“La meilleure défense, c’est l’attaque !” ITW de Florian, hacker éthique

“La meilleure défense, c’est l’attaque !” ITW de Florian, hacker éthique

Aujourd’hui, je te présente Florian, 29 ans, et hacker éthique depuis plus de 7 ans. Nous nous sommes rencontrés il y a quelque temps, et il a pris le temps de me parler de son métier et de son parcours. En gros, Flo propose aux entreprises de hacker leur système informatique, afin que ces dernières sachent se protéger efficacement des attaques malveillantes.

Je lui ai demandé si ses journées ressemblaient un peu à celles d’Eliot (le mec de Mr.Robot) et attention, spoiler alert : oui ! Il passe bien ses journées devant une boîte noire à coder des lignes vertes qui défilent ! Évidemment, il y a quelques petites subtilités. C’est parti pour te les présenter !

Kate : Hello Flo ! Peux-tu te présenter rapidement  ?

Florian : Hello hello ! Je suis Florian, j’ai 29 ans et j’habite dans le sud de la France. J'ai obtenu mon Master en 2015, j'ai travaillé pendant trois ans comme employé (Deloitte et Airbus) et je me suis lancé à mon compte en 2018. J’ai créé Hackmosphere, mon entreprise spécialisée dans le hacking éthique en 2021.

Kate : Où as-tu fait tes études ?

Florian : J’ai tout d’abord intégré un IUT Réseaux & Télécommunications à Sophia Antipolis, pour ensuite enchainer sur un Master 2 Systèmes & Réseaux, après deux ans en Ecosse. J’ai eu la chance d’intégrer en fin de cursus la société Deloitte, à Amsterdam cette fois-ci. C’est là où j’ai réellement eu ma première expérience en tant que consultant en cybersécurité, et où j’ai rodé à fond l’hacking éthique. Je menais des recherches, par exemple, pour apprendre à déverrouiller les voitures à distance.  Par la suite, je me suis installé un an à Toulouse avec Hélène, ma compagne, et j’ai travaillé pour Airbus, mais côté sécurité défensive. Pas le choix, il n’y avait pas d’offres sur le marché qui correspondaient à ma spécialité… Et c’est là où l’idée m’est venue : pourquoi ne pas créer ma propre boîte ? 

Kate : Et quand as-tu sauté dans le “grand bain” ?

Florian : De retour d’un an de voyage autour du monde, je décide de me lancer à mon compte. Deloitte m’avait déjà contacté il y a quelque temps pour me proposer de bosser ensemble en freelance, j’étais donc prêt à me lancer à mon compte avec un premier client solide. Et là, bim, pas de chance : le covid est passé par là. J’ai rien lâché, et me voilà aujourd’hui à la tête de Hackmosphere, avec plusieurs alternants et freelances qui m’accompagnent.

Kate : Est-ce que tu veux bien expliquer un peu ce qu’est le hacking éthique ?

Florian : Concrètement, j’aide les organismes de toute taille à identifier leurs failles en cybersécurité en réalisant des tests d’intrusion (ou pen test en anglais). En gros, je leur fais comprendre que “la meilleure défense, c’est l’attaque”.

Mon rôle, c’est de me mettre à la place du développeur qui a créé un site ou un service, afin d’identifier des vulnérabilités, des failles dans lesquelles je pourrais m’introduire pour contourner le système de sécurité en place et prendre le contrôle du serveur (si c’est l’objectif). Je lance donc des scans automatiques qui vont faire remonter un certain nombre de failles, et en parallèle je vais aussi me balader sur l’app pour creuser et fouiller manuellement. 

Kate : Et on apprend comment, et où, à faire du hacking éthique ?

Florian : Bonne question... Même si certaines écoles ont intégré des modules de hacking éthique à leur enseignement, c’est encore un secteur de la cybersécurité qui est peu démocratisé. J’ai la chance de donner des cours à la fac à des M2, et à ce niveau, très peu d’entre eux ont déjà fait du hacking éthique. En gros, l’école donne des bases et informe sur l’existence du métier. C’est tout.

En vrai, si tu veux apprendre à hacker, y a pas de secret : faut s'entraîner ! Il existe des formations, et même des sites web qui te permettent d’apprendre seul. L’exemple parfait, c’est les CTF : Capture The Flag. c'est une série de challenges, sous forme de jeu ou d'énigme, qui permet d'apprendre à exploiter des failles. une fois l'exploitation terminée, on obtient ce "flag" qui nous rapporte des points pour faire augmenter notre scoring !

Autre exemple : Root me, une plateforme d'apprentissage dédiée au Hacking. Ce qui est top avec Root Me, c’est qu’il y a un principe de scoring qui évolue en fonction des tâches accomplies. Pour se former au hacking, c’est le top. Perso, je préfère mille fois recruter un jeune dev qui n’a jamais fait d’études mais qui a un score qui pète tout sur Root Me, plutôt qu’un étudiant qui n’a jamais fait de hacking mais qui a pourtant un diplôme dans l’informatique. La pratique, y a rien de mieux.

Kate : Ça ressemble à quoi une journée chez Hackmosphere ?

Florian : Alors, fonctionnons plutôt par projet. Tout démarre généralement par de la prospection et une fois que j’ai identifié une entreprise qui a des besoins en cybersécurité, j’estime le budget du projet. Si elle accepte, on définit des dates clés. Je rédige une lettre d’engagement - l’étape cruciale, qui vient justifier légalement mon attaque - et quand arrive le Jour J, je lance l’attaque ! J’ai un Word d’une soixantaine de pages, un guide des bests practices, qui me permet de ne rien laisser au hasard. Généralement, les projets me prennent une à deux semaines de travail, ça va vraiment dépendre de la structure de l’entreprise. En moyenne, je décèle une dizaine de failles par entreprise, mais en vérité le nombre importe peu. C’est le taux de risque qui compte, avec un niveau qui va de 1 à 4. Si je n’ai pas trouvé de faille de risque élevé ou critique, c’est que je considère que j’ai mal fait mon travail. Ou alors qu’en face, c’est vraiment béton !

Kate : Et c’est quoi le set-up d’un hacker ?

Florian  : Je suis très à cheval sur l’ergonomie.  Je travaille avec un PC sous Windows, qui simule une machine virtuelle tournant sous Linux. J’ai également investi dans ce qui me semble être un must : la chaise de gamer ! Et j’ai le top du top : un bureau assis/debout électrique, pour quand je souhaite m’étirer un peu les jambes. Ah et ma petite particularité, c’est que j’ai deux souris : une à droite, et une à gauche, souvenir d’une vieille tendinite qui m’a forcé à manier la souris dans les deux sens.