J'ai découvert le très actif et sémillant N'Cho Yao lors des Insecurity Days, 1er évent dédié à la sécurité informatique en septembre 2011. Il faut dire que même en étant pas une programmatrice, je suis très attirée par tout ce qui touche au monde du hacking. Et très vite, je me suis intéressé à ce jeune chef d'entreprise spécialisé en cyberlearning et sécurité informatique. Grâce à lui et son event, j'ai pu constater les "potentialités" en programmation de plusieurs jeunes autodidactes grâce à leur facilité à "infiltrer" des sites inter et intra-net de plusieurs entreprises, mettant ainsi le doigt sur les carences de ces dernières dans ce domaine...Rencontre avec un personnage passionné, prolixe et déterminé, qui nous raconte son parcours et ce qu'il a prévu de proposer à tous les participants aux Insecurity Days qui se tiendront du 15 au 18 mai à Abidjan...
1.
Présentez-vous.
Je
suis M. YAO N’Cho, Président de l’Association des chercheurs en sécurité
informatique - section Côte d’Ivoire (ISRA-CI). Je suis par ailleurs fondateur
d’un des premiers centres de certifications internationales ouvert aux
étudiants en Côte d’Ivoire, CyberLearning225. Ce centre nous permet non seulement
de faire de la formation aux standards internationaux, mais aussi de la
consultance. Je suis finalement auteur de 2 livres orientés piratage et
sécurité informatique et initiateur des Insecurity Days.
2. D’où
vous est venu cette passion pour l’informatique et le web ?
Je peux affirmer sans me tromper que
cette passion m’est venue des magazines, des films et documentaires que j’ai eu
à regarder dans mon enfance. Vous savez, quand vous passer votre
temps à lire, à regarder des vidéos où on voit des jeunes relever de grands défis grâce aux technologies, on se dit que si l’on veut marquer son temps, on doit maîtriser toutes ces nouvelles technologies. Je reste attaché à ses premiers idéaux.
temps à lire, à regarder des vidéos où on voit des jeunes relever de grands défis grâce aux technologies, on se dit que si l’on veut marquer son temps, on doit maîtriser toutes ces nouvelles technologies. Je reste attaché à ses premiers idéaux.
3. Vous
êtes l’initiateur du 1er évènement et concours consacré à la sécurité informatique
en Côte d’Ivoire, Insecurity Days. Comment l’idée vous est-elle venue à
l’esprit ?
Ce qu’il faut noter c’est que l’Insecurity
Days est le 1er du genre en Afrique subsahérienne francophone. J’ai
suivi une formation anglophone d’Ethical Hacker, ce qui me permet de comprendre
qu’une maitrise parfaite des technologies pour le développement, passe par la
connaissance de certains secrets. Vous savez beaucoup de pays, comme les
Etats-Unis, ont compris bien tard l’importance du hacking. Aujourd’hui on y
fait chaque jour la guerre contre l’espionnage, le contrôle total
d’organisations, de banques, etc en employant des Hackers. Et ces problèmes
sont les mêmes dans nos pays. Seulement ici on veut lutter contre la
cybercriminalité, sans savoir contre quoi on lutte réellement. Et la grande
difficulté reste les décideurs, qui ne savent même pas de quoi il s’agit. Il nous fallait donc créer un cadre où
des personnes qui maîtrisent réellement les technologies pourraient montrer aux
autorités, aux décideurs, aux informaticiens, et finalement aux utilisateurs
finaux, à quels risques ils sont exposés, et quelles sont les solutions
efficaces qu’ils pourraient mettre en œuvre. Je pense que nous avons réussi
notre pari !
4.
En
résumé, que faut-il retenir de cette 1ère édition au cours de
laquelle des ethical hackers ont été primés pour leurs prouesses ?
Il
existe des personnes qui ont peur de l’inconnu. Beaucoup de gens ont peur des
Insecurity Day. Cependant le comportement de beaucoup d’utilisateurs a changé.
