L'ANSSI et l'armée à la conquête des « hackers », une vaste opération de communication

Disruption du hacking 14
Accès libre
image dediée
Crédits : Guénaël Pépin (CC-BY-SA 4.0)
Securité
Guénaël Pépin

Soutien d'événements « hackers », défenseur des réalités techniques en pleine overdose de « cyberguerre », l'ANSSI est une agence qui s'attire les bonnes grâces de certains hackers. Pourtant, tout est loin d'être transparent chez le protecteur des systèmes critiques français, dont la communication inspire aujourd'hui l'armée.

L'amiral Arnaud Coustillière en polo, devant une immense tête de mort sur fond rouge, reniant le terme « cyber ». Des agents de l'ANSSI en jean, t-shirt et basket, parfois un hand-spinner à la main, discutant avec des « hackers ». Ce sont certaines des images qu'a réservée la Nuit du Hack XV, qui s'est tenue le week-end dernier à Disneyland Paris.

Pour la quatrième année, l'agence de sécurité informatique de l'État soutenait l'événement, qui accueillait plus de 2 200 personnes. L'armée, elle, faisait sa grande entrée sur le thème du « combattant numérique », masquant tant que possible ses logos, dans un format proche de celui de l'ANSSI : deux stands de recrutement avec le grand patron en tenue décontractée, comme tous les agents.

Arnaud Coustillière Nuit du Hack NDHXVArnaud Coustillière Nuit du Hack NDHXV
L'amiral Arnaud Coustillière, devant un fond choisi par les organisateurs de la NDHXV - Crédits : Guénaël Pépin (licence: CC by SA 4.0) 

Depuis quelques années, l'ANSSI mène une communication très offensive à l'égard des « hackers » et du grand public. Elle revendique ainsi des « valeurs communes » avec les hackers éthiques, en plus d'un rôle purement défensif (qu'elle promeut en Europe) et d'une « ADN technique », censés rassurer des spécialistes plus habitués à être criminalisés qu'à collaborer avec l'État. C'est l'une des rares agences à défendre publiquement un chiffrement fort, sans compromis (sans être très suivie par l'exécutif). Autant d'éléments qui ont construit l'image d'une institution « sans ambiguïtés », aujourd'hui dirigée par Guillaume Poupard.

« Le message est que nous faisons partie de cette communauté du hacking. Une administration n'est pas forcément quelque chose de poussiéreux et incompétent techniquement, mais jeune, dynamique, avec une vraie mission » nous affirme ce dernier, à l'occasion de la Nuit du Hack. Un message martelé qui convainc, mais pas tout le monde, tant la défiance a duré entre les autorités et les « hackers ». Pour démêler cette communication et ses effets, nous avons discuté avec l'agence, le ministère des Armées et plusieurs figures du monde du hacking.

Après la criminalisation, la séduction

La Nuit du Hack est un lieu privilégié pour s'afficher et recruter. Guillaume « Freeman » Vassault-Houlière, président d'Hackerzvoice (derrière la NDH) et responsable sécurité de Qwant, rappelle que la décontraction est le mot d'ordre de l'événement. « Les gars, vous vous détendez et vous venez en polo. On n'est pas sur de l'officiel ici » rappelle-t-il. De ce point de vue, l'ANSSI a ouvert la voie au ministère des Armées. « Nous ne serions pas venus il y a cinq ans » nous glisse un de ses responsables sur place.

Y a-t-il vraiment un froid ? « Parler de froid alors qu'il y a une criminalisation du hack, une tentative de récupérer le mouvement, et une volonté claire de continuer dans cette voie, toutes législatures confondues, me semble un euphémisme » tranche Okhin, « pirate libertaire autoradicalisé des intertubes digitaux (PLAID) » revendiqué. La vision criminelle du hacking par l'État revient dans bien des discussions, notamment chez ceux qui ont connu les gardes à vue dans leur jeunesse.

