Pouvez-vous vous présenter et revenir sur votre parcours académique et professionnel ?
J’ai fait un bac STG, qui s’appelle maintenant STMG, spécialisé dans l’informatique. Ensuite, je me suis dirigé vers un BTS informatique. J’étais déjà passionné de crypto, de cybersécurité, de hacking en général et je commençais à bidouiller de mon côté. J’étais ce que l’on appelle un script kiddie. Puis j’ai fait une licence pro CDAISI à Maubeuge, assez connu sur la partie sécurité offensive en 2012-2013. Et enfin, j’ai effectué un master en sécurité informatique en alternance chez Orange.
Au fur et à mesure, je suis devenu consultant pour diverses entreprises. Ma spécialité c’était aussi bien tout ce qui va être gouvernance (ISO 27001, RGPD…) mais aussi toute la partie Red Team. Le Red Teaming c’est faire des audits réalistes des organisations. Ne pas uniquement pirater un site web mais essayez de rentrer physiquement dans un bâtiment par (presque) n’importe quel moyen, pour pénétrer dans le bureau d’un PDG et compromettre des données par exemple.
Comment avez-vous découvert le Bitcoin ?
J’ai découvert Bitcoin en 2014, par l’intermédiaire d’un consultant en cybersécurité très connu en France, Renaud Lifchitz. J’ai toujours eu la mentalité hacker et la privacy c’est quelque chose qui me parle tout en faisant écho à Bitcoin. D’ailleurs, j’ai acheté mes premiers BTC à la Maison du Bitcoin.
Au début c’était juste pour m’amuser, pour aller au Sof’s Bar à Paris (l’un des seuls bars qui acceptait Bitcoin en France à l’époque) et payer avec une currency qui était à part. Puis, en 2016, je me suis beaucoup plus intéressé à Ethereum et à la partie Smart Contract. Je trouvais qu’il y avait des cas d’usage extrêmement intéressants. Mais je reste un peu Bitcoin maximaliste.
Lire plus: Qu’est ce qu’un Smart Contract ?
Comment la cybersécurité dans la blockchain diffère-t-elle de la cybersécurité traditionnelle ?
Pour être honnête, l’axe cybersécurité dans la blockchain, je ne le voyais pas trop au début. Pour moi, le déclencheur a été le hack de The DAO en 2016. J’étais pas mal sur Ethereum à cette époque et en fait je me suis dit « Ah ok des Layer 1 peuvent être hackés ! ».
A mon sens, je trouve que beaucoup de personnes dans la cyber s’intéressent uniquement à la partie web et serveur mais très peu à la partie infrastructure. Dans la blockchain, il y a énormément de langage de programmation, de tokens, de Layer qui se construisent. C’est compliqué d’être spécialiste en tout. Oui, une personne qui fait de la revue de smart contract en Solidity va peut-être pouvoir auditer une blockchain en Rust ou autre, mais il va devoir s’adapter et cela mettra forcément plus de temps. Ce n’est pas irréalisable, mais cela demande énormément d’adaptabilité, de curiosité et de travail !
Selon vous, quels sont les défis auxquels les experts en cybersécurité font face actuellement dans le Web3 ?
Un des défis majeurs est la formation des développeurs. En informatique, 80 % des vulnérabilités sont dû à l’humain. Bien souvent, les problématiques ne sont pas liées au logiciel ou à la solution utilisée mais à la personne qui a mal codée. Il est indispensable de sensibiliser les développeurs des blockchains et autres protocoles à la cybersécurité.
De plus, pour mettre en place une blockchain, il y a besoin d’infrastructure web. Il faut voir la cybersécurité de cet écosystème dans son ensemble, c’est-à-dire aussi bien au niveau des serveurs qui hébergent le réseau qu’au niveau des smart contracts. Les deux sont intrinsèquement liés.
Qu’est-ce que l’OSINT ?
OSINT est l’acronyme pour « Open Source Intelligence », en français « Renseignement d’origine source ouverte » (ROSO). Ce sont des méthodes que l’on va utiliser pour collecter et analyser de l’information qui est publiquement accessible sur internet, les réseaux sociaux… En fait, la pratique de l’OSINT existe depuis des siècles. Par exemple, pendant la Première et Seconde Guerre mondiale, il était fréquent de récupérer des journaux d’un pays voisin pour savoir ce qu’il s’y passait, connaître le nombre d’abonnés et ainsi estimer la population…
La pratique de l’OSINT c’est popularisé avec l’explosion des réseaux sociaux et toutes ces personnes qui laissent de plus en plus d’informations personnelles, publiquement accessibles. J’aime beaucoup une définition d’Hervé Letoqueux, le cofondateur de l’association OpenFacto, qui dit que pour qu’une information soit considérée comme librement accessible, il faut qu’elle soit acquise sans ruse, sans stratagème et sans contrainte. Plus d’informations sont disponibles sur le site osintfr.com.
Comment l’OSINT est utilisé pour surveiller les menaces et les vulnérabilités dans la blockchain ?
Il y a pas mal d’acteurs dans l’écosystème crypto qui font et développent de bons outils pour faire de la veille sur la blockchain. Je pense notamment à des entreprises comme Elliptic et Chainalysis avec des solutions comme « Reactor » ou « Storyline ». Ces outils, payants, sont extrêmement puissants pour faire du tracking de wallet, du monitoring de transactions ou encore du clustering.
Il est possible de trouver des initiatives libres et open source en ligne ou sur Github. La société Fuzzing Labs propose des ressources gratuites de grande qualité !
Avez-vous un exemple d’une situation où l’OSINT a permis d’aider à lutter contre une menace liée à l’univers blockchain ?
Je pense tout de suite aux hackers nord-coréens et notamment le Lazarus Group. Il y a aussi, et malheureusement, tout ce qui touche à la pédo criminalité. Dans ces cas précis, l’OSINT, l’analyse on-chain et le monitoring de crypto est utilisé pour retracer l’origine des flux. Cela permet de remonter jusqu’aux wallet des criminels.
Pouvez-vous nous parler de votre plateforme epieos.com ? Un axe blockchain est-il envisagé ?
Epieos.com est un moteur de recherche qui permet de désanonymiser et retrouver n’importe quel profil utilisé avec n’importe quelle adresse mail ou n’importe quel numéro de téléphone. En renseignant l’adresse ou numéro de n’importe qui sur la plateforme, nous allons trouver l’ensemble des profils sur les réseaux sociaux de cette personne. Par exemple, nous allons pouvoir retrouver les avis Google de l’individu en question, son compte Strava, voir où il/elle court, où il/elle habite, qui sont ses amis…
Côté blockchain, nous avons déjà quelques fonctionnalités grâce à l’email checker. Pour faire très résumer, nous regardons si une adresse est enregistrée sur un site web ou pas. Le fonctionnement est assez simple : quand vous voulez vous créer un compte, sur Coinbase par exemple, vous allez renseigner votre adresse mail. Si vous essayez de créer un autre compte, sur la même plateforme et avec la même adresse, cela sera impossible car votre courriel est déjà enregistré.
Chez Epieos, nous avons automatisé ce processus sans alerter la cible, c’est-à-dire que cette dernière ne verra jamais que quelqu’un essaye de se créer un compte avec son adresse mail. Cela permet par exemple de savoir qu’une personne a potentiellement des adresses qui sont utilisées sur Binance, Kraken…
Enfin, il y a plusieurs formules sur Epieos : une version publique gratuite, une version publique payante et une version réservée pour les forces de l’ordre. Évidemment les fonctionnalités diffèrent en fonction de la version.