L'histoire de Baptiste, qui est hacker pour le Ministère des Armées
Apprendre l'informatique pour changer le monde
Toutes les semaines, l'émission Les casseurs de Code, donne la parole à des personnes qui ont appris le code pour ajouter une corde de plus à leur arc, de concrétiser des idées, de laisser libre cours à leur créativité, d'acquérir un état d'esprit. Ces personnes n'avaient pas toute vocation à devenir dev. Mais toutes ont découvert de nouveaux horizons et de nouveaux métiers. Comme dirait l'autre :
Code isn't the thing, it's the thing that gets us to THE thing.
L'histoire de Baptiste, qui est hacker pour le Ministère des Armées
Voici la retranscription de l'épisode de Baptiste, qui a fait THP en 2018. L'épisode est disponible au format audio à cette adresse. Et la retranscription ci-dessous :
Comment faire de la cybersécurité ? : Chapitre 19
Félix
Salut Baptiste !
Baptiste
Salut Félix
Félix
Tu as fait THP au printemps 2018, qui étais-tu avant ?
Baptiste
Avant THP je ne savais pas trop ce que voulais faire. J'avais fait 4 ans de droit, sans grand succès. J'étais arrivé à la fin de ma licence de droit et j'étais sûr que je voulais absolument pas travailler en droit.
Ça m'a appris plein de choses, mais j'étais sûr que ce n'était pas ça. Le problème c'était que les métiers du droit qui sont intéressants, que je trouvais intéressant intellectuellement, étaient hyper difficile d'accès et sont réservés à une élite dont je ne faisais pas partie. C’étaient des grands concours qu'il faut avoir plus tard et continuer la fin de ton cursus en droit en espérant avoir ces concours qui sont hyper sélectifs et de plus en plus durs.
Les rater c'est les refaire en boucle et donc s'offrir une vie à repasser des concours parce que tu t'es coincé dans un trou de souris et t'essaies juste de forcer la porte. Ou tu sors de ce truc là et te dit que le droit, il n'y a pas assez de débouchés c'est trop galère. J'allais forcément finir mes années de droit et essayer de trouver un taf alimentaire en droit, mais qui ne me plaira pas donc l'enfer. Donc je voulais pas faire ça, je suis parti.
Donc tu te retrouves avec rien, j'ai fait une petite année sabbatique en essayant de savoir ce que je voulais faire. Vers le milieu de l'année, je me dis je crois que ce sera l'informatique.
Félix
Pourquoi ?
Baptiste
Parce que j'avais dans l'idée que c'était un métier dans lequel je pouvais utiliser mon esprit de déduction, mon esprit de raisonnement et avec le côté très pratique que j'aimais bien. Je suis l'ouvrier directement, je suis pas juste un donneur d'ordres, donc j'aimais bien ce côté-là. Et j'aimais bien aussi le fait que tu puisses te former à l'informatique sans repasser à la fac. Parce qu'après 4 ans de droit, autant dire que la fac, je voulais pas y retourner.
En mettant tout côte à côte, c'était sûr que je devais faire que de l'informatique. J'aurais pu faire des maths, je pouvais faire des choses plus scientifiques comme ça, mais c'était l'obligation de retourner en fac et d'obtenir quelque chose. Surtout qu'après, les débouchés ne sont pas non plus dingues.
Et donc entre deux-trois boulots de vendeur en magasin lillois, j'entends parler de THP sur Facebook. À l'époque où tu faisais une présentation dans la cave d'un bar. Tu m'as expliqué le concept, ce qu'on y apprenait et ce qu'on pouvait y faire. Et moi, ça m'a chauffé. Je me suis dit voilà une école un peu différente où il n'y aura pas d'amphis, où on va me laisser m'exprimer, où je vais pouvoir faire des trucs assez rapidement. Ça avait l'air intéressant.
Félix
OK, tu dis que tu allais tester l'informatique pendant ces 3 mois à THP, mais ça s'est passé comment ?
Baptiste
Ça s'est vraiment bien passé. On commence très vite à faire du code et avoir des rendus. Avec le rendu tu te rends compte de ce que tu es capable de faire. Ça m'a pris du temps. C'est laborieux, mais je suis capable de faire ça. Ça donne envie d'approfondir, ça me donne envie de dire comment je peux améliorer ?