Un mythe perdure d'ailleurs, celui du Chaos Computer Club France (CCC Fr), un groupe de « hackers » piloté par la DST (ancêtre de la DGSI) à la frontière des années 80 et 90. Il justifie une part de la défiance de certains acteurs envers les autorités, encore aujourd'hui, alors que son existence suscite toujours des doutes. « Jean-Bernard Condat [son responsable revendiqué] racontait cette histoire. Est-ce que c'est vrai, faux ? Je n'ai jamais pu en avoir confirmation de la part de mes interlocuteurs spécialistes à la DGSI » répond Antoine « Kitetoa » Champagne, rédacteur-en-chef de Reflets. Il note que les services suivaient quand même de près le milieu, avec des contacts à visage découvert.

Armée NDHXVANSSI NDHXVToute ressemblance serait purement fortuite - Crédits : Guénaël Pépin (licence: CC by SA 4.0)

Terminée, l'ère de la défiance ? Pour Guillaume Poupard, qui défriche le terrain pour l'ANSSI, l'armée subit « un renouveau assez remarquable » sur le sujet. À la Nuit du Hack, le ministère nous dit bien afficher volontairement son logo en petit, préférant l'identité de « combattant numérique », qui couvre la diversité des profils recherchés (cyberréservistes, civils, militaires...). 

« Nous recrutons pour l’ensemble du ministère des Armées : pour la protection des systèmes numériques (ériger des barrières entre les menaces et nous-mêmes), la défense (les patrouilleurs qui protégeront ces murailles) jusqu'au domaine de l'action numérique, qui consiste à agir sur les systèmes de nos adversaires et élargir la palette des options dans les mains du président de la République et du chef d'état-major des armées » nous répond le lieutenant-colonel Hervé, chef du pôle Innovation et ressources. Pas question pourtant d'afficher un logo des directions du renseignement (DGSE, DRM...), qui sont bien concernées par ces recrutements (voir l'enquête de Jean-Marc Manach sur le sujet).

Au fait, qu'est-ce qu'un hacker ?

Si les agences étatiques disent se rapprocher des « hackers », encore reste-t-il à savoir de qui il s'agit. Le terme suscite des débats animés. Sur plus d'une dizaine de personnes interrogées, nous avons rarement obtenu deux fois la même réponse. Un « hacker » est-il seulement quelqu'un attiré par le défi technique ? Est-il un activiste qui bidouille pour une cause ? Est-ce uniquement un passionné, ou doit-il avoir baroudé sur les réseaux, quitte à parfois passer la frontière de l'éthique ? Difficile de vraiment répondre. Tout juste restent quelques références communes, comme le Manifeste du hacker de 1986 et le goût de l'exploration technique.

L'ANSSI touche-t-elle donc les hackers ? « ANSSI et hackers dans la même phrase : c'est non » assène Tris Acatrinei, fondatrice du Projet Arcadie et d'Hackers Republic. Dans les recrutements de l'agence, 25 % en sortie d'école, « tu auras beaucoup de gamins, sans expérience de vie un peu foutraque. Les vrais petits génies, il y en aura très peu. Être un vrai hacker, c'est être capable d'avoir des solutions possiblement techniques à des problèmes concrets » estime-t-elle.

La conciliation est aussi difficile pour Okhin : un hacker « serait une personne qui adhérerait aux principes du Hacker Manifesto, teinté d'anarchisme, et qui donc aurait pour but de démolir les systèmes de l'État ». L'inverse des missions de l'agence.

« Si tu limites le hack à la partie activiste, tu n'as pas de vision complète. Plein de hackers de grand talent ne militent pour rien. Si tu leur donnes un défi intéressant, ça peut peut-être les attirer » rétorque Kitetoa, qui était jadis familier de « hackers » dont les principaux combats étaient techniques, comme la rétention de failles en contestation au full disclosure.

Un hacker est-il donc quelqu'un d'éthique, contrairement au « pirate » ou « cracker » ? « Parmi les meilleurs, les hackers blancs n'existent pas. Ils sont tous gris. Par prudence, ils ne vont pas parler de ce qu'ils font, ou dans un groupe très fermé de dix personnes » estime encore Kitetoa. En fait, « personne ne sait définir le hacker. C'est le challenge, tu t'es bien marré avec tes potes parce que tu as relevé un défi technique. C'est une philosophie » résume le président d'Hackerzvoice.

