La faillite éthique de l’ONG “Hackers Sans Frontières”

Hackers Sans Frontières” (également “Hackers Without Borders” en anglais) est une Organisation Non-Gouvernementale (ONG) fondée en 2022 par quatre co-fondateurs issus du monde de la cyber-sécurité. L’ONG se présente comme une association humanitaire internationale qui apporte une assistance d’urgence aux ONG victimes de cyber-attaques. A l’image de l’ONG Médecins Sans Frontières dont l’une des vocations est d’apporter une assistance médicale neutre et impartiale en zone de guerre, Hackers Sans Frontières s’érige en défenseur des victimes du champ de bataille numérique, avec les mêmes ambitions d’éthique, de neutralité, et d’impartialité. Pourtant, la jeune ONG est loin d’être à la hauteur des ambitions éthiques qu’elle porte en étendard.

La genèse de Hackers Sans Frontières : le début du storytelling

D’après le narratif relayé dans les médias, la genèse de Hackers Sans Frontières s’inscrit dans le contexte de la cyber-attaque ayant impacté l’ONG de la Croix Rouge en janvier 2022, qui a entraîné la divulgation de données à caractère personnel de plus de 500 000 individus considérés en état de vulnérabilité. Révoltés par cette attaque informatique impactant les plus démunis, les quatre co-fondateurs ont imaginé la création d’une force d’intervention capable de porter assistance à des ONG ou associations caritatives victimes de cyber-attaques, celles-ci étant souvent peu armées pour faire face à de tels événements. Le manifeste de Hackers Sans Frontières sur le site Internet de l’association exprime ainsi que Hackers Sans Frontières “assure une cyberprotection et une assistance humanitaire aux ONG et aux victimes de conflits armés et d’autres situations de violence [qui] agit en réponse aux urgences”.

L’ONG documente ses trois missions essentielles : la prévention des cyber-attaques (à travers la formation de collaborateurs, ou l’identification préventive de vulnérabilités), la neutralisation des infrastructures des cyber-attaquants (à travers des actions légales de demande de fermeture de services informatiques par exemple), et le soutien aux victimes de cyber-attaques. L’ONG explique s’appuyer sur des volontaires bénévoles partout dans le monde pour soutenir son activité, experts en cyber-sécurité ou hackers.

Il n’est cependant pas possible de comprendre la structure organisationnelle de l’ONG sur la seule base du site Internet de l’association : aucun organigramme n’est explicité, aucun nom n’est référencé (excepté une adresse courriel nominative), aucune mention légale ne figure sur le site Internet. Pourtant, ses co-fondateurs expriment dans les médias qu’au 1er mars 2022, l’association comprend ”173 volontaires et autres”, et ”plus de 300 membres” au 14 mars 2022.

La rhétorique du "chevalier blanc" de la cyber-sécurité, propice à la construction d'une empreinte

Hackers Sans Frontières développe deux grands axes narratifs, centrés sur l’aide humanitaire et le “hacking”, qui ont vocation à positionner cognitivement l’association dans la posture du “chevalier blanc” de la cyber-sécurité. Ce double narratif est d’emblée incarné dans le nom de l’association, “Hackers Sans Frontières”, qui fait écho aux ONG “Médecins Sans Frontières” ou “Reporters Sans Frontières” citées comme source d’inspiration, et bien sûr de façon éponyme à la nébuleuse des hackers. Au-delà du nom de l’association, les commandements éthiques universels propres à l’aide humanitaire (tels que décrit par L’Observatoire de l’Action Humanitaire) apparaissent ostensiblement sur le site Internet de Hackers Sans Frontières comme lignes directrices de son action : la neutralité et la non-discrimination, l’absence de confessionnalisme ou de parti pris idéologique, le désengagement de toute action de soutien à la lutte armée (concept appliqué ici à la cyber-sécurité), le rejet de financement provenant de possibles belligérants ([1], [2], et [3]). Toujours sur le site Internet de l’association, la terminologie employée relative à la cyber-sécurité relève à la fois du champ lexical martial (reprise des termes “conflits armés”, “violence”, “neutralisation”, maintien de l’ordre et de la loi - “law enforcement” -, etc.) couplé à celui du hacking (multiple reprises des termes “hackers”, “indicateurs de compromission”, “vulnérabilités”, “cyber-menaces” etc.).

