Crédit : ERIC CABANIS / AFP – Montage Konbini

Portrait : Baptiste Robert, le hacker toulousain qui rayonne à l'international

Connu sous le pseudo Elliot Alderson, il est démarché par les plus grandes entreprises pour déceler les failles de leur système.

Baptiste Robert, 30 ans, est un hacker renommé à l’international. Depuis Toulouse où il vit, il débusque des failles jusque dans la messagerie sécurisée du gouvernement français ou une application du Vatican, une "action politique d’intérêt général", plaide-t-il.

"Un jeudi, le gouvernement a annoncé le lancement de Tchap, une messagerie pour les hauts fonctionnaires, plus sécurisée que WhatsApp ou Telegram. Quand un hacker entend ça, ça sonne comme un défi", confie l’informaticien.

Publicité

"J’ai du mal avec les annonces très affirmatives, voire prétentieuses. Le vendredi, j’ai débuté à 9h00, et à 10h15, j’avais réussi, j’étais inscrit comme employé de l’Elysée dans Tchap et je pouvais communiquer avec tous les inscrits sur la messagerie", s’amuse-t-il, évoquant la "jouissance intellectuelle" procurée par l’exercice.

S’il assume le terme de hacker, il lui préfère celui de "chercheur en cybersécurité".

"Je crois que mon action est utile, c’est une action politique pour la sécurité individuelle. Je constate une grande méconnaissance des enjeux de la cybersécurité de la part de nos décideurs", s’inquiète Baptiste Robert.

Publicité

Dans le monde des hackers, il y a des nuances. Le "black hat" (chapeau noir) est hors la loi, souvent maître-chanteur. Le "white hat" (chapeau blanc) est recruté par une entreprise, ou une institution, pour améliorer la sécurité de leurs produits. Le "grey hat" (chapeau gris) fait le travail de ce dernier sans y être invité.

"Bonnes intentions"

Le Toulousain se définit "comme un grey hat. "On n’a pas forcément l’autorisation, mais on travaille avec de bonnes intentions".

Sans révéler les détails au public, il avait annoncé sur son compte Twitter avoir craqué Tchap en mai dernier, et a transmis aux autorités françaises ses trouvailles sur les faiblesses du dispositif.

Publicité

Les services de renseignement français, et d’autres pays, l’ont contacté, lui proposant de l’embaucher. "Mais pas question, il faudrait pour cela que je déménage de Toulouse".

Cet homme grand et mince, calvitie naissante, fines lunettes, plutôt iPhone et Mac que PC et Android, privilégie une qualité de vie.

Diplômé de l’École nationale supérieure d’électronique, d’électrotechnique, d’informatique, d’hydraulique, et des télécommunications (ENSEEIHT), il travaille depuis son appartement, où il vit avec femme et enfants. Marathonien, il part, quand il peut, courir le long du Canal du Midi.

Publicité

Sur son compte Twitter @fs0c131y, pas de photo. Il utilise le pseudonyme de Elliot Alderson, héros de la série américaine Mr Robot sur l’univers du hacking. Il cumule plus de 134 000 abonnés.

Très actif sur les réseaux, il s’est amusé il y a peu de l’existence d’une organisation cybercriminelle qui s’est donné pour nom Evil Corp… comme dans la série dont s’inspire son pseudonyme.

"Bug Bounty"

Dans l’écosystème des hackers, explique-t-il,  il y a aussi "des sociétés mal intentionnées prêtes à payer un million de dollars au hacker qui trouvera une faille de très haut niveau, le moyen par exemple de prendre à distance le contrôle d’un téléphone. Elles revendent ensuite la méthode à des gouvernements qui s’en serviront pour faire du renseignement, cibler des opposants".

WhatsApp a par exemple porté plainte contre la société israélienne NGO qui avait exploité une faille pour espionner une centaine d’utilisateurs.

L’informaticien choisit du coup avec soin ceux à qui il facture ses prestations, avec sa société FSOCIETY: actuellement une banque britannique, après des entreprises notamment du secteur de la défense voulant améliorer leur sécurité.

"Ils ont des équipes performantes de recherche et développement mais ils veulent une perspective différente, celle de l’attaquant, un regard extérieur sur leur produit".

Il participe aussi à des opérations de "bug bounty", des "crash tests" lancés par de grands groupes qui font appel aux hackers et leur proposent des primes juteuses pour détecter des failles.

Mi-novembre, il a été invité à Munich par Huawei, actuellement sous le feu d’accusations d’espionnage, pour la présentation du "bug bounty" du géant chinois des télécommunications, avec en jeu des primes de 200 000 euros.

Google "a réagi" en offrant des primes allant jusqu’à 1 million de dollars pour ses smartphones Pixel.

Parmi ses faits d’armes les plus notoires,  il a aussi trouvé en Inde des failles dans le système AADHAAR de stockage de données biométriques, ou, en Chine, pris à distance le contrôle des smartphones OnePlus.

Konbini Techno avec AFP

Par konbinitechno, publié le 13/12/2019

Pour vous :