SÉCURITÉ. Combien peuvent se vanter d’avoir réussi à déjouer une serrure qui possède la meilleure cote de sécurité? Dominic Villeneuve, lui, l’a fait et il a, en plus, trouvé une façon de corriger la faille.
À l’emploi d’UV Assurance, à Drummondville, comme directeur de la cybersécurité et infrastructure, Dominic Villeneuve est passionné par les serrures, les différentes façons de les déjouer et l’ingénierie inversée. Ainsi, il a pu mettre la main sur la serrure électronique CO-100 de Scholage, qui possède un grade-1 de sécurité, soit la meilleure note possible.
Déterminé à trouver une façon de la crocheter, M. Villeneuve s’est levé tôt un matin avec comme objectif de venir à bout de la serrure. Après deux heures d’essais et d’erreurs, c’est à l’aide d’une attache de câble (tie wrap) qu’il a réussi à désenclencher le système de verrouillage électronique depuis le trou de drainage situé au bas du dispositif.
«Je m’étais levé vers 4 h du matin. J’ai ouvert la serrure pour voir comment elle fonctionnait. J’ai compris que c’était seulement un bras de plastique qui actionnait le mécanisme. Si j’arrivais à tirer sur le bras, elle s’ouvrirait. J’ai tenté différentes techniques. J’ai essayé avec une broche de métal, mais je brisais le mécanisme plutôt que de l’ouvrir. Lorsque j’ai utilisé l’attache de câble avec des encoches, ça a fonctionné. Il était 6 h et j’étais tout énervé d’avoir réussi», a raconté celui qui s’intéresse aux serrures depuis l’âge de 5 ans.
Étant aussi ce qu’on qualifie de pirate éthique, Dominic Villeneuve a entamé des démarches afin d’informer l’entreprise du défaut de sa serrure. Après quelques tentatives infructueuses, il a finalement été mis en communication avec Frank Casper, chef de la cybersécurité chez Scholage. Il leur a envoyé une vidéo dans laquelle on le voyait crocheter la serrure.
«Je ne leur ai pas montré comment j’avais réussi. Quelques jours plus tard, ils me sont revenus et certains ingénieurs croyaient que j’avais réalisé un trucage. Ils n’avaient pas réussi à découvrir comment j’avais fait. Je leur ai donc envoyé une seconde vidéo dans laquelle je montrais comment j’avais procédé. Ils ont compris et ils ont pris la décision d’arrêter la production de la serrure», a indiqué M. Villeneuve.
Divulguer la faille
L’entreprise a donc dû trouver une façon de réparer le défaut. Plusieurs mois plus tard, Scholage a envoyé à Dominic Villeneuve deux prototypes de corrections qu’il a déjoués rapidement. Une troisième correction l’a satisfait. Par la suite, le Drummondvillois a demandé à l’entreprise de publier un avis de rappel concernant le défaut de la serrure.
«Ils n’ont pas publié le rappel comme je l’espérais. Donc, plus d’un an après tout ça, au mois de juin 2021, j’ai recontacté Frank Casper qui m’a confirmé que Scholage n’avait pas l’intention de publiciser la situation. Moi, j’ai décidé de le faire parce que c’est une vulnérabilité majeure», a-t-il noté.
Au mois de décembre dernier, Dominic Villeneuve a figuré dans le Bloomberg Businessweek pour y étaler sa découverte. Il a même, entre temps, refusé une offre pour être consultant pour l’entreprise afin de conserver son indépendance. C’est ainsi qu’il a pu développer son propre correctif et le rendre public.
«J’ai pu rendre mon dispositif public parce que la compagnie m’a dit que le leur l’était. Si, de leur côté, l’information est publique, moi, en faisant de même, je ne venais pas contrecarrer mon côté éthique en divulguant une vulnérabilité. Pour corriger le défaut, ils ont bien collaboré, c’est pour le communiquer que j’estime qu’il y a eu un problème», a conclu Dominic Villeneuve.
Le piratage éthique
Le piratage informatique est assez connu, mais on ne peut en dire autant du piratage éthique. Si le pirate malveillant cherche à extorquer des données personnelles pour son propre profit, le pirate éthique aura plutôt comme objectif d’aider à l’amélioration des réseaux.
Dominic Villeneuve se décrit comme l’un de ces pirates éthiques. «Le piratage éthique peut se décrire comme le test des sécurités dans l’objectif de les améliorer. On utilise les mêmes techniques que les pirates sans nécessairement acheter les mêmes outils qu’eux utilisent parce que ça encouragerait le crime, a décrit M. Villeneuve. Il y a un bon parallèle à faire entre les deux. C’est vraiment trippant de pirater; que ce soit de déverrouiller une serrure que de craquer un système ou défoncer une sécurité, la sensation est vraiment plaisante. Le mauvais pirate fera tout ça pour exploiter la faille pour obtenir de l’argent par exemple.»
Attiré par les systèmes de sécurité depuis l’âge de 13 ans, Dominic Villeneuve a toujours eu de la facilité à comprendre le fonctionnement des choses. À l’approche de la vingtaine, il a décidé de mettre ses compétences au profit en suivant des cours de piratage éthique. Il a, par la suite, obtenu plusieurs contrats de la part de différents organismes gouvernementaux et entreprises.
«Si je n’étais pas un pirate éthique, probablement que je déverrouillerais des serrures et les reverrouillerais sans même entrer. Mon plaisir est de comprendre le fonctionnement et de le contourner. C’est de défaire une sécurité et de voir comment on peut l’améliorer», a confié celui qui est à l’emploi d’UV Assurance depuis trois ans.
Selon Dominic Villeneuve, le piratage éthique présente de belles perspectives dans le domaine de la sécurité informatique. «Je crois que la plupart des entreprises devraient faire affaire avec un pirate éthique, des gens pour les hacker et leur dire quelles sont leurs vulnérabilités puis leur montrer comment se protéger. Ils auront leur place dès qu’un nouveau service ou une nouvelle plateforme est implanté. Il faudrait faire affaire avec un pirate éthique pour tester les sécurités sur une base régulière. Le pirate éthique peut même déterminer sur quels angles on peut se faire attaquer», a-t-il proposé.
D’ailleurs, Dominic Villeneuve a sensibilisé près de 1 500 personnes en entreprise et des étudiants quant à la cybersécurité l’année dernière. Afin de se protéger, il recommande de faire attention aux gestes banaux. Les courriels sont le principal endroit par lequel les pirates tentent de pénétrer un réseau. Ensuite, l’activation de l’authentification à double facteur serait à privilégier. Finalement, il est recommandé d’utiliser des mots de passe différents sur chaque plateforme qui peuvent être stockés dans une voute fiable.