Ce que le cinéma et les séries ont compris des hackers (ou pas)
Comparés à ceux des Caraïbes, les pirates d'aujourd'hui ont certes gagné en confort, mais perdu en cinégénie. Pour rattraper cela, certains films – et séries – trichent allègrement avec la réalité, quand d'autres trouvent le moyen de rester captivants tout en restant crédibles.
Hackers en roue libre
Les films de hacking forment un sous-genre en soi, caractérisé par la nécessité d'en faire des tonnes afin de dramatiser des hold-ups qui, dans la réalité, auraient plutôt tendance à se faire au clapotis tranquille des touches de clavier. Quintessence de cette surenchère un peu grotesque, Opération Espadon (Dominic Sena, 2001) montre ainsi Hugh Jackman au milieu de tous les poncifs possibles : attaque ridiculement rapide, musique électro survoltée, yeux écarquillés, ne manquent que quelques modélisations 3D inutiles, plus un ou deux pop-ups éventuellement.¹
Il existe en fait deux types de hacking peu crédibles : quand les défenses sont trop faibles ; quand le hacker est trop fort. Le premier cas concerne la légendaire scène d'infiltration de la CIA dans le premier Mission : Impossible (Brian De Palma, 1996). Ici, le réalisateur met l'accent sur la difficulté à s'infiltrer physiquement dans un bâtiment, puis une pièce en particulier – tout le monde se souvient de cette scène où Tom Cruise est suspendu à un câble au-dessus d'un sol en toile d'araignée blanche. Mais en comparaison, l'infiltration dans les systèmes informatiques est beaucoup trop reposante : assis dans un camion garé en face, un personnage peut déclencher une alarme incendie à distance, tandis qu'une fois dans le coffre fort, Cruise manipule une interface qui explique ce qu'il fait en lettres capitales.
Mission Impossible rendu crédible
Que font les RSSI ?
Pour Zeina Zakhour, global CTO Big Data & Cybersécurité chez Atos, les films « donnent souvent l'impression que ça se fait en deux secondes, mais les hackers, même les meilleurs, ont toujours besoin d'une phase de préparation, d'installation de softwares sur leurs machines avant de prélever des infos ». On n'en voudra pas forcément aux films de couper ces phases de préparation qui nuiraient sans doute au rythme de l'ensemble, en revanche, la médiocrité des RSSI de fiction – voire de science-fiction – est plus difficilement excusable. Hacker (Michael Mann, 2015) a beaucoup de qualités, mais l'infiltration de la NSA qui est représentée, exploitant moins une vulnérabilité informatique qu'une vulnérabilité humaine, laisse songeur quant aux qualifications exactes de l'employé pris au piège.
Et Zeina Zakhour de poursuivre : « L'exemple type, c'est Star Wars, et en particulier Rogue One, qui est sorti en 2016. Dark Vador a beaucoup de pouvoirs, mais zéro sécurité mise en place pour défendre l'Etoile Noire : pas vraiment de badges, de contrôles d'accès, de biométrie... » À bien regarder, on notera que les rebelles utilisent certes la main d'un garde assommé pour déverrouiller une porte, mais le nom de code des plans de construction de l'Etoile Noire, cible de la mission, est effectivement si limpide que l'héroïne le reconnaît sans peine. On pourrait arguer que l'existence de cette « backdoor » béante – les plans révèlent même qu'une faille dans l'architecture de la station spatiale permet de la faire exploser en un seul tir, ce dont ne se privera pas Luke Skywalker – tient au fait que l'ingénieur en chef est un résistant travaillant sous la menace... Mais avec un tant soit peu d'attention à la sécurité, Dark Vador aurait pu découvrir un tel défaut sans trop d'efforts.
Autre ingénieur douteux, celui de Jurassic Park (Steven Spielberg, 1993) : Dennis Nedry, RSSI du parc, est aussi le traître qui le conduit à la catastrophe. Cependant, lorsqu'à la fin du film une adolescente parvient à relancer les systèmes électriques de l'île aux dinosaures, le plus incroyable n'est pas que quelqu'un d'aussi jeune maîtrise le fonctionnement d'UNIX, et de l'interface graphique rarissime qu'on aperçoit alors (elle existe bel et bien). Comme le rappelle Zeina Zakhour, les hackers peuvent être très précoces, on ne sait jamais ; en revanche, personne n'utiliserait de telles commandes de gestion des fichiers dans un parc d'attraction. Même problème avec la série policière NCIS (Dennis Smith, 2003 – 2016) : les méthodes d'espionnage utilisées par les enquêteurs existent, mais n'ont aucune chance d'être utilisées à leur niveau de hiérarchie.
