ou qui ouvre des courriels de hameçonnage. Et comme tout est connecté, nous sommes tous des victimes potentielles. Si on est de moins en moins maître de ses données, « il ne faut pas pour autant céder à la psychose, rassure Christophe Vanstraceele. La meilleure protection, c’est aussi le bon sens ».