J'étais dans la position où je m'offrais une seconde chance, j'avais envie de l'attraper et de la serrer très fort contre moi, et de dire à mes parents je peux faire quelque chose qui ne sera pas vendeur, je peux faire quelque chose qui a plus d'avenir et plus de débouchés. Donc j'attrape ma seconde chance au moment de THP, je me donne à fond. Je fais partie de ceux qui ont vraiment beaucoup travaillé pour approfondir ce qu'on nous donnait à THP. Justement pour sortir du lot et réussir cette seconde chance.
Donc ça s'est très bien passé, puisqu’avec ce bagage là j'ai été le meilleur de mon groupe. C'était vachement satisfaisant de pouvoir aider les autres, en plus ça te fait apprendre deux fois mieux. Le fait d'apprendre toi-même, puis ensuite d'aider les autres, ça te forme doublement. C'était hyper intéressant et ça a été comme du petit lait, super agréable et super sympa.
Félix
Et la formation en elle-même comment ça s'est passé ?
Baptiste
Ce qui est trop bien, c'est que comme vous avez parfois plusieurs villes avec lesquels vous pouvez travailler, moi je m'étais autorisé à changer de ville de temps en temps. A la fin pour mon projet final, je m'étais dit je quitte Lille et je vais à Paris. Je vais rencontrer les Parisiens et voir comment on travaille sur Paris.
Comme en plus on avait le Discord pour pouvoir se rencontrer et échanger à distance, je connaissais déjà deux-trois têtes et je suis allé les voir, on a travaillé ensemble et on a fait notre projet final ensemble. Et ça se passait super bien, on avait un bon petit groupe bien soudé, on s'est enfermé dans une baraque et on a fait ça pendant deux semaines.
D'ailleurs, je les vois encore. C'est des amitiés qui sont restées, je les revois toutes les semaines. C'est aussi quelque chose que tu peux avoir avec le bagage THP, des nouveaux amis et des nouveaux contacts pour une nouvelle vie.
Félix
Et donc après THP ?
Baptiste
Je me suis dit j'ai découvert les métiers de l'informatique mais qu'est-ce que je veux faire en informatique ? Et moi je suis un petit filou, je me suis dit un petit côté un peu marrant c'est aller voir du côté de la sécurité. J'avais commencé pendant THP à découvrir les métiers du code et les métiers de l'informatique qui gravitent autour. Ceux de la sécurité avec les hackers m'intéressaient. Je voulais savoir ce qu'on y faisait ? Est-ce que c'est vraiment aussi fun que ce que les gens disent ou ce que ça a l'air d’être ?
Félix
Pourquoi ça t’intéressait ?
Baptiste
Il y a le petit côté premier de la classe qui dit OK, les gens codent mais moi je veux être plus fort que ceux qui codent, parce que je veux mieux comprendre comment leurs codes fonctionnent et je veux pouvoir en abuser. Le petit côté un je veux me pavaner et je veux être le plus fort. Et donc si tu veux être cette personne-là, la sécurité c'est le bon moyen de dire à tout le monde je vous nique tous puisque tu as cette capacité-là.
Et puis il y a le côté curieux, le côté un peu métier de l'ombre, le côté grand méchant mais au service du bien ... Tout l'imaginaire que tu peux avoir derrière qui était intéressant. Et donc je suis allé voir, ça me coûtais rien et j'ai découvert comment se former en cybersécurité, quelles étaient les voies ? Quels étaient les moyens ? Et à quel point c'est difficile de trouver du taf dans le domaine.
Félix
Beaucoup d'appelés, peu d'élus ?
Baptiste
C'est toujours pareil. Ce sont les métiers pas d'élites, mais c'est une spécialité et il faut déjà avoir une base et ensuite accéder à ce milieu-là. Sachant qu'en plus, ce sont des milieux qui sont un peu crispant sur la sécurité, c'est un peu crispant pour la boite. En général, il y a peu de budget alloué sur une entreprise donc ils veulent tout de suite le meilleur pour pas cher. Donc les meilleures places sont très rares, il faut bien montrer patte blanche. C'est pas facile mais il y a des portes d'entrée.
C'est vrai que la sécurité, c'est un peu le truc où une entreprise se dit qu'il n'y a pas de problème, le code est bien fait et donc pas besoin d'allouer du budget sécurité.
Ils disent qu'ils peuvent faire confiance à leurs dévs, mais les dévs ont un minimum de formation en sécurité, donc ils vont pas faire n'importe quoi. Ensuite, ils se disent que ça va rajouter plein de problèmes et que ça va rajouter de l'entropie. Donc, qu'ils ne vont plus pouvoir faire ce que qu'ils veulent et évoluer à la vitesse qu'ils veulent.