L’emploi de cette terminologie contribue à créer un effet d’ancrage sur l’audience cible, en dramatisant le discours par des mots-clefs guerriers qui renvoient en miroir la vulnérabilité des victimes, et la nécessité de les protéger sans contrepartie, soit la raison d’être de l’association Hackers Sans Frontières. En effet, il peut sembler paradoxal pour une association qui promeut la “cyber-paix”, d’employer des éléments de langages martiaux qui sont extrêmes dans le contexte. En particulier, la notion de “conflits armés” pour évoquer les enjeux numériques d’ONG ou associations caritatives est disproportionné : celles-ci n’opèrent pas de systèmes informatiques industriels sensibles (industrie lourde, production d’énergie, etc.) ou systèmes informatiques qui seraient vitaux, et qui dans le contexte d’une cyber-guerre pourraient effectivement être exploités par des belligérants pour porter physiquement atteinte à des individus (opérateurs humains, population, etc.) en tant qu’arme par destination.

Un travail de couverture médiatique a été entrepris par les co-fondateurs de l’association, dans lequel ces éléments de discours martial et la rhétorique associée sont repris sans nuance. Cette couverture médiatique sert aussi bien la visibilité de l’association, mais également celles des fondateurs qui sont cités ou interviewés par les médias. Le relais médiatique a été relativement important aussi bien dans la presse écrite de journaux grand public reconnus (par exemple La Croix, Ouest-France, Le Télégramme), ou spécialisés en informatique (tels que CIO Mag, ou Global Security Mag, ou encore des blogs spécialisés), que les médias radios (France Info, Sud Radio) ou télévisuels (TV5 Monde, France 5 TV dans l’émission C dans l’air, ou CNews).

La belle histoire du hacker repenti qui se met au service de la société civile et fonde Hackers Sans Frontières pour défendre les opprimés

Le storytelling de Hackers Sans Frontières rejoint et alimente un autre storytelling : celui de Florent Curtet, un des co-fondateurs de l’association, qui se présente sur son compte Twitter comme président de Hackers Sans Frontières. Adolescent dans les années 2000, Florent Curtet était membre d’un groupe de “hackers” et “dépouillait les banques” pour son gain personnel tel que raconté par le média en ligne Vice. Après un passage en prison et une décision judiciaire aboutissant à de la prison avec sursis et une amende, Florent Curtet rentre dans le droit chemin. Il passe son bac, poursuit ses études, et débute sa carrière professionnelle dans la cyber-sécurité. L’histoire se poursuit, relayée par L’Express : Florent Curtet a monté sa propre société de cyber-sécurité et “[monnaye] ses compétences au service du bien”, c’est à dire qu’il est devenu un “hacker éthique” qui use de ses compétences en cyber-sécurité pour attaquer (de façon encadrée et légale) les systèmes informatiques de ses clients et détecter les failles avant les attaquants, contribuant ainsi à la protection de l’entreprise.

Dans ses activités professionnelles, Florent Curtet a fourni un temps un service de “cyber-négociation”, activité qu’il a mise sur le devant de la scène au travers d’interviews qui ont contribué à façonner son image de hacker éthique (par exemple les articles “Florent Curtet, l’homme qui murmurait à l’oreille des gangs de ransomwares” en octobre 2021, et “Est-il vraiment possible de négocier avec les gangs de ransomware ?” en juin 2022). Dans le contexte d’une compromission informatique d’une entreprise, la cyber-négociation consiste à rentrer en relation avec les attaquants (les “hackers”) pour monnayer l’arrêt de l’attaque. Ce type de services s’est notamment développé avec la recrudescence des attaques par rançongiciel dans lesquelles les hackers paralysent les systèmes informatiques d’entreprises vulnérables en chiffrant leurs données (les rendant illisibles), et en mettant en œuvre un mode opératoire de paiement de rançon en échange de l’obtention d’une clef de déchiffrement (qui permettra de récupérer les données chiffrées). En cas de non-paiement de la rançon, les hackers menacent parfois de divulguer des données collectées chez l’entreprise afin de porter atteinte à son image et ainsi inciter au paiement. L’enjeu de la cyber-négociation est de jouer le rôle d’intermédiaire entre les attaquants et les victimes pour négocier un montant moindre. Notons que sur son site Internet professionnel, Florent Curtet mentionne l’arrêt de toute activité de cyber-négociation à l’hiver 2021, remplacée à l’été 2022 par une nouvelle prestation de services de “formation avancée en cours de cyber-négociation”.

