Damien Bancal est le fondateur des sites Zataz.com et DataSecurityBreach.fr, de la chaîne Zataz Web TV, et est l’auteur d’ouvrages concernant la sécurité informatique. À 42 ans, il diffuse ses connaissances en la matière par tous les moyens possibles.
Malgré un emploi du temps bien chargé, il a su se montrer très disponible pour nous permettre de mieux comprendre son activité. J’ai eu le plaisir de rencontrer un homme aux passions communicatives !
Damien, quand on voit tes réalisations, on s’attend à voir apparaître un ingénieur sécurité réseaux et systèmes, en fait tu es journaliste ! Quel a été ton parcours ?
« A 14 ans j’ai commencé à bidouiller l’informatique. J’ai d’abord récupéré des copies de jeux, je suis tombé en admiration devant les introductions réalisées par les pirates pour ces jeux (des vidéos clips souvent bien mieux que le jeu en lui-même !). Puis j’ai lancé des fanzines, j’ai parlé de warez, j’ai touché un peu au piratage en rencontrant et en interrogeant du monde. Du coup, je me suis tourné vers le journalisme dès 16 ans en écrivant pour des titres informatiques comme Amstar & CPC, Amstrad 100%, Tilt…
Par la suite je suis devenu journaliste généraliste tout en restant axé sur la sécurité informatique. À l’époque, on avait déjà des failles, des exploits, j’écrivais sur les techniques de piratage de minitel…
Aujourd’hui je me considère comme un expert et un chercheur en cyber-crime pour comprendre comment fonctionnent les pirates. Les spécialistes en cyber-sécurité trouveront les moyens de protéger ton ordinateur, de coder… moi je fais plutôt de la veille, des contrôles, je suis tout le temps derrière eux… Je ne fais pas d’audit par exemple, il y a des gens dont c’est le métier. »
Tu as l’air d’être sur tous les fronts : journaliste indépendant, rédacteur en chef de Zataz Magazine, Data Security Breach, Zataz Web TV, auteur d’ouvrages…
« Et aussi formateur ! J’interviens à l’université de Valenciennes et Maubeuge dans la CDAISI (licence professionnelle « Collaborateur pour la Défense et l’Anti-Intrusion des Systèmes Informatiques »), on apprend à des informaticiens à réfléchir comme des pirates pour protéger efficacement leurs entreprises. Eh oui car un informaticien qui sort d’école, même très bon, n’a pas forcément le mode de pensée et la malveillance d’un pirate qui veut nuire donc on leur apprend à réfléchir comme un attaquant, c’est passionnant !
En ce qui concerne Zataz, c’est un site 100% actualités, et 7 jours sur 7 avec le protocole d’alerte. Dessus, je répertorie tout ce qui peut exister en cyber-crime, j’essaie d’aller le plus loin possible en étant le plus juste possible pour expliquer aux gens ce qu’il se passe de dangereux sur Internet. C’est une façon de dire aux gens « c’est peut-être votre fils qui est en train de faire quelque chose de grave et vous l’ignorez, ou votre époux qui n’est lui-même pas au courant de ce qu’il fait… ».
Zataz Web TV est née de la demande. Je recevais beaucoup de demandes pour faire de la vidéo, alors j’ai créé une émission mensuelle dédiée à l’actualité décalée du multimédia. Je fais ça sur mon temps libre alors le format va passer en hebdomadaire en octobre. Ce sera des vidéos de 5 minutes tous les dimanches pour coller davantage à l’actualité.
Data Security Breach est un site plus B to B, pour transmettre des informations plus corporates.”
Comment est né le site Zataz.com ?
« Il y a 19 ans, j’ai rencontré le webmaster lillois Eric Romang qui m’a proposé de diffuser ce que je fais sur Internet, ainsi est né Taz (Temporary Autonomous Zone). L’idée était de diffuser de l’information sur la sécurité informatique gratuitement et surtout très simplement. Je ne suis pas informaticien, plutôt un « bidouilleur aguerri », et je trouvais important d’expliquer aux gens des faits qui ont l’air complexes avec des mots simples. L’idée était de dire « voilà ce que c’est qu’un virus, ce que ça fait en ce moment, et ce que ça peut faire encore ». L’informatique, c’est comme la médecine : c’est un langage complexe qui peut inquiéter inutilement ou au contraire, auquel on ne prête pas assez attention car on ne comprend pas tout ce que cela implique. Je pars du principe de base que s’informer, c’est déjà se sécuriser.