Je suis heureux de savoir que lors d’une visite avec le Ministre des Postes et
des Tic, un internaute a témoigné ne plus cliquer sur des liens, durant sa
navigation sur Internet, depuis qu’il a suivi cette conférence. La compétition
a aussi permis aux participants de comprendre que le hacking n’était pas un
mythe. Ils ont pu comprendre leur degré d’exposition, et la prochaine édition
sera l’occasion pour nous de faire un bilan. Concernant les autorités, nous
avons vu une approche qui peut se résumer en ce que le Ministre des PTIC nous a
dit : « Sortez de l’obscurité et mettez-vous à la lumière. Nous
voulons que votre talent soit au service de votre nation ». Si une haute
autorité a compris que les hackers ne sont pas des criminels, mais plutôt des
jeunes talentueux obligés de se cacher, mais dont le talent peut être mis au
service de la nation, je pense que Insecurity Day 2011 a été bénéfique.
5.
Il
semble qu’il y ait plusieurs types de hackers. Pouvez-vous nous donner les
différences ?
Dans notre combat, nous refusons de
catégoriser les Hackers. Nous faisons plutôt une différence entre Hacker et
Cybercriminel. Tous deux ont une connaissance profonde des technologies, mais
l’utilisent différemment. Les Hackers utilisent leur connaissance pour leur
nation, pour aider les entreprises à mieux se protéger… Les cybercriminels
quant à eux, utilisent leur talent contre les entreprises, les banques, et vont
quelque fois jusqu’à terroriser des nations toute entière en interrompant des
services sensibles. Cependant on ne peut parler de crime que quand la loi
définit l’acte comme tel. Ainsi lorsqu’on ne veut pas parler de crime, on parlera
de hackers blancs (white Hackers) pour désigner ceux qui se mettent au service
des entreprises et de leur nation, les Hackers noirs (black Hackers) qui
utilisent leur connaissance contre les entreprises. Au milieu, on identifie une
autre catégorie, les Hackers gris (grey Hackers) qui selon les situations
peuvent être black ou white. Mais je pense que cette catégorisation vise à
ternir l’image des Hackers.
6.
Profitant
de la tenue des JNTIC (Journée Nationale des Technologies d l’Information et dela Communication), vous organisez la 2ème édition d’Insecurity Days,
qui se tiendra du 15 au 18 mai 2012 et aura pour thème : « les
hackers au service de la nation » ? A quoi doit-on s’attendre au
cours de ces 4 jours ?
Bien évidemment ce sera 4 jours pour
apprendre et pour découvrir. Nous ne sommes plus à une simple conférence, mais
plutôt à un salon avec plus de 15.000 visiteurs attendus. On aura donc de
manière permanente, des entreprises spécialisées qui exposeront, des
« Experts » capables de répondre à toutes les questions d’ordre technologique.
On aura aussi une formation qui nous permettra d’avoir au sein de notre police
et de nos entreprises, un personnel qualifié mais surtout certifié sur les
questions de piratage informatique, de Forensic et d’investigation
cybercriminelle. On aura aussi la compétition, mais aussi la présentation
officielle de livres écrits non seulement pour les administrateurs
informatiques, mais aussi pour les profanes.
7.
Fort
de vos nombreux passages à la télévision nationale et vos différentes
interventions sur les réseaux sociaux, vous êtes de plus en plus considéré
comme « l’ambassadeur de la sécurité internet en Côte d’Ivoire » mais
vous êtes reconnu aussi comme un leader dans le milieu fermé des « white
hackers ». En avez-vous conscience ? Et de quelle manière
utilisez-vous ce statut pour faire
évoluer ce domaine dans le bon sens ?
J’en ai une pleine conscience. Mais permettez-moi
de ne pas dévoiler le comment ici, car je l’ai réservé pour la conférence
d’ouverture des Insecurity Days, dont le thème est : « Les Hackers au service de la
nation », le Mardi 15 de 9H à 10H30
8.
La
sécurité web est encore très mal perçue
et gérée par les administrations et les entreprises ivoiriennes. Et ces
dernières voient d’un très mauvais œil, le support technique que vous et vos
« white hackers » souhaitez leur apporter. Comment
comptez-vous vous y prendre pour
atteindre vos objectifs ?
Je préfère dire que ce sont les
administrateurs informatiques qui ne veulent pas que des Hackers interviennent.
Pourtant, ils font intervenir des spécialistes de la maintenance, du réseau, des
stagiaires même, etc. La raison est toute simple, ils sont très bons dans leur
domaine, mais pas en sécurité. Car la sécurité c’est un tout autre domaine.