Diversifier les recrutements, monter le niveau

Pour sa part, l'armée semble conserver une définition très « offensive » du hacker. « La communauté des hackers est effectivement une cible de séduction intéressante, mais pas la seule » nous affirme le lieutenant-colonel Hervé.

« Aujourd'hui, nous avons un choix de communication beaucoup plus assumé par nos autorités politiques. Cela remonte déjà à quelques années, avec le livre blanc de 2008 qui a commencé à consacrer une petite part à l'offensif. Petit à petit, la communication s'ouvre sur cette activité, qui demeure particulièrement sensible » poursuit-il. Dans son choix, « nous ne sommes pas à la recherche d’un profil spécifique, type hacker. [...] Nous donnerons la primeur à servir l'État avant la compétence du hacker ».

Pour l'ANSSI, la Nuit du Hack, Hack in Paris et les événements auxquels elle participe permettent de diversifier ses cibles, de se montrer, avec la promesse de missions uniques. La base reste tout de même la sortie d'école. « On a la conviction qu'il est important de les former, pour qu'ils puissent aller dans des ministères ou des entreprises privées, pour véhiculer la bonne parole. On recrute aussi des personnes déjà formées, parce que nous avons besoin d'un management fort » répond l'agence.

Elle « essaime » ensuite ses agents dans l'administration et les entreprises, d'autant plus facilement que le tampon « ANSSI » est un gage respecté sur un CV. Dans un premier temps, l'agence était accusée de « voler » les recrues des entreprises du secteur, il y a quelques années. « C'est sur Paris, c'est bien payé, les sujets sont intéressants et ça fait cool de dire que tu n'as pas le droit de parler de ton boulot », secret défense oblige, résume un chercheur en sécurité.

Guillaume Poupard et les « gentils » cyberpompiers

L'ANSSI tend le bras vers les « hackers »... quitte à en faire parfois trop, selon certains de nos interlocuteurs. Dans son rapport annuel, l'agence met en avant ses sorties dans les médias et se montre très disponible pour la presse, bien plus que la moyenne des administrations. Un effort de transparence qui semble surtout limité par le secret défense. Le mouvement est attribué au directeur, Guillaume Poupard, en place depuis début 2014. « Poupard a gagné le pari de rajeunir l'ANSSI à tous les niveaux et ça sent » résume Bluetouff, de Bearstech et Reflets.

« Les missions ont évolué, la perception du cyber aussi. L'ANSSI en 2009 n'était pas du tout la même en termes de message et de pédagogie. À l'arrivée de Guillaume Poupard, le sujet commençait à arriver sur le devant de la scène. Il s'est donc dit qu'il faut sensibiliser » affirme l'agence, qui a récemment ouvert des cours en ligne sur la sécurité. « Je suis très favorable [à la communication large], mais je n'ai pas eu à pousser beaucoup. C'est lié à la topologie des agents, avec une moyenne d'âge de 30 ans, qui allaient à la Nuit du Hack avant de venir à l'agence, fondamentalement » nous déclare Guillaume Poupard.

L'agence est donc devenue un « bon client » pour les journalistes. « Poupard est même un trop bon client, c'est presque suspect ! » glisse un journaliste présent à la NDH. Son prédécesseur, Patrick Pailloux, avait déjà entamé cette ouverture, mais sans commune mesure avec l'actuelle. « C'est un caméléon », résume anonymement un membre de l'agence. Pour Kitetoa, il serait aussi à l'aise dans des réunions interministérielles que dans des événements de hacking. « Maintenant le directeur de l'ANSSI est une figure publique, alors que personne ne connaissait la DCSSI avant » note un autre chercheur en sécurité.

« La démarche de l'ANSSI est très claire : ils ont très envie d'élargir le spectre de l'embauche et probablement leurs compétences » avec de possibles velléités offensives, perçoit encore Kitetoa, même si l'action est pour le moment défensive. « Dans le monde actuel, il est légitime pour chaque État de mener de l'offensif et du défensif, de recruter des hackers... Tu n'es pas non plus obligé de te construire une façade, les Américains sont beaucoup plus directs depuis les années 2000 » replace le rédacteur-en-chef de Reflets.