Avec cette façon de faire, je me suis vite fait appeler « le Voici de l’underground » à mes débuts !
Aujourd’hui, je suis un peu plus sérieux car cela touche encore plus de monde qu’il y a 15 ans, et notamment des entreprises. »
Comment fonctionne ton protocole d’alerte sur Zataz.com ?
« Grâce à ce protocole d’alerte, je sers d’intermédiaire entre une personne qui découvre une faille sur un site, par exemple, et le site en question. J’en trouve également de temps en temps, toujours en utilisant des sources ouvertes, je ne fais pas de tests d’intrusion ! Si tu tombes un jour sur quelque chose (une faille, un piratage, une fuite de données…), ce protocole te permettra d’alerter l’entreprise concernée. Environ 20% des sources viennent de moi, le reste, ce sont des internautes qui m’en font part. Il y a des pirates, des cyber-citoyens qui veulent aider, des particuliers qui tombent par hasard sur quelque chose… Imagines qu’un adolescent alerte une entreprise sur des données sensibles accessibles à tous, au mieux il ne sera pas pris au sérieux, au pire il pourrait se retrouver accusé d’avoir piraté.
Le protocole permet à ceux qui trouvent des choses d’être écoutés ! Avec ça, tout est écrit noir sur blanc, l’informateur (qui peut m’écrire anonymement) ne prend aucun risque et peut constater que je ne suis pas en train de revendre son information. Il y a une confiance qui s’est installée entre les internautes et moi d’un côté, et entre les marques et moi de l’autre côté.
Aujourd’hui les failles permettent de faire des choses monstrueuses sur le web, les gens n’ont pas conscience ! Pour eux, ça relève du film de SF type « Wargames », ou alors ils voient vaguement ça dans la presse et se disent que ça arrivent aux autres, loin d’ici…
En ce moment par exemple, je suis en train d’alerter une grosse société à qui on fait appel lorsqu’on voyage : j’ai accès à toute leur base de données, factures, noms, prénoms, informations bancaires. Et c’est simplement Google qui me l’a fourni ! Les gens pensent qu’il faut être un pirate pour obtenir des infos, c’est faux, ils oublient que le cache de Google peut aussi contenir des infos sensibles ! J’ai utilisé ce service, j’ai constaté dans Google que je pouvais accéder à ma facture et à celle des 599 999 autres clients. Donc je fais une alerte ! Je n’en parlerai pas automatiquement sur le site car mon but n’est pas de nuire à la marque. Je parle d’environ 10% de ce que je sais…
Lorsque je lance une alerte, j’averti l’administrateur du site concerné par email. L’information reste entre le site, moi et mon informateur. Le propriétaire du site constate qu’il s’agit bien de lui, et l’informateur peut voir que c’est en cours de traitement. Ensuite j’averti les internautes via le compte Twitter @protocole_ZATAZ en faisant très attention à ne pas mettre en danger les marques et les internautes : les liens malicieux sont floutés pour que les gens ne cliquent pas dessus et que des personnes mal intentionnées ne les réutilisent pas.
L’alerte Twitter sert à prévenir à la fois les marques, car les Community Manager sont généralement très réactifs, mais aussi les usagers. Dernièrement, les attaques de phishing aux couleurs d’EDF ont fait beaucoup de dégâts, donc l’alerte rapide est aussi efficace pour les internautes.
Si je n’obtiens pas de réponse du site contacté sous 10 jours, j’écris un article pour avertir les utilisateurs de la fuite (à condition de ne mettre personne en danger) car les entreprises ont l’obligation d’avertir leurs clients en cas de violation de données personnelles.
A l’inverse, si la correction a bien été faite par le site, l’article n’est pas automatique. J’en rédige un si des informations sensibles appartenant aux clients sont toujours accessibles. »
Consultez le mode d’emploi du protocole.