Cependant les décideurs ne sont pas contre l’idée de faire intervenir des
personnes qui peuvent protéger ce qu’ils ont investi. Dans une banque, nous
avons découvert que les administrateurs profitaient de ces problèmes de
sécurité pour faire des détournements. Sinon comment comprendre que quelqu’un
qui a un problème, et qui en est conscient depuis des années, sans pouvoir le
résoudre, refuse qu’on l’aide.
Cependant je veux notifier que je n’ai
encore engagé aucun Hacker ici pour quoi que ce soit. J’ai une équipe en Inde,
un partenariat avec une entreprise française qui me permet d’intervenir sur des
projets importants. Il faut préciser cela pour ne pas que certains croient que
M. N’Cho a des Hackers qui veulent par tous les moyens, avoir le marché de
sécurité de notre entreprise. Ce n’est pas vrai. Ce qui est vrai est que si
vous êtes attaqué, et que nous en avons l’information, nous en parlerons. Mais
c’est vraiment dommage que des jeunes qui approchent des entreprises pour
parler de problèmes importants, comme la protection des données des clients, soient
refoulés ! C’est vouloir les emmener à choisir un autre chemin. Je pense
que ces jeunes doivent comprendre que les Insecurity Days peuvent leur servir
de cadre d’expression.
9.
Récemment
votre statut de personne ressource publique en sécurité informatique et vos accointances avec le monde des
« hackers », vous ont valu d’être accusé par la SOTRA d’avoir piraté
leur site web et d’être ainsi convoqué par la police scientifique ivoirienne.
Qu’en est-il réellement ?
D’abord je ne pense pas vraiment que
j’ai été accusé. On voulait m’entendre. Parce que celui qui l’a fait a voulu
que les Insecurity Days soient incriminés. Peut-être qu’il se disait qu’en
incriminant Insecurity Days ou M. Yao N’Cho, cette affaire aurait plus de
publicité. Si c’est cela, il a réussi.
Pour moi ce qui est le plus important
à noter, c’est que des gens ont utilisé la manière forte, pour contraindre une
entreprise à penser à la sécurité. Mais ce n’est pas la seule entreprise.
Presque chaque jour, cela arrive dans notre pays. Il y a 5 ans en arrière, je m’amusais
à le faire aussi. Ce que les administrateurs en entreprise doivent comprendre
c’est que tout le monde n’est pas comme nous qui ne faisons que parler,
organiser des conférences ou écrire des livres. D’autres vont jusqu’à
contraindre les entreprises. Leur méthode est mauvaise, mais revenons à ce qui
les a motivé. Selon ce que ces personnes ont écrit, elles voulaient juste se
faire entendre. Parce que, lorsque votre site internet est
« piratable » vous permettez à n’importe qui de dévoiler des informations
personnelles de vos clients. Vous pouvez devenir une passoire pour infecter les
machines de tous vos visiteurs. Si des paiements en ligne sont effectués sur
votre site, les numéros de carte de crédit et les identités de vos clients seront
volés, usurpés et finalement utilisés à leur insu. Pourquoi tout cela ?
Parce que vous ne pensez qu’à votre business, mais pas à vos clients. Pendant
que nous parlons, sensibilisons, vous risquez de trouver d’autres qui
emprunteront une autre voix, pour juste vous faire comprendre que quelque chose
ne va pas (peut-être même depuis longtemps) dans votre serveur, ou votre site
internet.
A ces personnes qui attaquent ces
sites, ce n’est pas la bonne méthode. Les Insecurity Days sont le cadre idéal
pour vous exprimer et vous faire entendre….. par les décideurs !
10.
Un
dernier mot à l’endroit de mes lecteurs.
S’il
y a une chose que les internautes doivent comprendre c’est qu’en se connectant
à Internet, ils se sont exposés à de multiples risques. Pour une réelle
sécurité, ils devraient se déconnecter de l’internet. Si ce n’est pas possible
pour eux, ils doivent écouter des Hackers. Eux ils savent quels sont les
risques, et ils ont des solutions. En Côte d’Ivoire, les Hackers ont la parole
durant les Insecurity Days. Nous les y attendons !
Partager cet Article:
