L'université forme des antipirates... "hacker éthique"

L'université de Valenciennes forme des étudiants uniques en leur genre en Europe : des "hacker éthique" : rencontre avec des passionnés de technologies, de sécurité informatique.

Maubeuge (Nord), le 19 avril. Alexandre, Fabien, Juan, Sarah et Younès, tous déjà diplômés d’informatique, font partie des 26 étudiants de la 4e promotion de cette formation.
Maubeuge (Nord), le 19 avril. Alexandre, Fabien, Juan, Sarah et Younès, tous déjà diplômés d’informatique, font partie des 26 étudiants de la 4e promotion de cette formation.

    Le bâtiment, à l’entrée d’une banale zone artisanale en périphérie de Maubeuge, ne paie pas de mine. Cette antenne de l’université de Valenciennes accueille pourtant des étudiants uniques en leur genre en Europe. Ici, en toute discrétion, depuis 2008, on forme des hackeurs, des pirates informatiques.

    Les 26 étudiants de la quatrième promotion de licence professionnelle CDAISI (collaborateur pour la défense et l’anti-intrucion des systèmes informatiques) seront diplômés dans quelques jours. « Nous leur apprenons les techniques qu’utilisent les pirates parce qu’il est indispensable d’avoir les moyens de défense basés sur les méthodes utilisées par les attaquants, explique Franck Ebel, responsable de la formation. C’est ce qu’on appelle du hacking éthique, de la protection informatique dans une forme offensive. »

    Inutile de dire que les autorités universitaires ont toussé lorsque, en 2005, quelques « illuminés » leur ont proposé de former des pirates informatiques. « Il a fallu être convaincant, et surtout changer l'intitulé initial qui contenait le mot hacking, rigole Jérôme Hennecart, responsable du module défense de l'université. On nous considérait, il y a encore quelques mois, comme des malades, mais tout a changé quand certains d'entre nous ont été appelés pour former les gendarmes. »

    Sous la surveillance de la DCRI

    Les apprentis hackeurs, tous déjà diplômés en informatique, apprennent à détruire avec leurs seuls ordinateurs des « forteresses virtuelles » conçues par leurs professeurs. « Ce sont les travaux pratiques, explique Fabien, 22 ans, venu spécialement de Carcassonne pour suivre ce cursus unique. On peut mettre trois jours à découvrir la seule petite faille quasiment indétectable. » Pour ne pas basculer dans l'illégalité, mais seulement flirter avec, la promotion est placée sous la surveillance de la DCRI (Direction centrale du renseignement intérieur), qui scrute chaque demande de dossiers et chaque profil de candidat. De surcroît, un avocat spécialisé suit constamment les travaux des élèves. « La formation n'est pas seulement technique, des cours de droit sont aussi nécessaires, poursuit Franck Ebel, et les étudiants se rendent progressivement compte de la puissance de ce qu'ils ont entre les mains. »

    Mieux vaut en effet garder un œil sur ces petits génies de la bidouille informatique et de la manipulation d'octets. En quelques minutes, certains sont capables de pirater une carte bancaire sans même la toucher des mains (lire ci-dessous). « Nous sommes d'abord et avant tout des passionnés, confie Sara, la seule femme dans cette promotion de geeks. Notre objectif, c'est de travailler pour des grandes entreprises, Google, Microsoft, ou dans des sociétés d'audit informatique. » Côté job, les vingt-six étudiants de la promotion 2013 n'ont aucun souci à se faire : 100% de leurs prédécesseurs diplômés ont trouvé un emploi.

    Aymeric RENOU

    Il clone une carte d’étudiant

    Younès, 20 ans, étudiant anti-hackeur, accepte de faire la démonstration.

    Face à lui, un ordinateur portable, un boîtier en plastique et un lecteur de cartes sans fil « acheté environ 300 € sur Internet ». « Tu me donnes ta carte d’étudiant, Juan ? » demande-t-il à son alter ego avant de poser la carte sur le boîtier. « Il existe une faille dans ce type de carte à basses fréquences qui permet de casser les clés protégeant les données. »

    Créditée de 100 € en deux minutes

    Deux minutes s’écoulent pendant que d’énigmatiques formules défilent à l’écran, que Younès agrémente parfois avec une ou deux formules connues des initiés. « Voilà, c’est fait! Je peux maintenant fabriquer un clone de cette carte, ou alors la modifier. Il suffit par exemple que j’entre 100 à la place du 0 ici pour créditer 100 € et Juan peut manger à l’œil dans tous les restos universitaires de la région… » Les autorités universitaires régionales, prévenues de cette faille, s’emploient depuis des semaines à régler le problème.

    La portée de la démonstration impressionne, mais peut-il le faire aussi avec des cartes bancaires ?

    « C’est encore plus simple avec celles permettant les paiements sans contact, à la manière d’un passe Navigo, rigole Younès. J’ai un programme sur mon smartphone Android qui me permet de lire le contenu de la carte d’une personne en m’installant à côté d’elle. Je peux copier à distance le numéro, la date d’expiration et le nom du titulaire… et aller faire des achats sur les sites Internet qui ne demandent pas le cryptogramme, la seule donnée que je ne peux pas copier. Vous me prêtez votre carte et je vous fais voir ? »

    Article issu du Parisien / Aujourd'hui en France du vendredi 31 mai 2013

    Écoles à la une

    Proposées par les écoles partenaires

    L'École Sécurité C-SRD
    Défense / Fonction Publique
    Paris
    Institut Lyfe (ex Institut Paul Bocuse)
    Tourisme / Hôtellerie / Restauration
    Écully
    Audencia Business School
    Economie / Finance / Banque / Comptabilité
    Nantes