Tu n’as jamais été tenté de passer de l’autre côté de la barrière ?
« On me propose souvent d’acheter les failles dont j’ai connaissance pour les exploiter (on me propose parfois plusieurs milliers d’euros !). Les bases de données en jeu valent de l’or, mais ce n’est pas mon but, je suis assez bien entouré et stable pour résister à la tentation et ce que j’aime, c’est aider les gens.
Je fais cela parce que ça me plait et je me dis que ça peut tomber un jour sur ma famille. Quand je vois ma mère surfer je me dis « au secours, ils sont des milliards à prendre autant de risques ! ».
Je suis dans le milieu depuis le début, j’ai la tête sur les épaules. Évidemment la tentation est grande, mais je suis aussi un égocentrique qui prend son pied lorsque quelqu’un lui dit merci ! J’ai bien d’autres gratifications qui me suffisent. »
Tu as des souvenirs insolites ou aberrants ?
« Tous les jours. Tout est marquant : les failles sur les sites, la fraude à la CB avec de simples distributeurs, les téléphones portables, le social engineering, la facilité d’interception des informations sur les gens… Un site piraté dont la page d’accueil est modifiée : on se dit que ce n’est pas bien méchant, mais derrière il y a peut-être quelqu’un qui va revendre l’espace pour y mettre du phishing, ou voler les bases de données.
La faille informatique existera toujours, ce n’est pas ça le problème. Ce qui me choque c’est ce manque de réactivité et cette indifférence ! Prend l’exemple des photos de stars de stars nues volées chez Apple récemment. Ce qui est aberrant c’est que ces gens n’ont pas pris le temps de lire leur mode d’emploi et de voir ce que le cloud impliquait. »
Quel est ton avis sur le NFC, la domotique… ?
« Ah c’est fabuleux ! Mais c’est aussi ultra dangereux. Il y a 20 ans on n’imaginait pas le dixième de ce qui est possible aujourd’hui. Quand tu vois qu’Apple vient de sortir l’iOS 8 et te dit fièrement « avec notre iOS 8, même les forces de l’ordre n’auront pas accès à vos mots de passe », c’est comme si je te disais de ta maison « je n’ai pas ta clé, mais par contre j’ai accès aux fenêtres, à la boîte aux lettres… ». Le NFC, on nous dit que c’est super sécurisé mais on connait déjà la faille !
Toutes ces nouvelles technologies nous facilitent la vie, c’est génial, mais on a l’impression que la sécurité n’est que très secondaire. C’est vrai que ça coûte cher de sécuriser, mais ça coûte encore plus cher de devoir y penser après.
Les bases de données sont traitées n’importe comment, on dirait que tout est fait dans l’urgence, les produits doivent sortir avant la concurrence et c’est au détriment de la sécurité des données. Je me demande ce qu’il est en train de se passer de complètement fou aujourd’hui et qu’on apprendra dans 3 ans…
Il y aura toujours des failles, et en plus on fait confiance à des tiers (cloud, web agency…) qui ne sont pas là pour nous protéger ! C’est ce qui m’étonne le plus. J’espère juste que mon discours est un peu entendu. Il faut absolument que les gens arrêtent de mettre le même mot de passe partout pour commencer, le jour où il y a un problème, ça peut devenir l’enfer ! »
A la fin de notre entretien, je suis frappée par son optimisme et sa joie de vivre. Je me rends compte qu’il passe son temps à découvrir des dangers et malgré tout, il est encore loin d’en être découragé. « C’est tellement facile de tomber dans le pessimisme quand tu vois tout ce qu’on découvre, ou tout ce qu’on veut nous faire croire ! On est l’effet papillon, et s’il peut être positif tant mieux ! » me dit-il.
Alors n’oubliez pas, s’informer c’est déjà se protéger !
Un grand merci à Damien Bancal pour son temps, sa gentillesse, et son travail quotidien sur le cyber-crime. Nous le retrouverons au Forum International de la Cybersécurité, les 20 et 21 janvier 2015 à Lille.
Pour le suivre sur Twitter :