Référence en matière de cyberattaque d'un pays tout entier, Die Hard 4 (Len Wiseman, 2007) a beau être spectaculaire, il ne se trompe pas de beaucoup. Quelques années avant Stuxnet, virus ayant provoqué des explosions dans une centrale d'enrichissement d'uranium en Iran, le quatrième volet des aventures du policier John McClane reposait sur le scénario plausible d'une prise de contrôle des usines de gaz à distance, leurs équipements étant non seulement vétustes, mais connectés. Zeina Zakhour rappelle ainsi que des hackers ont modifié la composition chimique de l’eau ou même pris la main à distance sur des pompes dans des stations de traitement d’eau. Quant à la prise de contrôle d'une voiture, comme on le voit dans le film, des whitehats ont démontré qu'il était effectivement possible de contrôler à distance les freins de certaines voitures…
De Matrix à Sense8
La trilogie Matrix (Lily & Lana Wachowski, 1999-2003) parvient elle aussi à marier crédibilité et grand spectacle. Les lignes de code sur l'écran des rebelles sont plus fidèles à la réalité que certaines modélisations 3D jolies mais inutiles, telles qu'on peut les apercevoir dans la scène du piratage du MI6 dans Skyfall (Sam Mendes, 2012). Mieux : au début de Matrix Reloaded, on voit Trinity infiltrer une centrale électrique en employant de manière précise un outil intitulé N-MAP, permettant de détecter les vulnérabilités et les failles exploitables d'un système, si bien que « la Computer Crime Unit de Scotland Yard et la British Computer Society BCS ont fait un communiqué de presse pour dire que ce qu'on voyait dans le film était illégal et à ne pas répliquer », raconte Zeina Zakhour. En 1983, WarGames, de John Badham, était déjà si documenté que le Congrès américain, y découvrant de nouvelles menaces, vota dans la foulée le Computer Fraud and Abuse Act.
Trinity utilise N-MAP
Dans Sense8, série Netflix des mêmes soeurs Wachowski, le personnage de Nomi est une hackeuse au vocabulaire particulièrement spécifique puisque les termes qu'elle emploie sont issus des documents révélés par WikiLeaks concernant des outils de la NSA vendus peu après dans le DarkWeb – auquel accède Nomi. Ragemaster, feedtrough, candygram... Tout vient du catalogue de la NSA. Le DarkWeb n'était pas aussi populaire à l'époque de Matrix qu'aujourd'hui, mais son usage est aujourd'hui répandu parmi les hackers et encore peu représenté au cinéma. C'est pourtant de là que proviennent, le plus souvent, les logiciels, les informations – et la main d'oeuvre – nécessaires à la planifications d'attaques en ligne.
Mr Robot, la référence
Difficile de trouver plus minutieux, en tout cas, que Mr. Robot (Sam Esmail, 2015), série sur un hacker dont les scénaristes ont bénéficié des conseils d'un whitehat bien réel, Kor Adana. On y trouve l'une des rares apparitions du darkweb ; de l'ingénierie sociale (manipulation psychologique des maillons humains, comme dans Hacker) ; du N-MAP, comme dans Matrix Reloaded ; ses actions n'ont rien de franchement spectaculaires ; il y est question du danger des objets connectés (voir Die Hard 4) et de la prise de contrôle de la domotique, caméras comprises...
Pour Zeina Zakhour cependant, la série ne prend pas vraiment d'avance sur le réel : « les hackers ne manquent pas d'imagination ! Ils innovent aujourd'hui plus rapidement que les sociétés, et leurs techniques ne sont pas complètement (ou exhaustivement) représentées au cinéma, pour l'instant... » Au risque de donner de mauvaises idées aux nouveaux venus ? L’invraisemblance de certaines séquences de hacking est peut-être une stratégie de sécurité comme une autre, après tout.
¹Un site pour hacker comme dans les mauvais films : http://hackertyper.com/
Partager
