Avec bienveillance et pédagogie, Baptiste Robert rend accessible la cybersécurité et le renseignement en source ouverte (Osint), pour les twittos afin de démontrer qu’on peut être hacker et éthique
Baptiste Robert, qui se définit lui-même comme un « hacker éthique », donne des conseils sur la façon de se lancer dans l’Osint (Open Source Intelligence), le renseignement en source ouverte.
Selon lui, il est important d’être particulièrement prudent avec ces données collectées. L’expert met en garde sur l’utilisation qui pourrait être faite des masses d’informations en ligne concernant le conflit en Ukraine.
Il est particulièrement populaire sur Twitter où son compte @fs0c131y est suivi par plus de 240.000 followers. Baptiste Robert, expert en cybercriminalité et dans l’Osint (Open Source Intelligence), le renseignement en source ouverte, se présente comme un « hacker éthique ». Un véritable Robin des Bois de la donnée, qui redonne aux plus démunis numériquement, leurs droits. « Le plus gratifiant pour moi aujourd’hui, c’est d’avoir un impact sur la vie des gens, en rétablissant par exemple, la confidentialité sur des données personnelles qui ont fuité ».
Le trentenaire toulousain, qui a fait ses armes pendant la crise des « gilets jaunes », est devenu célèbre en repérant des failles de sécurité, principalement sur des sites et applis mobiles gouvernementaux français, indien et américain. Aujourd’hui à la tête de Predicta Lab, sa propre société spécialisée dans l’outillage numérique pour faciliter le renseignement en source ouverte, il continue de distiller en ligne ses conseils en toute bienveillance, notamment concernant la guerre en Ukraine et la masse d’informations disponible sur les réseaux sociaux.
Pour commencer, c’est quoi un « hacker éthique » ?
Vous connaissez la série Mr Robot ? C’est l’histoire d’un hacker, Elliot Alderson, qui est psychotique et paranoïaque; il essaie de faire tomber la plus grosse banque du monde. Dans quel but ? Celui de redonner de l’argent aux gens. C’est exactement ce que je voulais faire quand j’ai « rebrandé » mon compte Twitter en 2017 : si Elliot Alderson existait dans la vraie vie, comment tweeterait-il ? Sur quelles problématiques ? Je voulais incarner un personnage impertinent, qui transgresse les règles (puisqu’hacker) et qui dans le même temps veut faire le bien, le tout arrosé d’une bonne touche d’éthique. C’est mon fil conducteur et je tente toujours de m’y tenir, de faire honneur à ce costume de « hacker éthique ».
Je fais de la cybersécurité pour les gens : quand je trouve une faille de sécurité, mon intérêt, c’est, par exemple, de rétablir la confidentialité sur des données personnelles qui ont fuité. J’aime le côté technique et la complexité des détails, mais ce ne sont pas mes moteurs. Le plus gratifiant pour moi aujourd’hui, c’est d’avoir un impact sur la vie des gens. Il y a une vraie démarche bienveillante de dire aux entreprises, aux sociétés, aux gouvernements ou autres : « j’ai trouvé une faille de sécurité, je viens vous aider sans problème et sans contrepartie, à améliorer votre sécurité ». Je ne suis pas là pour vous hacker, pour vous extorquer de l’argent, ça ne m’intéresse pas. Je vais faire en sorte que le produit que vous avez créé et qui comporte quelques soucis, puisse devenir meilleur si nous le réparons ensemble.
Quand avez-vous commencé à enfiler ce costume de « hacker éthique » ?
En 2017, comme tout technicien, tout développeur, j’ai eu l’idée d’un projet annexe en plus du « travail de la journée ». Pour m’en saisir, j’ai exhumé mon compte Twitter que j’ai nettoyé, j’ai changé la photo et@fs0c131y était né. Ce pseudo est le nom du groupe de hackers dans la série Mr Robot, qui m’a beaucoup inspiré à la création de cette activité. Il comporte aussi un clin d’œil à l’écriture L33T, une tradition dans le milieu des hackers.
Mon projet annexe à l’époque était de comprendre ce que contenait mon portable One Plus, s’il comportait des failles de sécurité. J’ai trouvé quelques informations et je les ai postées sur mon compte en novembre 2017. C’est parti très vite et très fort, avec notamment la découverte de failles de sécurité dans l’application mobile du Premier ministre indien début 2018.
Quel est votre parcours ?
Je suis diplômé de l’ENSEEIHT, je suis ingénieur télécoms et réseaux mais je n’ai jamais exercé ce métier. En sortant de l’école, j’ai fait du développement d’applis mobile chez Intel, où j’ai appris de nombreuses choses pendant quasiment trois ans, ce qui m’a permis de connaître relativement bien les entrailles du système d’exploitation Android. Puis je me suis spécialisée dans la customisation d’Android, j’étais développeur et je fabriquais des versions propres d’Android. Ensuite, j’ai travaillé pour une société de téléphones, Doro, qui fait des appareils pour les personnes âgées, vendus dans les supermarchés, dans les Fnac… Puis, j’ai glissé vers la cybersécurité, où j’ai travaillé dans la recherche de vulnérabilités et sur la désinformation, notamment pendant la crise des « gilets jaunes ». Pour Twitter, c’est une opportunité : j’ai vu de la lumière, je suis entré et ça a rapidement décollé.
Pourquoi avoir créé Predicta Lab en mars 2020 ?