Par exemple, chez les startups, c'est typiquement le genre de truc qu'on n'aime pas avoir parce qu'on se dit qu'il va nous empêcher de faire des trucs pas propre, alors que nous on aime bien faire des trucs pas propre parce que ça va vite.
Félix
Mais alors question toute simple, qu'est-ce que la sécurité ?
Baptiste
Alors la sécurité c'est un milieu hyper vaste. Vous avez plein de façons d'exercer le métier de sécurité en informatique. Ça peut être rajouter une connaissance supplémentaire par rapport aux dev moyens. Être le monsieur sécurité qui va s'assurer que le dev fait bien son travail et que c'est sécurisé. Il va peut-être aussi se permettre de configurer les outils à la place du dev, configurer des pièces rapportées.
Par exemple, la base de données quand c'est fait par un développeur, il va se dire je ne mets pas de mot de passe parce que c'est plus chiant de rajouter un mot de passe etc. La personne qui s'occupe de la sécurité va dire oui, il faut mettre un mot de passe. Il faut même mettre plusieurs utilisateurs sur la base de données, leur donner des rôles différents. Et donc, c'est une personne qui va peut-être s'occuper de ça.
Elle peut aussi s'occuper de rajouter des interfaces qui vont sécuriser, qui vont essayer de filtrer tout ce qui arrive dans ton application. Ils vont peut-être rajouter des pares-feux, rajouter des règles filtrantes pour essayer d’empêcher par exemple des bots de récupérer tout ce qui a comme contenu sur ton site.
Donc ça, ça peut être le côté un peu dev où on va essayer de diminuer les risques d'une boite. Et on va avoir les autres côtés où on va faire plus un métier de consultant, on va essayer de tester, on va essayer de découvrir, de venir après coup. Donc après avoir fait toute cette étape de sécurisation, on va venir se dire est ce que maintenant, est ce qu'il y a un moyen de venir détruire l'outil qu'on a créé, un moyen de le détourner ?
Est ce qu'il y a un moyen de le récupérer et de le mettre à sa pomme afin de récupérer de l'argent, des données ? Donc ça va être plutôt le métier que j'exerce actuellement. Ç'est faire des tests d'intrusion.
L'objectif, c'est de jouer le rôle du grand méchant. De se dire qu'on connait toutes les méthodes des grands méchants, j'ai les mêmes outils qu'eux et je vais essayer de démontrer que ce n'est pas possible pour quelqu'un, dans le temps que je me suis donné, dans une semaine par exemple, de faire ce qu'on veut pas ce qui arrive à l'application. C'est à dire voler des données, détourner l'application, etc.
Félix
Mais alors, as-tu des petits conseils pour les gens qui veulent se former en cybersécurité ?
Baptiste
La formation cybersécurité si vous suivez pas les grandes écoles d'ingénieurs et si vous suivez pas les écoles spécialisées, vous allez avoir un certain mur. Mais vous allez avoir beaucoup de choses qui sont disponibles sur Internet, des livres qui ne sont pas très chers et qui vont vous permettre de découvrir de nouvelles choses. Et donc il y a tout un monde de certifications où finalement, vous allez avoir plein de certifications en cybersécurité et vous allez pouvoir vous dire OK les certifications sont trop chères, faut compter du 6000-8000 dollars pour passer la certification, sachant qu'en plus elles ne sont pas forcément toutes très intéressantes ... Mais cette certification, elles ont au moins l'intérêt d'exister.
Quand elles existent, elles arrivent avec un tronc commun, une base de connaissances à acquérir pour valider cette certification. Et les livres, les troncs communs et les bases sont disponibles sur Internet, que ce soit des vidéos YouTube, que ce soit des PDF accessibles en libre accès, que ce soit parfois des petites box pour pouvoir tester des connaissances et des capacités techniques sur un vrai ordinateur pour voir si on est capable d'être un hacker. Ce genre de choses qui vont vous permettre de démontrer des capacités et d'apprendre et de vous donner un tronc commun de connaissances qui vont vous permettre de commencer quelque part.
Félix
Je te propose de parler de ton métier actuel dans la cybersécurité, tu es hacker pour le ministère des Armées, quel est ton métier que tu fais au jour le jour ?
