De Wargames à Mr. Robot, comment les hackers s'emparent d'Hollywood (et comment s'en protéger)

De l’asocial boutonneux mal dans sa peau au justicier anticapitaliste philanthrope, la figure du hacker fantasmée par Hollywood n’a cessé d’évoluer à mesure que la cybersécurité s’est mue en enjeu grand public. Et pour se protéger dans le monde réel, des sociétés comme Proton AG développent des outils toujours plus sécurisés.

Malgré tout, la représentation du pirate informatique, le plus souvent aux prises avec des organisations gouvernementales et des multinationales, reste stéréotypée. Un archétype qui manque encore cruellement de réalisme, alors que la romantisation du personnage fait perdre de vue l’essentiel : la protection des données personnelles en ligne, que l’on soit profil à risque ou internaute lambda.

Retour sur l’évolution du hacker à l’écran et mise en perspective avec les risques réels qu’il représente pour tous, dans la vraie vie.

Du cinéma au Congrès américain : Hollywood façonne l'imaginaire collectif

1983 : Wargames débarque sur les écrans du monde entier et s’apprête à bouleverser la perception que le grand public se fait du hacking. Sur fond de guerre froide, David Lightman, lycéen américain plus doué en informatique qu’en dissertation, accède par erreur à un supercalculateur du NORAD. Persuadé qu’il est parvenu à pirater les serveurs d’une entreprise éditrice de jeux vidéo, il lance une simulation de conflit atomique avec l’URSS qui manque de déclencher la Troisième Guerre mondiale.

Bien documenté et relativement éloigné de la projection très nerd que l’on se fait du hacker à l’époque, Wargames installe durablement la figure du cyberpirate dans l’imaginaire collectif. Il attise la curiosité d’une jeunesse qui grandit avec l’informatique autant qu’il effraie les anciennes générations. À tel point que le long métrage motive directement le vote du Computer Fraud and Act Abuse (entrée en vigueur en 1986) par le Congrès américain, loi qui, dans les grandes lignes, interdit l’accès à un ordinateur sans autorisation préalable ou outrepassant les limites des autorisations acquises.

Autres faits intrinsèquement liés à l’impact de la fiction sur le réel : l’arrestation et les conditions de détention de Kevin Mitnick, hacker dont les premiers actes de piratage en 1983 (tentative d’intrusion dans le réseau du Pentagone, connexion à l’ARPAnet, accès aux fichiers du département de la Défense américaine) rappellent de manière troublante le scénario de Wargames. Et si les scénaristes affirment n’avoir jamais entendu parler de Mitnick, alias Le Condor, au moment de la rédaction du script, la justice américaine, manifestement influencée par le film, décide de le placer un an à l’isolement sous prétexte que s’il accédait à un téléphone, il pourrait se connecter au NORAD et lancer un missile nucléaire.

L'absence de réalisme : gage de succès au box office ?

Depuis lors, les représentations du hacker au cinéma ont essentiellement évolué dans le sens du spectaculaire, bien souvent au détriment du réalisme, comme le veut la tradition Hollywood. En 1996, Mission impossible fait naître une scène culte dans laquelle Ethan Hunt (Tom Cruise) pénètre dans une salle informatique, suspendu à un filin. S’il parvient à déjouer toutes les mesures de sécurité les plus complexes, il accède à l’ordinateur avec une facilité déconcertante et copie sans peine des fichiers ultra-confidentiels sur une simple disquette.

Une crédibilité mise à mal par toute une série de films d’action à gros budget, où la surenchère d’effets pyrotechniques et de violence traduit ostensiblement une forme de paresse scénaristique d’un point de vue technique. Dans Opération Espadon (2001), Hugh Jackman manipule des cubes en 3D pour fabriquer un virus, pianote frénétiquement des lignes de code qui ne veulent rien dire pour s’introduire dans un réseau, revolver braqué sur la tempe. Dans Die Hard 4, ce ne sont pas les RSSI fédéraux qui contrent les cyberattaques d’envergure menées contre le FBI, la Bourse et les entreprises de gaz et d’électricité, mais bien John McClane, à coup de poings et de scènes de fusillades toujours plus sensationnelles.

Et quand la machine hollywoodienne fait l’effort de se documenter et de se conformer à un réalisme informatique relatif, la critique populaire ne suit pas toujours. En 2003, Matrix Reloaded fait débat à la sortie des salles de cinéma, mais suscite des réactions officielles de la part de la Computer Crime Unit de Scotland Yard, ainsi que de la British Computer Society. La raison de ce remue-ménage ? Une scène de moins d’une minute dans laquelle le personnage de Trinity pirate une centrale électrique à l’aide du scanner de port Nmap et exploite une faille réelle, révélée en 2001 dans un protocole de communication sécurisé.

Plus récemment encore, Michael Mann s’entoure d’experts du FBI et du Département de la sécurité intérieure pour son film Hacker (2015). Gros budget, mais aussi maxi flop, le film s’évertue pourtant à utiliser un vocabulaire et des techniques de piratage plus justes, alors que l’on parle de RAT (Remote Access Tool), de faille 0-day, d’edge routers, d’hébergeurs bulletproof, et que l’on montre à l’écran des désassembleurs réputés comme IDA et Hiew. Pour autant, et c’est peut-être la toute la difficulté d’adresser un sujet aussi complexe au grand public, le film de Mann succombe à des scènes invraisemblables, à l’image de ces quelques minutes durant lesquelles le héros dispense un cours sur Tor à une ingénieure réseaux pourtant spécialiste.

Du danger spectaculaire à la menace ordinaire

C’est plutôt du côté des séries TV qu’il faut se tourner pour voir émerger une manière plus nuancée et réaliste de représenter le hacker et le piratage informatique. En 2015, la première saison de Mr. Robot tape dans le mille en ce qu’elle formule une critique sociale plutôt que de s’astreindre à opposer les cyberméchants aux grandes puissances occidentales, rejouant l’éternel affrontement entre les blocs de l’Est et de l’Ouest.

S’il renoue avec les stéréotypes du personnage asocial, paranoïaque et atteint d’un trouble dissociatif de l’identité, mue par un désir irrépressible de justice sociale, le personnage d’Elliot Anderson use et abuse de techniques (ingénierie sociale, usages réalistes du Dark Web) et d’outils (DeepSound, FlexySpy, John The Ripper) absolument crédibles pour l’époque.

La série doit également son succès auprès du grand public en ce qu’elle expose et dénonce l’ascendant du numérique sur nos vies, à l’heure où l’on ne se pose plus la question de savoir si ce que l’on poste sur les réseaux sociaux ou ce que l’on communique aux entreprises du web représente un risque irréversible pour nos données privées, voire notre intégrité physique.

Même constat dans l’épisode Tais-toi et danse de Black Mirror, alors qu’un groupe de pirates anonymes fait chanter des internautes lambdas après avoir piraté leurs comptes, ordinateurs et webcams.

Et c’est là que ces deux shows tirent leur épingle du jeu. Au-delà d’une réalisation accessible sans (trop) tomber dans la caricature, Mr. Robot et Black Mirror pointent ouvertement ce que le cinéma a jusqu’à présent éludé : les cyberattaques ne visent pas seulement les États et autres corporations ou multinationales, elles concernent aussi les particuliers, aussi ordinaires soient-ils, et peuvent s’avérer tout aussi néfastes, même si l'on estime n'avoir rien d'important à cacher.

Revoir ses habitudes pour se protéger contre les hackers

Alors quelles sont les mesures à prendre pour s’épargner ce type de mésaventures ?

Première chose : il est essentiel d’adopter de bonnes habitudes sur le web. Concrètement, cela signifie choisir des mots de passe complexes et uniques pour protéger ses comptes en ligne, à renouveler tous les six mois, forcer les connexions HTTPS sur les sites non sécurisés HTTP, désactiver le JavaScript, adopter un bloqueur de publicités, de cookies et de traqueurs, mettre à jour son navigateur en temps et en heure, mais également tous les logiciels installés sur son ordinateur ainsi que le système d’exploitation, faire confiance à son pare-feu, ne jamais cliquer sur des liens ni télécharger des fichiers envoyés par des expéditeurs inconnus.

Partir du principe que tout ce qui est posté sur un forum ou un réseau social l’est durablement, et donc limiter la publication de photos et d’informations personnelles comme son nom et sa date de naissance, mais aussi son partage de position, d’opinion politique, de restaurants préférés, ou tout autre information qui peut sembler futile, mais participe à affiner le profil de l’internaute.

Seconde parade : utiliser des services et outils de communication sécurisés, qui empêcheront toutes tentatives d’interception de données sensibles échangées par messages ou sauvegardées dans des espaces de stockage en ligne.

Un service mail chiffré pour parfaire la protection de sa vie privée en ligne

Pour qu’un service mail chiffré soit digne de confiance, il doit être en mesure de répondre à une sélection de critères incontournables, garants de sa fiabilité.

Le point le plus important relève de la politique de confidentialité du fournisseur. Un service auquel vous déléguez la sécurité de vos communications doit lui-même être en mesure de prouver qu’il respecte votre vie privée. À ce titre, il doit appliquer une politique no-log stricte, c’est-à-dire qu’il doit s’engager à ne pas collecter, traiter, revendre les données qui circulent sur son réseau. On parle évidemment des informations relatives à l’inscription au service (identité civile, adresse email, modalités de paiement, etc.), mais également, et surtout, du contenu de vos communications.

Pour s’assurer que ces engagements sont bien respectés, les meilleurs services mail chiffrés doivent être en mesure de déployer des équipements à la sécurité renforcée, et dépendre juridiquement d’un pays aux lois favorables au respect de la vie privée et de l’anonymat en ligne.

C’est le cas de Proton Mail, projet initialement développé pour offrir aux dissidents, journalistes, militants, activistes, lanceurs d’alertes et autres opposants politiques, une solution sécurisée pour leur permettre de s’organiser et de poursuivre leurs actions en ligne sans compromettre leur intégrité numérique et/ou physique.

Domicilié en Suisse, État dont le cadre législatif assure la protection de la vie privée numérique, Proton Mail met tout en œuvre pour garantir le secret des correspondances. Le service prend en charge le chiffrement de bout en bout, déployant un algorithme solide construit sur une version open source de PGP. Un argument fort qui confirme que seuls l’expéditeur et le destinataire des échanges disposent des clés privées de chiffrement/déchiffrement qui leur permettent de lire les emails reçus.

Afin de renforcer ce secret des correspondances, Proton Mail applique également un chiffrement zero access à l’ensemble des serveurs par lesquels transitent les communications. Dans le détail, tous les emails circulant sur les serveurs de Proton, qu’il soit émis depuis ou envoyé vers n’importe quel service de messagerie (Proton Mail, Outlook, Gmail, etc.) sont chiffrés une seconde fois. L’avantage est double : d’une part, Proton AG ne peut jamais accéder au contenu des conversations stockées sur ses propres équipements, d’autre part, un hacker ayant réussi à pirater un serveur Proton ne pourra pas non plus lire les échanges qu’il aurait siphonnés.

Il faut également savoir que le chiffrement zero access offert par Proton Mail outrepasse le seul cadre de Proton Mail puisqu’en plus des emails expédiés et reçus, ce sont toutes les informations personnelles communiquées par l’abonné lors de son inscription au service qui bénéficient de cette seconde couche de protection.

À ces fonctionnalités intrinsèquement liées à la confidentialité, Proton Mail intègre quelques options additionnelles, comme un outil de migration des comptes Gmail vers Proton (Easy Switch), et essentielles, à l’image de son option d’authentification à double facteur (A2F).

Plus récemment, la protection des utilisateurs et utilisatrices de Proton Mail s’est vue renforcée grâce au déploiement généralisé de Sentinel, programme de vérification des connexions aux comptes Proton. Alliant l’IA à l’expertise humaine, la fonctionnalité vise en premier lieu à empêcher le piratage des profils à risque, mais reste accessible à l’ensemble des abonnés Proton Unlimited, Family et Business.

On terminera sur un aspect très important de Proton Mail : son intégration à un écosystème complet d’applications confidentielles par défaut. En créant une boîte mail sur le service, tous les abonnés bénéficient d’un accès à d’autres services chiffrés, hautement sécurisés, que sont Proton Drive (coffre-fort numérique), Proton Calendar (agenda), Proton Pass (gestionnaire de mots de passe) et Proton VPN. Une initiative louable qui permet aux internautes de renforcer la protection de leur vie privée et de leurs données les plus sensibles en dehors de la seule messagerie Proton Mail.