Clément Domingo alias SaxX, aime jouer les méchants. C’est son job. Quand d’autres passent des heures à concevoir des systèmes informatiques, lui les pénètre par effraction.
Derrière son PC, crayon et papier à la main, il cherche les failles, brise les murs de sécurité, pille les données. E-mails, comptes bancaires, mots de passe… tout y passe ! Voleur, notre interlocuteur ? Non, hacker. Mais pas de ceux qui portent des masques. Clément Domingo sévit à visage découvert à Rennes, dans une grande entreprise en conseil numérique, Sopra Steria. Officiellement, il est expert technique en cybersécurité ; pour faire plus simple, dites « hacker éthique ».
Chasseur de failles et de primes
« J’interviens à la demande de grands groupes et d’opérateurs d’importance vitale [des structures aux activités indispensables ou dangereuses pour la population, Ndlr] pour tester leur système de sécurité numérique », explique ce Sénégalais d’origine âgé de 29 ans, à la silhouette longiligne et à la tenue élégante. La nuit, il change de costume pour enfiler celui de chasseur de failles et de primes. « Sur un programme qui s’appelle Bug Bounty, des boîtes françaises et européennes me contactent pour traquer leurs défaillances de sécurité. Ils me rémunèrent pour cela. » Sur le marché noir, ces informations vaudraient une petite fortune… Le secret de sa probité ? « Ma foi chrétienne », confie celui qui est aussi chef scout et responsable d’un chapitre au pèlerinage de Chartres.
« J’ai appris sur le terrain »
Difficile d’imaginer qu’il y a dix ans à peine notre crack en informatique n’avait quasiment jamais touché un écran ! « En Afrique de l’Ouest, ce n’est pas très au point », admet-il. Son premier ordinateur – « une vieille machine qui ramait comme pas possible » –, il l’achète à son arrivée en France, en 2008, lorsqu’il rejoint ses parents installés à Concarneau pour suivre un BTS en informatique de gestion.
Son diplôme en poche, Clément Domingo intègre la direction du système d’information au Conseil général d’Ille-et-Vilaine, à Rennes. La nuit, il « traîne » sur les canaux IRC (Internet Relay Chat), un réseau de communication textuel sur Internet, et monte une équipe de hackers pour participer à des CTF (capture the flag), la version numérique du jeu traditionnel « Capture du drapeau ». Le but du jeu ? « S’introduire dans des sites Internet – tous simulés – pour trouver un drapeau virtuel caché. »
Plus les mois avancent, plus notre Rennais d’adoption se perfectionne. « J’ai commencé à montrer qu’il existait des failles de sécurité dans le système informatique du Conseil Général. » Il n’en fallait pas plus pour que ses supérieurs lui confient des tâches en cybersécurité et qu’il soit débauché quelques mois plus tard par Sopra Steria.
Aucune formation de hacker éthique à son actif, donc. « J’ai appris sur le terrain – virtuel – en me heurtant aux murs », glisse-t-il avec un brin de fierté. Depuis, des formations d’ingénieur en cybersécurité se sont progressivement mises en place. « C’est encore très vaste comme formation, mais il est possible de se spécialiser par la suite. »
Insolite, son métier n’a rien d’anecdotique. « À l’horizon 2025, on estime à vingt milliards le nombre d’objets connectés à travers le monde. Montres, TV, réfrigérateurs, brosses à dents… Avec le moindre de ces objets, on peut accéder à l’intégralité de vos données personnelles. » Pour les méchants hackers – les vrais –, c’est un joyeux parc d’attractions que l’on s’apprête à leur servir sur un plateau. La cybersécurité a de beaux jours devant elle.
Antoine Pasquier