Baptiste
Au jour le jour je fais trois choses très différentes. On est dans une petite équipe, un petit bureau, on est sur de l'innovation. Je vais faire du suivi de projets, donc je vais faire du conseil auprès des devs pour justement un peu cette histoire de configurer les outils. Ce sera toujours à eux de le faire, mais je vais leur donner quand même deux ou trois règles à regarder et à quoi faire attention.
Donc ça c'est plutôt le suivi de projet au jour le jour avec les développeurs. Tu vas voir du côté un peu plus agile, par exemple l'analyse de risques qui est un atelier qu'on fait avec l'équipe de devs, que ce soit le Product Manager qui en fait le chargé de projet et les dévs et même l'UX, l'UI tout le monde a intérêt à y être. Toutes les personnes qui travaillent sur le projet et même parfois les utilisateurs finaux, donc ceux pour qui on crée l'application, vont avoir intérêt à être autour de la table et on va venir se poser des questions sur les fonctionnalités de la nouvelle application ou du projet qu'on va créer. Je vais prendre mon exemple de la porte.
Par exemple une porte, c'est un outil qu'on connait tous très bien et qui a deux fonctions. Garder quelqu'un en dehors de l'autre côté d'une porte, d'empêcher que quelqu'un rentre, ça c'est son but. Mais du coup elle a deux fonctionnalités, ça va être de s'ouvrir et de se fermer. On parle même pas de la possibilité d'avoir une serrure. Et on va se dire OK, maintenant j'ai mes fonctionnalités de la porte et je vais me demander est ce qu'il y a un risque inhérent au fait que la porte s’ouvre ? Est ce qu'il y a un risque inhérent au fait que la porte se ferme ? Donc là, tout le monde autour de la table peut donner des idées.
De dire qu'il y a un risque quand j'ouvre la porte, il y a quelqu'un qui peut se la prendre dans la tête parce qu'il est derrière cette porte. Est-ce que c'est un risque qu'on prend en compte ? Est ce qu'on décide de réduire ce risque ? Est-ce que c'est un risque qu'on accepte ? Est-ce que c'est un risque qu'on a envie de supprimer ? Donc, il existe des méthodes. C'est un atelier qu'on fait en équipe et on essaye de revenir sur toutes les fonctionnalités de l'application et de vérifier qu'on n'a pas oublié quelque chose, qu'on n'a pas un trou dans la raquette ne serait-ce qu'à l'étape de la conception.
Et ensuite, vous allez avoir le processus de l'homologation qui est un truc plutôt formaliste où l'armée va venir te demander si vous avez suivi les standards et si vous êtes une application qui mérite d'être utilisée par les militaires derrière.
Et il va y avoir le test technique, celui qu'on appelle le test d'intrusion qui va suivre certaines règles, essayer de faire une checklist de tout ce qu'un attaquant pourrait faire et essayer de voir si ça marche. D'essayer de trouver des trous dans l'application, de trouver des failles de sécurité, des problèmes... L'objectif c'est d'en trouver un maximum et ensuite conseiller les dévs pour enlever les trous très simplement.
Donc on se forme à comment un attaquant fonctionne. C'est pour ça que c'est aussi intéressant d'avoir un background, d'avoir des connaissances sur comment une équipe de dévs fonctionne. Ça te permet de ne pas fonctionner avec une boite complètement noire, d'avoir une idée de comment un projet est architecturé, comment telle fonctionnalité peut être faite et comment elle peut être mal faite. Ça permet d'avoir une idée de ce que tu retrouves derrière. Parce que quand tu te retrouves devant un site, si tu n'as pas une vague idée de comment il est construit, c'est compliqué de venir en abuser les faiblesses.
Félix
Est-ce que THP t'as donné des bases, que soit en informatique ou dans d'autres compétences, pour faire ce métier actuel ?
Baptiste
Complètement. THP ça te donne les compétences et la capacité de créer un projet de zéro. Tu te retrouves vraiment dans le côté pragmatique que va avoir une boite, créer un outil le plus rapidement possible, récupérer du code à droite à gauche, récupérer les outils et donner le plus possible le plus vite possible un outil dans les mains de l'utilisateur. Donc, une fois que tu as appris cette façon de travailler, qui est une façon de travailler très efficace, tu vas pouvoir te dire la plupart des devs et des boîtes fonctionnent comme ça.
THP ça apprend à coder d'un projet de zéro et donc les bonnes bases pour imaginer un projet. Et ça donne en général les bonnes clés pour imaginer comment un projet a pu être fait. Alors derrière, il y a plein d'outils, pleins de façons de coder, mais vous avez les bonnes bases en sortant de THP pour imaginer comment un projet on le construit. Et donc ça c'est super. Ce sont exactement les bases qu'il faut pour se lancer.
