En quelques jours, un ingénieur français a dévoilé des failles de sécurité dans différents smartphones vendus en France. Rien ne le prédestinait à être le chevalier blanc des données personnelles, mais aujourd'hui, il compte persévérer et révéler les embarrassantes pratiques des sociétés peu regardantes.

Baptiste R. est sous le feu des projecteurs des médias technologiques internationaux. Une drôle de célébrité pour ce jeune ingénieur de 28 ans qui apparaît sur les réseaux sous le surnom d’Eliott Alderson, le héros de la série Mr. Robot. Un surnom pas vraiment choisi pour les « intentions politiques » du personnage — le garçon balaye : « j’utilise ce pseudo car c’est amusant ».

Et pourtant, en quelques jours, l’ingénieur qui a fait ses classes dans la région toulousaine s’est dressé en véritable « white hat » en matière de protection des données. Jour après jour, il a dénoncé les pratiques du constructeur OnePlus, obligeant ce dernier à répondre de ses actes, puis Wiko, toujours empêtré dans le scandale — selon nos informations, la marque française refuse de reconnaître qu’elle collecte des données personnelles –, et ce vendredi, PayPal.

À la poursuite des backdoors perdues

Chaque fois, le jeune homme poursuit dans les tréfonds des applications des comportements suspects qu’il met en lumière sur son compte Twitter. Il avoue ne pas s’être attendu à un tel succès lors de la publication de ses premières découvertes concernant OnePlus : « Je ne pense pas être le premier à découvrir ça [un accès root pour une application système], les gens font sûrement ça dans leur coin et n’en parlent pas forcément. Moi, mes tweets ont été remarqués. »

L’emballement prend vite : la presse spécialisée américaine se penche sur ses découvertes, Carl Pei, vitrine de la communauté OnePlus finira par répondre directement à l’ingénieur français. « Apparemment, ça intéresse, donc je continue », résume ce nouveau chevalier de la data volée. Peu de temps après, c’est le français Wiko qui tombe dans ses filets. La communication mâtinée de bonne humeur factice du roi de l’entrée de gamme hexagonale en prend un coup : à sa manière, le Français tente de gérer les retombées.

Les médias sont appelés, la marque martèle qu’elle n’a commis aucune erreur, au même moment où Baptiste R. est « invité dans leurs locaux à Marseille ». Il refuse.

« Ayez conscience que vos données peuvent être manipulées et exfiltrées »

Incompétence ou mauvaise foi des constructeurs : l’ingénieur a du mal à croire à la négligence. Il tance : « Les données personnelles des utilisateurs sont une marchandise à part entière qui a une forte valeur. » Ajoutant : « Si vous êtes un client lambda, ne donnez pas votre confiance aveuglement à ces grandes marques. Ayez conscience que vos données peuvent être manipulées et exfiltrées. »

Si le garçon précise ne pas détenir des preuves que les failles découvertes ont des buts commerciaux, il croit voir dans le modèle économique des firmes touchées des raisons supplémentaires de douter : « On ne gagne pas beaucoup d’argent en vendant du hardware à ce prix, par contre, sur le logiciel, la vente de service, c’est bien différent ». Dès lors, les données volées pourraient rapporter plus qu’un smartphone vendu à très bas prix. Cela pourrait expliquer la présence de nombreuses entreprises chinoises dans son tableau de chasse ?

« Grey hat »

Cette semaine passée à la une des médias technologiques bouscule un peu les habitudes du garçon. Il est désormais en contact informel avec des employés d’Avast ou Eset alors même qu’il ne travaille pas dans ce secteur. Il est développeur Android dit bas niveau pour son expertise sur les fondements de l’OS de Google. Désormais, l’ingénieur n’exclut pas une reconversion après ses découvertes : bosser dans le sécurité, « c’est dans les tuyaux ». Et pourtant, ce n’était pas un objectif.

S’il s’imagine volontiers « grey hat, considérant qu’il ne retire aucun gain matériel n’étant pas un professionnel du secteur », le jeune homme a encore du mal à clarifier sa démarche. « C’est politique bien sûr, ce serait super de faire bouger les gens et les entreprises sur le sujet [de la protection des données] mais ma démarche se focalise seulement là-dessus ». À ce titre, il voit des modèles dans le journalisme et l’investigation tout en gardant les pieds sur terre : « Il faut remettre les choses dans leur contexte. Je vais continuer mon travail, si ça fonctionne et que les choses bougent, c’est bien, sinon, ça ne m’empêchera pas de dormir. »

L’ingénieur n’exclut pas en revanche d’être rejoint dans sa démarche. Il encourage toutes les bonnes volontés : « Tout le monde est le bienvenu, développeurs d’application, experts en sécurité, mais également les personnes connaissant les plus bas niveaux d’Android ». La lutte pour comprendre ce qu’il se passe dans les recoins de nos téléphones n’est pas finie.