Le piratage d’entreprises, Ivan Bütler en a fait son métier. Déguisé en technicien d’imprimante ou avec l’e-mail d’un ami d’école, jusqu’à aujourd’hui il a pénétré partout. Lors de la Journée du digital 2019, il effectuera des attaques en direct à la gare centrale de Zurich. Vous apprendrez ici tout sur le programme et bien d’autres choses.

Qui êtes-vous?

Je suis Ivan Bütler, fondateur et l’un des gérants de Compass Security. Nous recherchons pour des exploitants les points faibles de leurs sites web, dans l’e-banking, dans les systèmes de négoce, les systèmes de vote, l’accès à distance, Android, Mac et iPhone. Nous sommes pour ainsi dire les «bons hackeurs». J’ai créé l’entreprise avec mon collègue Walter Sprenger. Nous avons commencé tout petit et avons très vite grandi. Nous avons aujourd’hui des filiales à Berne, Zurich, Berlin et, depuis décembre dernier, à Toronto.

Pourquoi pirate-t-on?

Il existe plusieurs motifs pour les hackeurs qui peuvent être répartis en plusieurs catégories. Personnellement, j’aime bien la subdivision suivante en quatre groupes.

  • Les script kiddies: ils téléchargent leur propagande et d’autres contenus sur des sites web étrangers. Cela est très gênant, surtout pour les PME suisses.
  • Les criminels économiques: là aussi nous avons une subdivision entre (disons) les «stupides» et les «intelligents». Les stupides utilisent leurs connaissances pour attaquer un utilisateur d’e-banking et pour virer de l’argent sur un autre compte. Une action stupide, d’une part parce qu’il s’agit la plupart du temps de peu d’argent et, d’autre part, la procédure est très facile à suivre. En revanche, les intelligents se procurent des informations boursières auprès d’acteurs mondiaux et les utilisent pour un négoce d’initiés avant que le reste du monde s’en rende compte.
  • Les anonymes; il s’agit de personnes qui attaquent des sites web pour des raisons éthiques et morales et les utilisent pour diffuser leurs opinions. Citons par exemple PostFinance, dont le site web a été paralysé par vengeance car ils avaient désactivé le compte de Julian Assange.
  • Le quatrième groupe fait de l’espionnage, cela concerne les services secrets. Comme l’a montré Julian Assange avec ses publications, les Etats-Unis disposent d’un réseau mondial leur permettant de tout surveiller. Très difficile pour nous de nous protéger contre ces menaces –contre les acteurs gouvernementaux, nous n’avons en fait aucune chance.

Si vous vivez vous-même ces opérations, avez-vous encore confiance dans Internet?

Puis-je répondre par une question en retour? Vous déplacez-vous en voiture? Et vous savez qu’il y a une ceinture de sécurité, des airbags, etc. en raison du risque d’accident? Vous continuez de conduire malgré tout? C’est exactement la même chose pour moi et Internet. Je connais les dangers et je sais que, malgré toutes les mesures de prévention, on ne peut pas être en sécurité. Pourtant, je l’utilise en raison des nombreux avantages qu’il recèle.

Avez-vous déjà échoué dans un mandat?

En fait, je ne devrais pas le dire, mais jusqu’à présent il n’y a pratiquement aucune entreprise que nous n’avons pas réussi à attaquer. Le problème, c’est toujours l’humain: il suffit qu’un seul collaborateur sur cent ne fasse pas bien attention pour qu’on entre dans le système. Même si les collaborateurs sont prévenus et prudents.

Par exemple, nous avons eu un cas où nous devions pirater une entreprise et une personne a volontairement servi de cobaye. Nous avons alors cherché cette personne sur Google et avons trouvé qu’elle était inscrite à un site permettant de retrouver d’anciens camarades de classe. Au nom d’un ancien camarade de classe, nous avons créé un compte Gmail et lui avons écrit: «Bonjour, je suis en train d’organiser une rencontre de classe, regarde, j’ai déjà saisi les adresses que je connaissais dans le fichier Excel ci-joint. Pourrais-tu compléter cette liste?» A peine la personne a-t-elle ouvert l’annexe qu’un cheval de Troie avait contaminé son ordinateur.

Ivan Bütler à la Journée du digital

Ivan Bütler effectuera des attaques en direct lors de la Journée du digital du 3 septembre à la gare centrale de Zurich. Dans plusieurs cas, il montre comme il est facile d’accéder à des données tierces et donne des conseils utiles. Si vous ne pouvez pas participer, vous pouvez voir en livestream et poser des questions.

Helvetia Assurances – Pourquoi nous participons – #SwissDigitalDay