Félix
Et alors, réalité versus les séries ?
Baptiste
La réalité est quand même beaucoup moins fun. Faut pas se lancer dans ce métier là si t'as pas envie de travailler. Il existe des métiers en sécurité qui vont être plus ou moins procéduriers, mais le mien par exemple qui est celui du test d'intrusion, ça demande quand même de suivre au moins une checklist pour essayer de ne pas laisser de trou dans la raquette. Tu suis quand même quelque chose, tu ne vas pas comme un bourrin tout droit.
Et aussi, on est très content qu'on trouve une faille, mais trouver une faille ça ramène beaucoup d'autres choses. Ça ramène le fait que tu doives la décrire sur un rapport, donc il faut écrire un rapport et il faut le faire de manière assez complète pour que les gens qui le lisent va comprendre le rapport. Donc il faut être didactique et se faire comprendre.
Donc à un moment, il va falloir quand même arrêter d'être avec sa petite capuche tout seul dans son coin. Il va falloir s'ouvrir au monde et expliquer ce qui se passe pour que les gens puissent régler le problème. L'objectif ce n'est pas seulement d'être le plus grand méchant et d'être le plus fort, c'est aussi de rendre accessible et de permettre aux gens de régler leurs problèmes. Et pour ça, ils ont besoin de comprendre ce qu’est le problème, comment il est venu et comment ne pas le reproduire.
Donc très vite le métier de personne qui fait des tests d'intrusion se transforme en consultant en cybersécurité et en bonne pratique. Et à ce moment-là, on fait beaucoup plus de l'humain, de transmission et d'écriture.
Félix
Est-ce que trois ans et demi plus tard, tu es satisfait de cette reconversion ?
Baptiste
Carrément. Je trouve que là où j'en suis, je trouve ça très intéressant. Je continue d'apprendre de nouvelles choses tous les jours, mais je pense que je vais encore continuer d'élargir mon champ des compétences. Dans pas trop longtemps je vais vraiment me former à l'électronique. Je vais essayer de rejoindre le côté un peu plus physique de la sécurité et donc commencer à vraiment faire des choses de vrai hacker. C'est à dire commencer à pouvoir avoir des petits gadgets sur moi, commencer à essayer de bidouiller des trucs avec les ondes ... D'explorer autre chose.
Pour l'instant je fais des tests d'intrusion, mais qui sont circonscrits aux métiers du Web. Je peux faire des tests d'intrusion sur des applications Web, sur des sites Web et sur beaucoup de choses. Mais il y a d'autres choses qui ont l'air marrantes, qui concernent le monde un peu plus physique et un peu plus dans la vie de tous les jours. Donc ça va être le Bluetooth, la wifi, les objets connectés, toutes ces choses qui sont directement dans ta main et qui sont pas forcément un téléphone ou un site web.
Félix
Est-ce que tu as un conseil à donner aux personnes qui écoutent ?
Baptiste
Il tient en une phrase, une connaissance n'a de valeur que si elle est transmise. C'est très peer-learning. Pour faire n'importe quel métier en informatique, il faut aimer transmettre, aimer permettre aux gens de comprendre ce que tu es en train de faire, aimer donner les clés aux gens qui sont autour de toi qui ne comprennent pas forcément ton métier, aimer leur permettre d'être à leur tour des relais pour la connaissance.
Dans l'idée c'est par exemple en sécurité, quand tu fais des tests d'intrusion, c'est facile de venir taper sur tout le monde. De dire vous faites n'importe quoi, vous avez suivi aucun des standards et vous êtes vraiment nuls. Ça c'est quelque chose qui est facile et qui est assez positif pour ton égo. Mais la façon dont tout le monde avance, c'est quand même d'expliquer aux gens pourquoi ils ont eu ce problème, d'expliquer que c'est normal de faire des erreurs, de venir calmer le jeu et d'expliquer comment cette erreur n'arrive plus, d'expliquer à tout le monde pourquoi on fait de telle façon et pas d'une autre. Et pourquoi c'est mieux d'y réfléchir en amont et pas en aval. Tu peux pas faire un métier en informatique si t'as pas envie de répandre un peu de connaissance et de la transmettre, de permettre aux gens de s'informer sur le sujet.
Félix
Merci beaucoup d'être venu Baptiste
