Baptiste Robert aurait pu toucher un gros chèque en vendant au plus offrant ses trouvailles. Pas une semaine ne s'achève sans que cet ingénieur de 31 ans, installé à Toulouse depuis la fin de ses études à l'Enseeiht, ne révèle une faille informatique. Tout a commencé en 2017 quand il parvient à obtenir les droits absolus sur un smartphone Oneplus.

"En branchant le téléphone à l'ordinateur, j'obtenais un terminal de commande, je pouvais accéder à tous les dossiers de toutes les applications et les données personnelles", se remémore-t-il.

L'attention médiatique explose à partir de janvier 2018 lorsqu'il pointe les béances de sécurité du système d'identification de la population indienne fondé sur la biométrie (Aadhaar). Il devient alors une star dans ce pays, invité sur les chaînes de télévision pour débattre de l'outil gouvernemental, désormais au cœur d'une polémique brûlante. "C'est assez irréel la popularité que j'ai en Inde. On me dit qu'on parle de moi à la machine à café", rapporte Baptiste Robert.

Un hacker éthique

Pourtant, ce discret ingénieur n'est pas spécialement à la recherche de la gloire. Freelance pour une startup londonienne dans l'archivage de messages Whatsapp,  il pratique le piratage informatique sur son temps libre, souvent la nuit, quand ses enfants dorment. Baptiste Robert y voit un rôle de lanceur d'alerte. "Certains hackers balancent la faille de manière publique sans préalable, d'autres vont la vendre ou encore ne rien dire. Depuis le début, j'ai vu cette activité comme un engagement politique", lance-t-il avant de développer.

 "Le discours que j'ai beaucoup combattu est celui de dire les gens s'en fichent de leurs données personnelles. Je suis persuadé du contraire. Seulement, beaucoup ne comprennent rien à la technique et n'ont pas les éléments pour faire autre chose qu'accepter les paramètres par défaut proposés par les plateformes numériques. De l'autre côté beaucoup ne savent pas expliquer la technique. Ces deux mondes ne se parlent pas".

Baptiste Robert cherche justement à faire le pont entre la technique et le grand public. Sur son compte Twitter qui culmine à plus de 220 000 followers, il s'exprime derrière le pseudonyme Eliott Alderson, le célèbre héros de la série Mr Robot.

"Le but est d'incarner un personnage. C'est important d'incarner. Les gens ont un degré d'attention très faible et mettre une histoire permet de faire passer un message", ajoute-t-il. À chaque faille, "Eliott Alderson" essaie de captiver son auditoire en racontant une histoire. Depuis deux ans, il a révélé des bugs pêle-mêle sur Donald Daters, le Tinder des Républicains aux Etats-Unis, le chapelet connecté du Vatican ou encore la messagerie internet des agents de l'État, Tchap. "Hacker éthique", Baptiste Robert utilise le réseau social pour alerter (sur un ton plus impertinent que celui qu'il oserait employer dans la vraie vie) les entreprises ou les gouvernements des brèches informatiques qu'il découvre. Une fois le problème résolu, il rend public le bug. Mais c'est souvent trop tard.

"La cybersécurité n'est pas une option"

"Pour Donald Daters, en deux minutes chrono, j'ai réussi à obtenir l'intégralité des messages privés que les utilisateurs s'envoyaient sur l'application pour se fixer des rencards. Les créateurs de l'appli avaient fait une grande campagne de communication avec des publicités sur Fox News avec le slogan 'Make America date again'. Mais à cause de cette brèche, un an plus tard, elle n'a été téléchargée que 5 000 fois. Je me considère comme un hacker éthique au sens où j'ai envie de sensibiliser les entreprises sur le fait que la cybersécurité n'est pas une option. La négliger, c'est prendre le risque de ruiner sa réputation et tout peut s'écrouler", explique-t-il.

Mordu d'informatique depuis l'enfance (il a lu des livres de code de programmation à 14 ans alors qu'il n'avait même pas d'ordinateur), Baptiste Robert y assouvit sa passion pour la compréhension des systèmes complexes.

"Petit, je démontais les montres, je ne les remontais jamais. J'ai toujours eu une certaine appétence pour voir ce qu'il y avait à l'intérieur des objets. Hacker une application, c'est entrer dans la tête de la personne qui a créé le code informatique pour trouver la faille. Quand j'en ai une, je me dis que j'ai trouvé un truc que je ne devrais pas avoir sous les yeux, décrit-il. Cela se rapproche beaucoup du journalisme d'investigation. À partir de plusieurs indices, il faut remonter la piste".

Même s'il récolte parfois "des retours agressifs" d'entreprises ciblées via son compte Twitter, la plupart du temps ses alertes sont plutôt bien accueillies, par "la peur médiatique" du bad buzz mais aussi parce que les sociétés visées perçoivent chez lui quelqu'un "de bien intentionné, qui ne cherche pas à se faire de l'argent dessus".

Récemment, Baptiste Robert a fait partie de la poignée de hackers sollicités par le gouvernement français pour participer à une chasse au bug autour de l'application StopCovid. "C'est une première pour une administration française de lancer une chasse au bug avant le lancement officiel d'une application. L'intérêt est d'être constructif." Constructif même s'il ne mâche pas ses mots envers l'application, qu'il juge inefficace et risquée pour l'utilisateur. Même bien intentionné, Baptiste Robert n'entend pas pour autant perdre sa liberté de ton.

Lire aussi : "StopCovid risque de donner un faux sentiment de sécurité" (Baptiste Robert)