En deux décennies à peine, la Roumanie s'est imposée comme pays en pointe dans le domaine de la cybersécurité. Curieusement, il y a dix ans, le pays faisait surtout la une des journaux internationaux… pour ses hackers causant des dégâts colossaux.
Difficile de prononcer les mots « hacker » et « Roumanie » dans la même phrase sans penser à Robert Butyka, plus connu sous le pseudo de « Iceman ». Né en 1986, le pirate du net a grandi dans les barres d'immeubles situées à l'ouest de la ville de Cluj-Napoca, en Transylvanie. Pionnier de la cybercriminalité, depuis 1998, il a crashé Yahoo, fait buguer des milliers de serveurs, jusqu'à son plus grand fait d'armes : le piratage de l'impénétrable organisation spatiale américaine, la National Aeronautics and Space Administration (Nasa), en 2010.
Robert Butyka voulait croire le mythe selon lequel l’institution américaine embaucherait ceux qui arrivent à pénétrer dans leurs serveurs. En mal de sensations, il s’est infiltré dans une vingtaine d’ordinateurs pour y déposer son curriculum vitae. Son opération a coûté un demi-million de dollars de dommages à la Nasa. « Je pensais avoir un job … J’ai eu de la taule, en rit encore amèrement Robert, bière à la main et lunettes de soleil sur le nez. En fait, ils n’ont pas le droit d’embaucher des gens qui ont commis des actes illégaux. » Il boit une gorgée. « J’ai fait trois ans de cabane. Pendant ce temps, j’ai perdu beaucoup de mes connaissances sur les technologies. Je suis sorti complètement largué. »
À sa sortie de prison, « Iceman » est tiraillé. Il se languit de l'adrénaline procurée par la pénétration des serveurs, mais craint les conséquences : « J’ai eu peur que la prison me rende bête. Je ne veux plus y retourner, alors je ne prends plus de risques. Plus rien d’illégal. » Heureusement, Robert Butyka a depuis bien longtemps tapé dans l'œil d'un autre hacker : Remus Munteanu, lui aussi originaire de Cluj.
Robert Butyka ou « Iceman », devenu hacker éthique pour plusieurs entreprises de cybersécurité roumaines et internationales. © Laure Solé
Le hacking éthique : le plan B des pirates
Le fondateur de l’entreprise de cybersécurité Risktronics a obtenu la liberté conditionnelle de Robert Butyka en lui procurant un appartement et en l'embauchant pour qu’il devienne « hacker éthique » dans son entreprise. Éthique, parce que les sociétés payent pour être piratées. Un genre de test de leur sécurité, pour pouvoir ensuite colmater les failles. « Je ne travaille qu’avec les meilleurs », affirme Remus Munteanu. Il cherche en permanence des « talents », des personnalités exceptionnelles, pour rejoindre sa petite équipe. Il ne se cache d'ailleurs pas d'employer des personnes au passé au mieux tumultueux, au pire criminel.
Le parcours des deux hommes exprime des similarités, celles de toute une génération de jeunes qui sont tombés dans le hacking encore enfants. « Dans les années 1980, on n’avait qu’une seule chaîne de télévision disponible, quelques heures par jour. Il n’y avait pas grand-chose à faire, raconte Remus. J’ai eu de la chance, mes parents ont acheté un ordinateur. J’avais 12 ans. Avec des copains, on passait notre temps à recopier des lignes de code qu’on trouvait dans des revues, et puis on les changeait pour essayer des trucs. » La première chose qu’il a hackée ? « Mon propre ordinateur, sourit-il. Notre état d’esprit, c’était d’être curieux, rebelles. »
À la chute du régime de Ceaușescu, la Roumanie s’est ouverte, et le jeune Remus Munteanu a troqué un temps son clavier pour des livres de philosophie et une guitare. « Et puis, j’ai fini par revendre ma guitare pour m’acheter mon premier ordinateur, nouvelle génération. » Il lance plusieurs start-up, essuie quelques banqueroutes, pour finalement s’intéresser à la cybersécurité. « Au début, on n’avait même pas compris qu’on pouvait en tirer de l’argent, raconte le dirigeant. On le faisait gratuitement pour des entreprises qui valent maintenant des milliards, juste pour montrer qu’on pouvait. »
Les pirates du net ne sont plus sexy
Attablé dans son immense jardin, un verre de lait cru de bisonne à la main, Remus Munteanu s’est désormais mis au vert. Il ne supportait plus la ville, alors il a acheté un ancien château saxon pour en faire son quartier général. Et puis d’autres maisons alentour. Et puis un village entier. Même l’église d’en face lui appartient. Il en a acheté trois autres comme ça dans la région, les rénovations lui coûteront « des millions ». Autant dire que son business fonctionne bien. Pour autant, il déclare n'éprouver que peu d'intérêt pour faire grandir son entreprise, ou pour « mettre la Roumanie sur la carte ». Tout comme Robert Butyka, il regarde avec circonspection le nombre grandissant de diplômes pour devenir expert en cybersécurité. Pour lui, une seule école : l'intrépidité et l'expérience.