J’ai fait plusieurs analyses sur le mouvement des « gilets jaunes ». Avec ma casquette de « hacker éthique », j’ai essayé de chahuter le statut quo et de trouver des nouveaux moyens transgressifs pour aller attaquer un problème d’une manière différente. Pour les « gilets jaunes » par exemple, en discutant sur Twitter avec ma communauté internationale spécialisée en cybersécurité, je me suis rendu compte que les étrangers avaient une perception vraiment biaisée : c’était le bordel certes, mais ce n’était pas la guerre. J’ai donc posé la question : y a-t-il une tentative de manipulation de la perception du mouvement des « gilets jaunes » ? Une question extrêmement précise. Et ensuite : Quelles données vais-je pouvoir capturer et analyser ensuite pour vérifier s’il y a tentative de manipulation ? Si c’est le cas, qui est derrière ?
Consécutivement à ce travail d’analyse, qui a d’ailleurs été largement repris dans la presse, j’ai discuté avec le service d’information du gouvernement (le SIG) pour tenter de comprendre comment il procédait. Or, leur technique s’est avérée inefficace : en commandant trois études à trois start-up sur le même sujet, il a obtenu des conclusions différentes, avec des données collectées qui ne sont pas identiques. Bref, il a été incapable de prévoir le mouvement et pendant les manifestions, il est passé à travers les radars. Sans parler de l’argent dépensé.
Chez @PredictaLabOff, on veut rendre l'#OSINT et la #GEOINT accessible à tous.
On est fier de vous présenter notre dernier article en français qui vous explique pas à pas comment localiser une vidéo provenant d'#Ukrainehttps://t.co/M28DDLkWbd
— Baptiste Robert (@fs0c131y) April 15, 2022
J’ai donc réfléchi à une solution capable d’extraire de manière automatique de l’information sur tous les sites pour tout le monde. J’avais déjà fait de l’Osint, mais à la marge. J’ai constaté que la communauté du renseignement en source ouverte est majoritairement utilisatrice des outils disponibles mais pas créatrice. Je savais qu’on pouvait faire mieux et plus rapidement. Logiquement, j’ai créé Predicta Lab et je manage aujourd’hui huit personnes.
Comment en arriver à « auditer » l’application du Premier ministre indien ?
En 2017, ma règle de départ était de me dire « je vais auditer un site ou une appli si j’ai quatre ou cinq personnes qui m’envoient des messages sur Twitter à ce sujet ». Ça a été le cas pour l’application du Premier ministre indien. J’y ai trouvé des failles de sécurité et c’est remonté très haut : j’étais en lien direct avec le cabinet du Premier ministre et mon nom a été cité devant le Parlement indien. Le gouvernement d’Inde, à la suite de mon passage, a lancé une campagne de sécurisation de ses sites et applis. Certains d’entre eux ont été fermés ou mis à jour. Les répercussions ont été concrètes dans le pays.
Sur la guerre en Ukraine, quels sont les conseils que vous apportez ?
Je préconise d’être particulièrement prudent et de bien réfléchir avant de publier les renseignements en source ouverte sur cette guerre. Il ne faut pas banaliser un conflit où des personnes se font tuer, où les renseignements communiqués peuvent être utilisés à des fins malheureuses.
Yesterday night I found the location of a video in #Ukraine. I didn’t post the result. Why?
It would have given the location of the person who filmed the video. Probably his home location
⚠️ You have no idea how this information can be used, the consequences for him.
— Baptiste Robert (@fs0c131y) March 5, 2022
La guerre en Ukraine aujourd’hui est une opportunité pour nombre de journalistes et de fait, pour une partie croissante de la population française, de découvrir ce qu’est l’Osint. De nombreux comptes Twitter balancent des photos ou des vidéos, tentent de trouver la localisation de ces médias et se lancent dans la géopolitique. Il y a un nombre important de contenus créés à partir de sources ouvertes. Or, cet intérêt grandissant pour l’Osint a aussi un côté plus sombre : que fait-on de l’intelligence, cette information capitale communiquée à tous ? Derrière cette publication, quelles vont être les conséquences sur la vie des gens ? Dans ce contexte, on parle d’un conflit avec des populations civiles, militaires. Localiser des troupes ukrainiennes, des voitures qui passent, des civils, ok, mais qui se sert de ces publications ?
Comment se lancer dans l’Osint ?
C’est une discipline qui demande beaucoup de temps. Il faut s’accrocher, essayer, tester, expérimenter, avoir beaucoup de méthode, discuter avec les autres, communiquer ses idées. Par définition, l’Osint est collaboratif.
“#OSINT means it’s public, so it’s fine”
NO, NO and NO. You confuse the availability of your source (open) with the intelligence you add on top. This is really important.
Before publishing anything think twice. Think about the risks. Again, it’s not a game. It’s a war. https://t.co/PmcW98Uc3r
— Baptiste Robert (@fs0c131y) March 15, 2022
Il faut aussi être inventif et créatif sur la manière de récupérer de l’information, s’attacher aux détails : qui, que, quoi, comment ? Les résultats ne sont pas forcément là dès le départ mais il ne faut pas hésiter à échanger avec les communautés, et même avec les « influenceurs du domaine », ces gens qui ont une grosse audience sur les réseaux sociaux. Pour progresser en compétences, il faut persévérer. Ce n’est pas un domaine où il y a forcément un rendement tout de suite. Mais il y a de la place pour tout le monde, il ne faut pas hésiter à se lancer.
20minutes