Bien que le profil d’ancien hacker de Florent Curtet serve largement d’argument marketing pour ancrer une crédibilité sur le thème du hacking, en symbiose d’une logique commerciale de vente de prestations de cyber-sécurité, l’approche reste à ce stade éthiquement tolérable, et pourrait continuer à servir la rhétorique de l’exemple moral par la rédemption. Malheureusement, d’autres éléments de lecture jettent une suspicion et contribuent au discrédit de ce narratif. La suite de l’histoire du hacker repenti s’inscrit conjointement avec celle de l’association Hackers Sans Frontières qu’il cofonde en 2022. Notons à ce sujet les propos qui sont les siens relayés par un blog spécialisé en sécurité informatique concernant l’association Hackers Sans Frontières : “Nous voulons être clairs comme de l’eau de roche et transparents”.

Le hacker repenti accusé d'aider les cyber-attaquants

A l’été 2021, un groupe de hackers nommé Everest a compromis plusieurs entreprises françaises selon un mode opératoire par rançongiciel et une mise sous pression des entreprises par divulgation publique d’échantillons de données dérobées. Une des entreprises victimes était un prestataire de services informatiques pour TPE et PME (notamment de solutions d’hébergement informatique). En octobre 2021, Florent Curtet est cité par le journal en ligne LeMagIT comme ayant joué un rôle de cyber-négociation et de protection des victimes dans le contexte de cette attaque. Mais, en réponse directe à la publication de cet article, le groupe de hackers Everest a réagi en publiant sur son site Internet (accessible sur le “dark web”) un communiqué qui contredit sans ambiguïté cette version : Everest nomme explicitement Florent Curtet et l’accuse d’avoir joué “un double jeu pour son propre bénéfice”, à l’encontre de toute éthique professionnelle. Everest accuse Florent Curtet d’avoir pris part à la préparation de l’attaque contre le prestataire informatique victime, notamment en fournissant des renseignements au groupe de hackers. Everest donne des éléments de contexte sur les accusations formulées (noms de protagonistes, raison de la dénonciation, réaction aux propos du MagIT, etc.), ce qui contribue à crédibiliser le discours. Ce communiqué est référencé en annexe de l’article.

Dans le contexte de cette attaque informatique menée par Everest, la divulgation sur Internet d’éléments du dossier judiciaire concernant les attentats de Charlie Hebdo de janvier 2015 va être plus particulièrement médiatisée. Elle donne lieu notamment à un article dans Marianne en novembre 2021, dans lequel il est documenté qu’un suspect de nationalité française a été mis en examen pour extorsion en bande organisée et association de malfaiteurs. Le Figaro révèle de son côté que ce suspect réfute les accusions de participation aux attaques et se revendique être un “négociateur infiltré” défendant les intérêts du cabinet d’avocat : les poursuites engagées à son encontre seraient liées au fait qu’il ait sollicité “une rémunération de sa mission de négociation”. Des recoupements contextuels permettent de faire le rapprochement avec Florent Curtet, mais c’est le quotidien Intelligence Online qui le nomme explicitement et précise les accusations qui reposeraient sur une trop grande proximité avec le groupe Everest, notamment comme étant le point de contact officiel d’Everest en Europe. Notons également qu’Intelligence Online dans cet article souligne le côté clivant de Florent Curtet au sein de la communauté cyber-sécurité.

Un défaut de transparence majeur qui questionne directement l'éthique du hacker repenti et délégitime Hackers Sans Frontière

Ces révélations entachent gravement l’image du hacker repenti qui œuvre pour le bien, et par transitivité l’image de l’ONG Hackers Sans Frontières qu’il a cofondé et dont il défend la transparence et la clarté. Il y a un écart trop flagrant entre le discours véhiculé dans les médias, et les accusations formulées. Florent Curtet a été directement interpellé sur Twitter sur ce qui apparait comme une dissimulation de faits, sans qu’il n’exprime de réponse publique. Pire, l’internaute qui l’a interpellé fait publiquement état sur Twitter de tentative d’intimidation de la part de Florent Curtet, avec une capture d’écran à l’appui. Sans qu’il ne soit possible en source-ouverte d’attester la véracité de la capture d’écran de l’internaute, ceci alimente un faisceau de suspicions qui impose d’autant plus à Florent Curtet et à l’ONG Hackers Sans Frontières de s’exprimer publiquement sur le sujet.

