Avec le temps, et à force de recevoir des sollicitations pas toujours catholiques[1], on développe un certain flair pour sentir les plans foireux. Et je dois avouer que celui-ci sentait assez mauvais dès le départ. Aussi je décidais de décliner la proposition, de manière suffisament sèche pour ne pas avoir de réponse. Les formules de politesses classiques en moins, ça donnait à peu près ceci :

Je ne sais pas qui vous êtes, je ne sais pas ce que vous 
entendez par "practicien du net" et je ne sais ce que vous 
voulez lui faire faire. Je ne peux donc pas vous aider.

Là, je pensais sérieusement que ça mettrait fin à l'échange. Que nenni. Une réponse tomba dans la minute :

Si vous preniez le temps d'attendre que je vous explique...
Vous pourriez sûrement me répondre.. ou alors votre CV sur
le net est un faux....

D'une part mon interlocuteur n'a manifestement pas compris que je n'avais juste pas envie d'approfondir son besoin. D'autre part, on voit clairement le passage au titillement grossier de l'égo. Avant de passer au fond du problème, qui ne fait que me confirmer ma première impression : cette histoire pue.

Je souhaite récupérer des données informatiques précises,
présentes sur un disque dur, auquel je n'ai pas accès bien
évidemment...

Ben oui, bien évidemment. Puisque c'est la saison du changement de registre, je décidais de la jouer taquin :

Le tout en accord avec le propriétaire du-dit disque dur et
en toute légalité bien entendu...

Quel lapalissade n'ai-je pas écrite ! Réponse :

Bien évidemment, il me suffirait de lui demander de "vive
voix" si c'était le cas...

Ben oui, bien évidemment. Suis-je con... Il y a des questions dans la vie qui n'appellent pas de réponse, et qui sont juste là pour faire réfléchir les gens sur les énormités qu'ils sont en train de sortir... Aussi, mon interlocuteur n'ayant pas l'air de vouloir comprendre où je voulais en venir, je décide de me montrer plus clair :

Bien évidemment... Votre histoire sentant l'illégalité à 
plein nez, je vous invite à solliciter quelqu'un d'autre.

Ce qui conduira au message final de la discussion, auquel je ne prendrai pas la peine de répondre. D'autant qu'il n'y a rien à répondre :

En général, faire appel à des gens comme vous, demande une
certaine ouverture d'esprit... disons qu'on flirte avec la 
légalité.
Il s'agit ni plus ni moins que de récupérer un listing de 
contacts chez un ancien employeur... rien de "sanglant"...
Merci qd même
Votre CV?  Très bien, c'est bien pour cela que je vous 
contactais...

Voilà. Je viens de me découvrir un CV de "pirateur à gage". Je ne sais pas ce qui dans ces quelques lignes a pu laisser penser que je puisse répondre favorablement à ce genre de requête. Ça me dépasse, ça m'énerve, mais au fond, ça ne m'étonne même pas. Malheureusement...

Ce que je trouve intéressant dans cet échange, c'est d'abord la vision toute banalisée de la criminalité informatique. En particulier le fait que ce ne soit pas "sanglant". On attendrait juste la comparaison qui va avec. Sanglant comme... un meurtre à la tronçonneuse ? Non, certainement pas. Il s'agit juste d'aller récupérer des informations illégalement chez un concurrent. Juste de la gnognotte en somme. Illégale, certes, mais de la gnognotte pas "sanglante", alors ça va...

Mais ce que j'adore par dessus tout, et que vous n'avez pas pu voir jusqu'alors, c'est l'incroyable naïveté qui semble accompagner tout cela. Car cette personne va alors contacter des amis dont le nom apparaît justement sur mon CV. De but en blanc, et en ces termes :

Après un échange avec Cédric BLANCHER, j'ai trouvé sur son 
CV en ligne vos coordonnées...

