La règle la plus importante en matière de sécurité informatique est la suivante: il n'existe pas de sécurité absolue. Celui qui a compris cela atterrit tôt ou tard dans le bureau de Sandro Nafzger. Cet homme de 38 ans est le CEO de l'entreprise Bug Bounty Switzerland, qui s'est spécialisée dans la recherche de points faibles dans les systèmes informatiques.
Le quartier général des chasseurs de bugs se trouve au cœur du quartier diplomatique de Berne, non loin de l'ambassade de Chine: bâtiment ancien, parquet, stucs au plafond. Des casquettes de baseball noires portant le logo de la start-up sont alignées sur les meubles USM. Des écrans plats et un portrait des trois fondateurs sont accrochés au mur. On se croirait dans une entreprise de logiciels branchée de la Silicon Valley qui programme des jeux informatiques.
Et dans une certaine mesure, ce que Sandro Nafzger et ses 21 employés organisent dans ces locaux pourrait s'apparenter à un jeu. Mais un jeu avec un fond sérieux. Il s'agit de trouver l'erreur! Et ce, avant que quelqu'un de mal intentionné la découvre. En clair: maintenir la sécurité informatique.
Dépénalisation du piratage informatique
Les bandits qui se sont emparés en juin de données critiques de l'entreprise Xplain d'Interlaken et les ont téléchargées sur le Darknet avaient par exemple profité d'une faille du serveur. Parmi ces données, des dispositifs de sécurité secrets de Fedpol ou des extraits sensibles de la banque de données du hooliganisme. L'origine de ce gâchis fait actuellement l'objet de diverses enquêtes. Afin d'être mieux protégé à l'avenir, le Centre national de cybersécurité (NCSC) de la Confédération collabore également depuis fin 2022 avec Bug Bounty Switzerland.
La pièce maîtresse de Bug Bounty est une plateforme sur laquelle les pirates informatiques dits éthiques peuvent s'enregistrer. C'est sur cette plateforme que les trophées sont mis au concours: une entreprise offre 3000 francs pour la détection de failles critiques, une autre 15'000. L'intrusion dans des systèmes informatiques est normalement un délit. En donnant explicitement l'ordre aux professionnels de l'informatique disséminés dans le monde entier de le faire, les clients du Bug Bounty dépénalisent le piratage.
Sandro Nafzger veut veiller à un changement de culture en Suisse. Penser que la sécurité à 100 % est un état qui peut être atteint un jour appartient au passé. Aujourd'hui, il s'agit selon lui d'apprendre à gérer la nouvelle vulnérabilité. En bref: aucun système informatique n'est parfait, les points faibles existent presque partout. «Il est donc d'autant plus important que ce soient les bonnes personnes qui détectent ces points faibles.»
La banque suisse ne payait pas assez
La semaine dernière, une grande banque suisse a également osé sortir de sa zone de confort. Elle a offert 3000 francs aux hackers éthiques pour chaque faille critique découverte. Au début, il ne s'est rien passé. Le système était-il donc sûr? Sandro Nafzger a décroché son téléphone et appelé quelques-uns des geeks: «Qu'est-ce qui se passe?» Cela ne vaut pas la peine, lui répondit-on. Après que la banque a augmenté la prime, il a fallu une petite nuit pour qu'un sérieux problème de haute sécurité soit mis sur la table.
Jusqu'à présent, la Confédération a lancé cinq programmes de bug bounty. Dans ce cadre, les systèmes et applications de quatre unités de l'administration fédérale ont été ou sont contrôlés par des hackers éthiques. 19 hackers ont depuis lors attiré l'attention sur 54 points faibles. 27 d'entre eux ont été acceptés et récompensés, 2 sont encore en cours d'évaluation selon le NCSC et 25 ont été déclarées non valables.
La majorité des failles trouvées seraient de «criticité moyenne». Si une faille était critique, elle devrait être corrigée immédiatement. S'il s'agit d'une menace moyenne, la correction se fait «sur la base de la planification de la version», c'est-à-dire lors de la prochaine étape du projet. Depuis le lancement du programme Bug Bounty, la Confédération a versé au total 13 950 francs à des hackers éthiques. Lors du programme pilote 2021, qui a permis d'identifier dix points faibles au sein du DFAE et des services du Parlement, ce montant s'élevait à près de 10'000 francs.
«Regardez, nous n'avons rien à cacher»
Les programmes de bug bounty assurent donc, dans l'idéal, un changement de paradigme dans la culture de l'erreur. Sandro Nafzger: «Lorsqu'une entreprise ne considère plus une faille de sécurité comme une catastrophe, mais comme une chance unique de se réinventer, beaucoup a déjà été fait.» En substance, la célèbre citation de Samuel Beckett résume bien la situation: «Échouez à nouveau, échouez mieux.»
Lancer des hackers éthiques sur ses systèmes, c'est investir dans une meilleure relation de confiance avec la population, affirme également Sandro Nafzger: «Regardez, nous n'avons rien à cacher». Cette «confiance numérique» est décisive pour tous les projets informatiques, notamment pour la Confédération, qui veut promouvoir les dossiers numériques des patients ou le vote électronique dans les années à venir.
La criminalité sur Internet bat son plein, les cyberattaques augmentent. Partir du principe que l'on est en sécurité est une erreur dangereuse, explique Sandro Nafzger. «Celui qui ne trouve pas d'erreur n'a tout simplement pas assez bien regardé.»