Interview de Matthieu, hacker professionnel

Par le biais d’amis communs, j’ai retrouvé samedi dernier Matthieu Suiche, un ancien camarade de lycée, surprise de constater qu’il était devenu hacker professionnel. Il venait tout juste de sortir de la conférence qu’il co-organisait à Paris, la troisième édition de Hackito Ergo Sum, espace d’échanges et de débats entre hackers internationaux autour des questions de sécurité et des dernières innovations informatiques. L’occasion en une soirée de revenir sur son parcours…

Matthieu est un autodidacte. Adolescent, il passe son temps à coder dans sa chambre, un choix qui lui vaudra de louper son bac à deux reprises mais qui lui ouvrira les portes d’une conférence où il aura la possibilité d’exposer son travail devant des pros du milieu à 19 ans seulement. Dans la salle ce jour-là : Messieurs Google et Microsoft.

À partir de là, tout s’enchaîne : il sera amené à travailler pour l’EADS (European Aeronautic Defence and Space Company) mais aussi pour le compte du Ministère de la Justice néerlandais pour y faire du forensic, c’est-à-dire de l’expertise judiciaire en informatique où il exploite les données d’ordinateurs sur des scènes de crimes. Il y a deux ans, il monte sa propre boîte, MoonSols, une société d’expertise et de conseil en sécurité informatique.

Étant donné le concept un peu flou qui règne encore autour du hacking dans l’esprit de pas mal de personnes (moi la première, je l’avoue), j’ai par la suite proposé à Matthieu de répondre à quelques-unes de mes questions par mail :

madmoiZelle : Salut Matthieu, tu es ce qu’on appelle un hacker. À partir de quel moment on se considère/on est considéré comme tel ?

Salut Emilie. C’est assez simple : on se considère hacker quand on est considéré comme tel. Et on considère ses semblables hackers lorsqu’ils ont une contribution significative dans la communauté, que ce soit à travers la recherche, leurs travaux ou leurs actions. Cela peut aller de la découverte de vulnérabilités en sécurité à la lutte pour le droit à la vie privée sur Internet et à la protection des données, comme ça a été le cas avec Facebook lorsque leur Charte de confidentialité a été changée à plusieurs reprises.

On fait une différenciation entre hacker et pirate (ou cracker) sur le Web, donc pour éviter les amalgames, peux-tu m’expliquer la différence entre les deux ?

Le problème du mot « pirate » est qu’il s’agit d’une mauvaise traduction de pays non-anglophones, car les termes anglophones sont mal vus par la langue française (d’où les mots « pourriel » ou « courriel » par exemple). Certains utilisent le terme français « corsaire » numérique pour souligner la différence avec les pirates.

Le hacker est un contre-pouvoir qui a un devoir de citoyen : celui de mettre en avant la protection des données et de la vie privée. Notamment en vérifiant si les logiciels, ou outils vitaux (comme la carte de crédit, les distributeurs d’argent, les pompes à insulines, etc.) sont bien conformes et sécurisés avant que quelqu’un de malveillant ne se penche dessus.

Il a le rôle de sensibiliser les utilisateurs, les OIV (Opérateurs d’Importance Vitale : les délégués à la défense et à la sécurité sur Internet) et les politiques sur leurs choix qui peuvent être trop répressifs, comme avec le cas de Loppsi (NDLR : voir cet article de Numerama « Loppsi : et si le filtrage du web encourageait la pédocriminalité ?« ). Et de s’adresser aux fournisseurs/distributeurs au sujet du risque qu’ils introduisent dans la société en distribuant des produits qui peuvent représenter un danger à cause d’un manque de contrôle de qualité en interne, ou tout simplement d’un gaspillage scandaleux de l’argent du contribuable avec des choses comme l’HADOPI.

Le hacker est une personne créative qui fait avancer l’innovation et la R&D dans les nouvelles technologies. Nous avons des réseaux de recherche communautaires qui feraient rougir les écoles de ParisTech.

Matthieu, à la conférence Hackito Ergo Sum le week-end dernier à Paris

Si le fait de « hacker » est légal, peut-on en faire aujourd’hui un vrai objectif de carrière ? J’imagine que ça ne doit pas être simple quand tu dois remplir la case « profession » dans un formulaire administratif ?

C’est un problème administratif français, je me suis expatrié deux fois en trois ans. Les États-Unis, la Grande-Bretagne, et même l’Allemagne n’ont pas honte de dire qu’ils recrutent des hackers. C’est un sujet où la France a beaucoup de retard, et la difficulté que notre pays a à s’imposer à l’échelle internationale dans l’innovation des technologies est un constat simple. Combien de start-up françaises ont réussi a s’imposer au niveau mondial ? Cet article sur un blog du Monde illustre bien le problème de l’État Français : Eric Filliol : « L’État doit s’appuyer sur les hackers« 

.

