De vendredi soir à dimanche, l'École de technologies supérieures (ÉTS), à Montréal, accueille le concours de sécurité appliquée NorthSec, où s'affrontent 16 équipes de 8 experts en sécurité informatique. NorthSec est un organisme sans but lucratif dont le premier objectif est d'organiser un concours en sécurité appliquée sur une base annuelle.
Les participants proviennent de différents milieux : des étudiants, des professionnels, de même que des amateurs, qui n'ont pas fait carrière en sécurité, mais qui s'intéressent de très près à tout ce qui touche la programmation.
Les organisateurs ont mis en place une entreprise virtuelle, dont les concurrents sont amenés, à travers différentes épreuves, à percer la sécurité. Par exemple, amener un système à effectuer des opérations pour lesquelles il n'a pas été programmé. Ils peuvent également accumuler des points en dénichant des drapeaux virtuels qui sont cachés dans les infrastructures logicielles.
« On tente de mettre les équipes dans des situations réelles, qui ressemblent à d'entreprise », explique Gabriel Tremblay, président de NorthSec et dirigeant d'une entreprise en sécurité informatique.
Le concours est axé sur l'attaque, tandis que d'autres sont davantage axés sur la défensive. « Ce qu'on voit le plus, en ce moment, ce sont des attaques web qui essaient de chercher de l'information dans des bases de données. On envoie du code malicieux pour récupérer de l'information », précise Kevin Marin, vice-président aux communications pour NorthSec. « En attaquant, on va comprendre les systèmes de défense, les erreurs. En ne faisant que de la défense, tu n'apprends pas. En d'autres mots, un bon attaquant fait un bon défenseur », ajoute-t-il.
« L'objectif premier de l'événement est de faire augmenter le niveau technique en sécurité appliquée au Québec et au Canada. Les gens qui viennent ici apprennent, sur fond de compétition », dit M. Marin.
Selon ses organisateurs, NorthSec est parmi les concours les plus difficiles au Canada. L'organisme souhaite devenir une épreuve officielle de qualification pour le DEFCON, conférence et concours annuel, aux États-Unis, en quelque sorte la Mecque de la sécurité informatique.
Une manne pour le recrutement
Beaucoup d'entreprises sont très heureuses de la tenue d'un événement comme NorthSec, qui leur permettent de courtiser une main-d'oeuvre aussi rare que prisée.
Le principal commanditaire de NorthSec est le Centre de la sécurité des télécommunications Canada (CSTC), l'organisation nationale de cryptologie du Canada, qui relève du ministère de la Défense, et qui fréquente régulièrement les concours du genre. Des recruteurs du CSTC sont d'ailleurs bien présents, sur place. « On agit comme premier filtre pour le CSTC afin de les aider à trouver de bons candidats, qui connaissent le domaine », dit Kevin Marin.
Bien présents, mais peu bavards. Les recruteurs ne peuvent parler aux médias, ni être pris en photo. Pas moyen de leur tirer un mot sur l'état des lieux de la cybersécurité au Canada. Ni de leur faire dire ce qu'ils pensent du fait que le Centre canadien de réponse aux incidents cybernétiques (CCRIC) est fermé la fin de semaine, et, durant la semaine, seulement ouvert aux heures de bureau.
Pas moyen, non plus, de savoir combien de soldats virtuels l'organisation cherche à recruter. « Le CSTC est toujours à la recherche de candidats pouvant se joindre à notre effectif d'élites, entre autres dans le domaine de la sécurité informatique.Nous avons choisi d'être présents lors de cette compétition puisque les compétences requises pour participer à cet événement sont très similaires à celles que nous recherchons pour notre organisation », nous a laconiquement répondu, par courriel, le porte-parole Ryan Foreman.
Le New York Times rapportait récemment que le département américain de la Sécurité intérieure (Homeland Security) est en ce moment en manque d'experts en sécurité informatique (il en manquerait 600, selon l'article) et se sert d'événements semblables pour faire du recrutement. L'article mentionne que le gouvernement américain souffre d'une forte concurrence du secteur privé, où les conditions salariales sont souvent de loin supérieures à celles du fédéral.
Une recruteuse du CSTC présente à NorthSec nous a indiqué qu'au Canada, le gouvernement fédéral offre des conditions de travail qui se comparent à celles du privé. « Autant pour le fédéral que pour l'entreprise privée, ce n'est pas facile d'aller chercher de bons candidats », reconnaît de son côté Kevin Marin.
La passion, le premier critère
Et en quoi consiste un bon candidat? « C'est d'abord et avant tout quelqu'un de passionné », nous dit Laurent Desaulnier, expert en sécurité informatique pour une institution financière et membre du comité organisateur de NorthSec.
« Le profil type du candidat idéal, pour un employeur, c'est quelqu'un qui est âgé de 20 ans, et qui a 10 ans d'expérience. Quelqu'un qui ne fait pratiquement que cela de ses temps libres et qui cherche à se dépasser », dit le jeune homme, qui semble lui-même correspondre à ce profil. En effet, spécialisé en lock picking (ouverture de serrures, ou crochetage), il s'est acheté un guichet automatique afin de s'entraîner à le déverrouiller.
Pour faire carrière en sécurité informatique, est-ce une bonne idée de pirater le site d'une entreprise et de s'en servir comme carte de visite? « Pas du tout », répond catégoriquement Laurent Desaulniers. « L'éthique est quelque chose de très important, ajoute-t-il. Si vous faites un mauvais coup, vous ne pourrez jamais travailler en sécurité. Jamais le gouvernement ou les institutions financières ne laisseront travailler quelqu'un qui a un dossier criminel dans un poste requérant une cote de sécurité. »
« Les gens qui piratent un système pour se faire engager, c'était vrai en 1990. La communauté était toute petite, il n'y avait pas de certifications, c'était un peu le Far West. Faire ça aujourd'hui, c'est de l'extorsion », dit-il.
« Il y a toutefois ce qu'on appelle la divulgation responsable : si quelqu'un trouve une faille, le geste éthique est de la signaler aux responsables du système. Mais même ça, c'est sujet à débat, car plusieurs soulignent que pour trouver une faille, il faut, jusqu'à un certain point, faire du piratage. De plus, il y a des compagnies qui réagissent très mal à ça », dit M. Desaulnier.
Pirates ou experts en sécurité?
Le pirate informatique (hacker) a-t-il mauvaise presse? « C'est une question de terminologie et de visibilité, dit Gabriel Tremblay, président de NorthSec. Les médias parlent des mauvais coups perpétrés par les pirates informatiques. Mais les experts en sécurité, qui ont les mêmes compétences et assurent le bon fonctionnement des institutions et des infrastructures, on n'en entend pas parler ».