Florent Curtet ne semble pas en être à son premier coup d’essai en tentative de dissimulation : l’entreprise qu’il a fondé en juin 2020, NeoCyber, expose sur son site Internet vitrine un statut de SARL à hauteur de 100 000 euros, lorsque le registre français infogreffe référence pour le même numéro SIRET un statut d’auto-entrepreneur. Les incohérences des mentions légales de son site Internet ont elles aussi fait l’objet de questions adressées directement à Florent Curtet sur Twitter en novembre 2021 pour recueillir ses explications. La réponse qu’il formule n’apporte aucune clarté et accentue, si ce n’est la malhonnêteté, a minima la confusion : elle exclut toute maladresse potentielle de Florent Curtet, et démontre bien une volonté de dissimulation de l’information, probablement dans une logique de mieux valoriser son activité professionnelle. Ce qui aurait pu rester au stade anecdotique d’un défaut d’éthique concernant le maquillage d’un auto-entrepreneuriat en société à responsabilité limitée, prend une dimension autre dans le contexte d’un individu qui veut incarner transparence et clarté, mais surfe avec les limites : cela acte définitivement un défaut de confiance.

Sans préjuger de la culpabilité ou de l’innocence de Florent Curtet sur les faits dont il est accusé dans sa mise en examen du 14 novembre 2021, le fait que lui, ou l’ONG Hackers Sans Frontières, n’aient pas communiqué publiquement sur ces accusations constitue une faute : en bafouant les impératifs de transparence et d’éthiques exemplaires qui incombent aujourd’hui à toute association ONG, Hackers Sans Frontières a perdu toute légitimité. Au-delà même de l’éthique et de la transparence attendues par la société civile, Hackers Sans Frontières a porté en étendard dès sa genèse ces mêmes valeurs morales qui aujourd’hui lui font défaut. A ce stade de dissimulation des faits qui porte directement atteinte aux fondamentaux de Hackers Sans Frontières, la démarche même de création de cette ONG peut alors apparaître comme une action manipulatoire ou malhonnête.

La frénésie de la cyber-sécurité et la complexité intrinsèque du sujet : un terreau propice à l'imposture

Alors que la cyber-sécurité est aujourd’hui un enjeu décisif de survie des entreprises, que ce sujet est souvent mal compris et mal appréhendé, et que le manque de ressources qualifiées est criant (cf. le rapport d’information du Sénat de 2021 “La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?”), ce contexte s’avère favorable à la mystification du sujet.

La cyber-sécurité est intrinsèquement complexe, dans le sens où elle recoupe subtilement des sujets relevant de l’organisationnel de l’entreprise (modèles opérationnels, fonctions organiques, appréhension stratégique du risque de cyber-sécurité, etc.) et des sujets de nature technique (implémentation des outillages de sécurisation, détection des vulnérabilités, etc.). Cette complexité devrait appeler à l’humilité. Cependant, la tendance à l’hypermédiatisation et la vulgarisation du sujet pour le grand public, l’appel à un marketing exacerbé dans un marché en effervescence, permettent et encouragent une auto-proclamation de l’expertise cyber-sécurité d’autant plus aisée qu’il n’existe pas de métrique ou de définition absolue de celle-ci. Les “experts cyber-sécurité” qui se succèdent dans les médias sont de même nature que les “experts Covid-19” de la pandémie, ou les “experts géopolitiques” de la guerre en Ukraine : leurs déclarations appellent à être considérées avec prudence, et recul.

Dans ce contexte il est d’autant plus légitime de se poser la question de l’apport de valeur intrinsèque de l’ONG Hackers Sans Frontières. Les multiples apparitions médiatiques de trois des co-fondateurs pour évoquer l’ONG ne sont-elles finalement que des autopromotions individuelles visant à marketer leur propre image ? La question est d’autant plus légitime quand deux d’entre eux gèrent leur propre société de services en cyber-sécurité ([1] et [2]), et qu’un autre est devenu un “objet médiatique“ qui compte de nombreuses interventions dans les médias en tant que “hacker éthique“ : les retombées en termes d’image sont alors une source indirecte de revenus pour les co-fondateurs.

Pierre Valettari
Auditeur de la 40ème promotion MSIE de l’EGE

Annexe – Communiqué de Everest

La capture d’écran annexée référence le communiqué d’Everest mentionné dans l’article et évoquant Florent Curtet et son entreprise NeoCyber. Ce communiqué était encore disponible sur le ”dark web” en novembre 2022 (sur le site accessible par le réseau d’anonymisation Tor http://ransomocmou6mnbquqz44ewosbkjk3o5qjsl3orawojexfook2j7esad.onion). Celui-ci est archivé sur le site archive.org et consultable en ligne.