Face à ceux qui se revendiquent self-made men, un tout autre modèle fleurit, sur les pavés de la ville cette fois. Cyber Threat Defense (CTD) en est un exemple. Cette entreprise de cybersécurité, basée à Cluj-Napoca, se porte tout aussi bien. CTD est aussi spécialisée dans le hacking éthique. L’année dernière, la jeune entreprise a réalisé son premier million de chiffre d’affaires. Cette année, ils comptent doubler ce montant. « Depuis notre création en 2017, notre chiffre d’affaires est multiplié par deux chaque année », se félicite son cofondateur, Andrei Pușoiu.
La croissance de l’entreprise les pousse à embaucher une à deux personnes par mois. Mais, à l’inverse de Risktronics, l’entreprise roumaine ne se vante pas d’avoir d’anciens pirates dans ses rangs. « Au contraire, affirme son directeur général. Avant, c'était quelque chose de sexy d'avoir des hackers dans sa société. Depuis quelques années, c’est de plus en plus mal vu. C’est mauvais pour les affaires. » Hors de question d’afficher un quelconque lien avec le hacking illégal. CTD affirme avant tout chercher des jeunes « talents », quitte à débaucher un ancien livreur de pizzas, et à le blinder de certifications internationales, aux frais de l'entreprise. « Ces labels sont des marques de confiance pour nos partenaires », affirme le cofondateur.
Pour être tamponné de la certification la plus connue, Offensive security certified professional (OSCP) par exemple, il faut débourser près d’un millier de dollars – sans compter le prix des cours. Il existe des dizaines de certifications de ce type, sans qu'aucune évaluation impartiale et fiable ne puisse les départager pour l'instant.
Andrei Pușoiu et Daniel Ciobanu, PDG de Cyber Threat Defense. © Laure Solé
Génération bidouillage
Les fondateurs de Cyber Threat Defense, Remus Munteanu, comme « Iceman », n’avaient ni ces certifications, ni pléthore de ressources à disposition pour apprendre à devenir hackers – encore moins hackers éthiques. Ils sont de la génération bidouillage. « Dans cette industrie, tout le monde dans notre génération a un peu de bagage [dans le hacking illégal] ... On a bien dû apprendre quelque part », sourit Andrei Pușoiu. La génération de self-made hackers, née sous la répression communiste de Nicolae Ceaușescu, a porté la Roumanie sur le devant de la scène cyber.
Presque en adoubement de cette particularité roumaine, la première institution européenne à s’installer dans le pays n'est autre que le Centre de compétences en matière de cybercriminalité. « Différents facteurs ont parlé pour la Roumanie, explique Martin Übelhör de la Commission européenne, chargé de cette institution cyber à Bruxelles. La Roumanie est connue pour ses diplômés universitaires qualifiés, ses spécialistes en cyber et un écosystème dynamique avec de grandes et petites entreprises spécialisées dans ce domaine. »
Le fonctionnaire européen nomme à titre d’exemple BitDefender. Spécialisée dans les solutions de cybersécurité, la société née au début des années 2000 est présente dans près de 200 pays et se place comme l’une des leaders dans son domaine.
Les entreprises cyber roumaines prospèrent. Cluj IT, un cluster d’entreprises spécialisées dans les technologies de l’information dont Risktronics fait partie, est passée d’une trentaine d'entreprises à sa fondation en 2012 à plus de 70 – sans compter les acteurs de la recherche universitaire. « La dynamique est très positive, notre expansion suit celle de la Roumanie dans ce domaine », témoigne l’une de ses administratrices. Le problème ? Les experts de la cybersécurité roumains travaillent principalement pour des clients étrangers. Seulement un client sur dix de CTD est Roumain. « Rien que dans les dernières semaines, beaucoup de sites essentiels en Roumanie ont été attaqués. Mais avec des attaques très rudimentaires de type DDOS [attaque par déni de service, qui consiste à surcharger un site pour le rendre indisponible, NDLR], se désespère Remus Munteanu de Risktronics. N’importe qui peut les utiliser moyennant quelques crypto-monnaies. La Roumanie doit plus investir dans sa propre cybersécurité. »
Emma Bougerol et Laure Solé
Remus Munteanu, PDG de Risktronics, qui déambule dans l'église qu'il rénove à ses frais. © Laure Solé