Celui qui fut le premier hacker à figurer sur la liste des 10 fugitifs les plus recherchés par le FBI repère et vend plus de 100.000 dollars pièces des failles 'zero-day'.
Il est encore le hacker le plus célèbre de la planète. Figurent à son tableau de chasse des entreprises comme Digital Equipment, Fujitsu, Motorola, Nokia, Pacific Bell (sa première intrusion connue, en 1980), Silicon Graphics ou Sun Microsystems, qui n'ont pas résisté à son art consommé de l'intrusion dans les réseaux informatiques. Et surtout, il a eu l'affront de pénétrer les systèmes informatiques du Pentagone ! Il, c'est Kevin Mitnick.
Symbole de la répression du gouvernement américain dans les années 90, Kevin Mitnick est arrêté en 1995 par le FBI – dont les agents le disaient désintéressé, et donc d'autant plus dangereux ! - après une longue traque de deux ans. Il passe huit mois à l'isolement en attendant son procès. Et il est condamné à la plus forte peine à l'époque infligée pour un délit informatique : 5 ans de prison.
Expert en failles 'zéro-day'
Depuis 2008, Kevin Mitnick est un consultant en sécurité informatique. Et il s'est trouvé un modèle économique pour le moins étonnant : après avoir été un hacker 'gris', évoluant caché et menaçant le monde, le voici hacker 'blanc', c'est à dire oeuvrant officiellement à la découverte des failles de sécurité de ses clients... qui souhaitent demeurer dans l'ombre.
Une faille 'zero-day' (zero-day exploit), c'est un bug secret dans un système informatique, qui n'a pas encore été exploité par les pirates, et pour lequel il n'existe pas de correctif.
Fort de son expérience de hacker et de sa reconnaissance par le marché, Kevin Mitnick propose donc aux organisations de découvrir les failles 'zero-day' de leur système, pour un prix supérieur à 100.000 dollars, frais du patron inclus. Et pour cela, il fait appel à des experts, internes comme externes, liés à lui par un contrat garantissant à ses clients l'exclusivité de l'information.
Pourquoi faire appel à un hacker ?
Pourquoi une entreprise - Kevin Mitnick a déclaré qu'il ne souhaite pas travailler avec le gouvernement américain après que celui-ci l'a placé à l'isolement lors de son arrestation... - fait-elle appel à un hacker reconnu, même assagi ? Surtout au prix qu'il demande !
C'est une question de fond à laquelle Kevin Mitnick ne répond pas, tenu par la confidentialité qui le lie à ses clients. Certes, certains d'entre eux ne cherchent probablement qu'à tester la sécurité de leur système ou de leurs applications, et à découvrir les failles éventuelles afin d'agir pro-activement avant une attaque. La démarche devient stratégique lorsque la criticité du produit est élevée.
Pour autant, des solutions moins onéreuses existent, soit en faisant appel à des sociétés spécialisées (Endgame, Exodus, Netragard, Vupen, etc.), soit comme Facebook, Google ou Paypal avec des concours dotés de prix en dizaines de milliers de dollars. Mais aucune ne bénéficie du prestige de Kevin Mitnick, même si sa prestation doit rester confidentielle.
Le doute demeure...
La vraie question qui se pose est : à quoi serviront les failles 'zero-day' découvertes ? Une entreprise, ou une organisation, peut tout autant rechercher les failles dans son système, afin de s'en protéger... que dans un système concurrent, pour des usages qui lui apparteinnent ! De plus, il existe un marché occulte des failles, tout comme des outils de hacking, des virus, des chevaux de Troie, et de tout ce qui peut nous menacer.
Alors, certes les activités de Kevin Mitnick sont légales, mais elles restent soumises au doute. Et les autorités américaines ne manqueront pas de le surveiller de près. Il n'empêche que l'ex-hacker 'gris' s'est trouvé un riche modèle économique à la mesure de son talent.