WTF ?! Le premier à m'en faire part avait compris en première lecture que je l'avais recommandé pour la réalisation de ce "projet". Ça pourrait m'énerver, mais c'est là que ça devient drôle. Car non content de contacter une floppée de parfaits inconnus, notre joyeux lurons a l'air de faire ça tranquillement de chez lui, depuis son Mac. Après vérification, l'unique IP ayant émis tous ces emails résoud chez un FAI français. FAI dont il utilise d'ailleurs le service de courrier électronique. J'en arrive même à demander si le nom qu'il fournissait en signature ne serait pas vraiment le sien... C'est d'une naïveté[2] sans fond. Ceci étant, la plupart des sollicitations de ce genre que j'ai pu recevoir, bien qu'essayant d'atteindre un minimum d'anonymat, n'y arrivaient pas mieux. Eux, au moins, essayaient...

C'est typiquement le genre de chose qui donne envie de devenir joueur, juste pour le plaisir. Mais bon, parfois, on a mieux à faire de ses journées...


Que des gens se prennent à imaginer certaines choses, on l'imagine. Surtout du temps où une certaine affaire batait son plein dans les médias. Mais là, j'ai juste l'impression d'avoir affaire à M. Michu[3]. Ce qui m'amène à m'interroger sur la manière dont sont vus les "gens comme moi", et plus largement tous ceux qu'on qualifie souvent de "hackers", y compris au sens premier du terme.

Par exemple, ce matin, la deuxième journée de Securitybyte commençait par une table ronde où le terme "hacker" a été prononcé un nombre conséquent de fois. Avec l'inévitable troll attaché à sa définition auquel je ne m'attendais pas à assister, ici, à une conférence de sécurité, en 2009. Je pensais qu'on avait quand même passé le cap des poncifs qu'on sert au grand public, à la TV et surtout aux heures de grande écoute. Des questions comme "Seriez-vous prêt à embaucher des hackers dans votre organisation ?" sont lourdes de sous-entendus, sans parler des réponses que ça suscite.

Autre exemple découvert récemment, ce reportage sur les "hackers" de National Geographic qu'on peut trouver en trois parties sur Dailymotion. Car s'il propose quelques commentaires intéressants et soulève des questions pertinentes, il ne peut s'empêcher de tomber systématiquement dans le stéréotype grossier. Le tout début de la seconde partie, quand ça commence à parler de Defcon, est particulièrement caricatural :

Autrefois, le piratage était hors-la-loi. Désormais, c'est un
choix de carrière...

Tout un programme pour les minutes qui suivent, avec le bon vieux concept des boîtes de sécurité et autres agences gouvernementales qui embauchent du pirate à tours de bras. On ne s'en lassera jamais, c'est clair. Et plus globalement, quand on voit des gens se proclamant "hacker" se donner en spectacle à la télé[4], on sent bien que l'image du "hacker" dans l'inconscient collectif n'est pas prête de changer. Au point que de nombreuses personnes préfèrent ne plus utiliser ce terme, ou encore pousse un peu plus la perception négative du terme en l'associant à des notions d'éthique. Le fameux "ethical hacker", appellation qui renvoie la plupart du temps à des archétypes comme Robin des Bois : un bon vrai hors-la-loi, mais gentil quand même. Ou un tueur à gage avec des principes. Un mec presque cool en fait...

Bref, j'ai l'impression que ce genre de stéréotype n'est pas près de disparaître, surtout dans un monde où la Cyber Security, le Cyber Terrorisme voire la Cyber Guerre sont devenus des concepts à la mode. Un monde dans lequel le "hacker", sur lequel il faut bien mettre un terme générique, se retrouve accusé de tous les maux, y compris les coupures de courant. Et là encore, devinez quoi ? C'est à la télé que ça passe...

Notes

[1] Non pas que j'en reçoive beaucoup, loin de là, encore moins depuis que je bosse chez EADS, mais régulièrement tout de même.

[2] Ou d'une grande efficacité s'il s'agit d'une usurpation d'identité complète.

[3] On tape assez sur Madame, il n'y a pas de raison pour que Monsieur ne prenne pas aussi...

[4] Faites-vous traduire par le premier germanophone de passage, c'est édifiant...