En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) préfère remplacer le terme « hacker » par des noms beaucoup plus longs, comme « Ingénieur projet détection et prévention d’intrusions », « Ingénieur en charge de la réponse aux incidents, spécialiste en informatique industrielle ». Le problème est qu’ils sont en général trop longs pour les documents administratifs !

C’est dingue quand on y pense, comment t’es-tu retrouvé à 19 ans dans une conférence où Microsoft et Google te servaient de public ?

Comme dirait Norman (celui qui fait des vidéos) : sur Internet on ne peut pas être pistonné. Soit les gens aiment, soit ils n’aiment pas. C’est pareil dans le hacking. Soit on publie un papier qui intéresse la communauté et qui a un vrai impact, soit on n’existe pas. Dans notre communauté, l’origine, la religion, les diplômes, la classe sociale n’ont aucune importance. Ce qui compte c’est la personne et ses compétences. On retrouve des gens avec des profils très différents, comme des polytechniciens, des lycéens, etc. Il en va de même pour leur profession : le Chief Security Officier de Facebook était procureur avant d’avoir sa position actuelle. Avec le temps on se fait connaître, et les gens viennent automatiquement vers vous.

Même si j’ai quelques notions de HTML, coder pour moi c’est comme les maths : je ne comprends pas comment on peut être passionné(e) par des séries de lettres, de symboles et de chiffres. Qu’est-ce que tu as trouvé (et que tu continues sans doute à trouver) d’excitant dans le codage ou le déchiffrage des réseaux informatiques ?

La programmation c’est intellectuellement stimulant ; bon, ça dépend, chacun a des standards différents. Mais la sécurité informatique s’attaque directement à des problèmes, c’est un peu comme un Sudoku qui peut durer plusieurs mois. Au-delà de l’aspect technique, le hacking a une communauté très riche où la curiosité est reine, étant donnée la diversité des profils qui y sont réunis. Elle a réponse à tout, que ce soit en maths, en finance, pour les questions juridiques ou tout simplement en programmation.

Il faut voir ça comme l’Éducation Nationale. L’Éducation Nationale est un problème car elle n’arrive pas à intéresser, or lorsque l’on a de bons mentors, c’est tout de suite beaucoup plus simple. Par exemple, j’ai vraiment appris l’anglais grâce au hacking, à force de lire des documents techniques, pas grâce à Luc Chatel.

Quand on pense « hacker« , on a souvent cette idée du mec reclus derrière son écran d’ordinateur, dans une pièce sombre, la pizza et le soda à portée de main, qui ne décroche que pour aller au petit coin… L’archétype du no life, en fait. Pour mettre fin au mythe – ou pas – comment se déroulent vraiment tes journées de boulot ?

J’adore cuisiner, donc je me fais à manger le plus souvent possible, et étant donné que je voyage beaucoup cela devient même un survival skill (NDLR : technique de survie). La malbouffe est un problème global, qui ne concerne pas que les hackers et les étudiants mais aussi les expatriés !

Après, question boulot c’est comme tout : si on n’investit pas un minimum de temps, ça ne vaut pas grand chose. Que ce soit les hackers qui deviennent entrepreneurs, ou les futurs polytechniciens, cela demande bel et bien des années de sacrifices.

Hackito Ergo Sum 2012 © Maxime Méan

Question vérité : est-ce qu’il t’est déjà arrivé de te servir de tes talents en informatique pour « espionner » tes petites amies en crackant leur boîte mail ou leur compte Facebook ? Ou tout simplement pour en apprendre un peu plus sur une personne ? Si non, est-ce que c’est quand même tentant ?

As-tu remarqué que cet email était déjà marqué comme « lu » avant que tu ne l’ouvres ? ;-)

Aaargh… Tu m’amènes directement à la question suivante : on a dîné ensemble samedi dernier autour d’une table de hackers internationaux à la fin de la conférence Hackito Ergo Sum. Ma première pensée, en bonne paranoïaque qui se respecte, a été : « Merde, il ne faut pas que je leur donne mon nom » ! Est-ce qu’il y a justement une éthique tacite chez les hackers, comme ne pas aller farfouiller dans la vie privée de n’importe qui ?

C’est comme partout, il y a des gens réglos et des gens qui ne le sont pas. De façon générale, les hackers sont éthiques, mais il y a toujours des exceptions.

Donc pour finir, si je résume bien, à 23 ans, tu donnes des conférences un peu partout dans le monde, tu continues de bosser avec les plus grandes entreprises mondiales et tu as déjà lancé ta propre boîte, MoonSols. Tu as déjà placé la barre bien haut ! Quelles sont tes perspectives d’avenir aujourd’hui ?

En survivre ? :-) Plus sérieusement, j’espère juste que tout va se poursuivre pour le mieux et que de nouvelles opportunités continueront de se présenter devant moi.

Écoutez l’Apéro des Daronnes, l’émission de Madmoizelle qui veut faire tomber les tabous autour de la parentalité.