« Il faut sortir du débat gentil ou méchant et peut-être avoir une vision un peu plus mature, répond Tris Acatrinei. Tout n'est pas à jeter dans ce que fait l'ANSSI. On avait besoin d'une entité de ce type, pour diriger les administrations et collectivités. L'ANSSI, c'est beaucoup de communication pour essayer de draguer, d'apprivoiser un milieu réfractaire à la notion d'État. »

TV5Monde, support publicitaire pour la Défense française

Dans cette vaste opération de communication, l'attaque en 2015 de TV5Monde est une aubaine. Elle est désormais exploitée par l'ANSSI et le ministère des Armées, Arnaud Coustillière s'y référant lors de sa conférence à la Nuit du Hack. Surtout, deux agents de l'ANSSI ont mené un retour d'expérience sur l'incident début juin, en clôture du SSTIC, un événement français prisé des spécialistes de la sécurité pour son niveau technique.

« C'est de l'opportunisme. On s'est rendus compte que l'enceinte était favorable pour le montrer, que les agents le souhaitaient aussi... Ce n'est pas facile de toujours travailler dans l'ombre. Ils étaient contents de dire ce qu'ils faisaient. Au niveau opérationnel, je peux parler de 1 % de ce que je connais, et c'est parfois frustrant. TV5, c'est le cas concret à mettre en avant » affirme Poupard.

Publiquement, les réponses à ce retour sur un événement jusqu'ici « secret défense » sont (presque) unanimement positives, levant un coin du voile sur le travail de l'agence. « Le forensic de TV5Monde, c'est exceptionnel, c'est même une première que ce soit public. Mais ils ne font que ce qui se fait déjà dans d'autres pays » retient Bluetouff.

En privé, certains critiquent le manque de détails, voire une version éloignée de la réalité. « La conférence de TV5Monde est probablement là pour attirer des gens. Tout ne s'est vraisemblablement pas passé comme ils l'ont raconté. C'est trop beau pour être vrai. On dirait un Disney, c'est tout lisse, tout beau » estime Kitetoa. Le manque de marqueurs de compromission (IoC) est critiqué.

S'il faut attirer les « hackers » avec des missions intéressantes, alors TV5Monde est un pinacle, dont peu est encore public. « Ça a été beaucoup discuté, évidemment, aussi avec la victime, qui se fait une mission de témoigner. Tout ce qui est dit est pesé. On a une communication forcément maîtrisée. Il est hors de question de dire quelque chose qui pourrait aider des attaquants, qui pourrait mettre en défaut des éléments de sécurité » nous répond le directeur de l'ANSSI. Les vrais secrets resteront donc cachés.

La remontée de failles protégée, avancée « hackers friendly »

Un autre argument de l'ANSSI vers les « hackers » est l'article 47 de la loi Lemaire de 2016, censé permettre de remonter sereinement des failles de sécurité à une entreprise ou institution via l'agence. Le tout serait d'être « de bonne foi », pour qu'elle vous protège. Il faut dire qu'en dehors de la criminalisation par l'État, les procès quasi-systématiques par les entreprises auxquelles quelqu'un remonte un problème est un traumatisme partagé par de nombreux « hackers ».

De son côté, la société Yes We Hack (très proche d'Hackerzvoice, donc de la Nuit du Hack) a monté ZeroDisclo, pour remonter anonymement des failles. 30 centres de réponse à incident (CERT) s'y sont inscrits, pour environ 70 signalements pour le moment, compte Guillaume Vassault-Houlière.

C'est à la Nuit du Hack, d'ailleurs, que ce dernier et d'autres « hackers » ont réclamé une protection des remontées de vulnérabilités à Guillaume Poupard, qui l'aurait obtenu de la secrétaire d'État au numérique d'alors, Axelle Lemaire. Une victoire commune ? Au moins pour l'image de l'agence, pensent certains de nos interlocuteurs, qui rappellent qu'un « hacker » peut toujours être attaqué après un signalement.

Les résultats du dispositif semblent, eux, voués à rester confidentiels. « Pour les lanceurs d'alertes au sein des opérateurs d'infrastructure vitale [qui voudraient faire fuiter des informations confidentielles], ils sont clairement les adversaires (vu que le rôle de l'ANSSI est aussi de protéger ces infrastructures contre les fuites de données) » estime par ailleurs Okhin.

La Nuit du Hack, « cheval de Troie » ?

Le week-end dernier, l'ANSSI se sentait en tous cas chez elle. Les deux Guillaume (Poupard et Vassault-Houlière) s'appellent par leur prénom et vantent leur proximité. « Ici, on n'a que des hackers éthiques. Il y a quelques années, le terme hacker avait une connotation négative, à laquelle nous nous opposons. Le hacker est un bidouilleur, donc nous voulons soutenir cette communauté » nous affirme l'agence.

Guillaume Poupard ANSSI NDHXV
Guillaume Poupard, directeur de l'ANSSI, à la NDHXV - Crédits : Guénaël Pépin (licence: CC by SA 4.0)

« Comme le disait Guillaume [Vassault-Houlière], il y a 15 ans, ces gens étaient vus par l'État comme des libertaires un peu dangereux. De fait, ces communautés se rapprochent » aujourd'hui, ajoute Poupard. « J'aime bien les organisateurs de la Nuit du Hack, car il est clair pour eux qu'on ne franchit pas la ligne rouge » renchérit-il. L'agence revient à chaque édition pour toucher les nouveaux venus, l'affluence de l'événement grandissant à chaque édition et l'ANSSI devant passer à 700 agents cette année.

« L'ANSSI essaie d'attirer plus largement l'attention, mais reste assez secrète sur son fonctionnement intérieur » rappelle Kitetoa. La communication se concentre effectivement sur les missions techniques, aux besoins importants de recrutement, alors que l'institution a aussi des missions de stratégie et d'expertise.

La Nuit du Hack est, en tous cas, un lieu privilégié avec quelques autres événements. En début de mois, un chercheur a renommé le SSTIC « l'ANSSTIC », appuyant la présence importante de l'agence. Il faut dire que l'événement, au rayonnement français, aurait des exigences de niveau universitaires, ce qui limite les propositions. Tout de même, « c'est vrai qu'on est trop présents. Je leur dis tous les ans [aux agents] de laisser de la place aux autres » répond Poupard.

Elle ne s'affiche pas dans d'autres événements, comme Pas Sage En Seine, qui se déroule dès demain à Paris, au ton plus libertaire.

Des agences proches mais en concurrence

Dans l'absolu, la bonne image de l'ANSSI rejaillit-elle ailleurs ? Pas si sûr, quand le culte du secret reste la norme au sein des administrations. L'agence de sécurité elle-même se dit intransigeante sur le comportement de ses agents, qui doivent absolument inspirer confiance.

En discutant avec l'ANSSI et l'armée, la coopération est mise en avant. « On est très proches, même si on n'a pas le même périmètre. Typiquement, le CALID (Centre d'analyse de lutte informatique défensive) est localisé dans notre tour, à Mercure, au même étage que COSSI (Centre Opérationnel de la Sécurité des Systèmes d’Information), ce n'est pas le fruit du hasard » cite Poupard, qui y voit une tour de contrôle de la sécurité.

La coopération interservices fonctionne aussi sur le contrôle des réseaux sociaux (ici entre ministères des Armées et de l'Intérieur), l'une des dernières marottes du gouvernement. « La propagande de Daesh constitue une préoccupation de l'Etat. A cet effet, ce n'est pas la préoccupation d'un ministère en particulier. Il n'y a pas le ministère de l'Intérieur et celui des Armées chacun de son côté, mais des coopérations interservices très fructueuses. [...] Nous le faisons en coopération très resserrée sur ces sujets de lutte antiterroriste » détaille le lieutenant-colonel Hervé.

La communication reste le nerf de la guerre, notamment en termes politiques. « Il y a une compétition interagences pour le rôle et l'étendue des pouvoirs. Faire beaucoup parler de soi rend incontournable » estime Kitetoa. « Du fait du modèle français, nous avons la particularité d'effectuer de la prévention, de la défense et de la sensibilisation, sans action offensive. Nous pouvons donc communiquer largement » concorde l'agence, qui tient ici un avantage-clé face au public, pour qui elle doit rester une figure rassurante.


chargement
Chargement des commentaires...