Ne vous fiez pas à son air d’éternel adolescent. Du haut de ses 28 ans, Michaël Tary est un dinosaure. Plusieurs générations de virus et de vulnérabilités réseau le séparent des ingénieurs tout droit sortis d’écoles d’informatique, réseaux et télécoms. En l’espace de trois ans, cet expert en intrusion, qui exerce aujourd’hui en free lance, a vu son métier perdre son innocence. “Le hobby de quelques passionnés est devenu un business où rien n’est gratuit”, s’amuse-t-il, soulignant l’industrialisation des tests d’intrusion.
Des nuits à déchiffrer
Une licence de mathématiques et un Capes en poche, ce jeune professeur de lycées ne s’amuse pas tellement à l’Éducation nationale, qu’il quitte au bout de deux ans. Dès 1994, il se frotte à internet via le fournisseur d’accès Compuserve. Un formidable champ d’expérimentations pour son passe-temps favori : la sécurité informatique. Saine occupation ? “En fait, ce n’est pas tant la sécurité qui m’intéresse que le plaisir de la recherche, quel que soit le domaine”, précise-t-il. Tout a commencé quand, adolescent, il cherchait à comprendre le fonctionnement de son micro-ordinateur Amstrad. “Tenter de découvrir comment un programme est protégé mène forcément à chercher comment faire sauter cette protection.” Résultat : des nuits entières à essayer de déchiffrer réseaux et systèmes informatiques. Les IRC (Internet Relay Chat) complètent sa formation théorique. Un temps béni où “échanges, rencontres et débats autour de la sécurité n’étaient qu’émulation.” Qui se poursuit par la recherche de vulnérabilités, ces failles des systèmes, réseaux et programmes, qui laissent le champ libre à l’intrusion.Quelques articles postés sur le site Security Focus, célèbre almanach des vulnérabilités, confèrent à Michaël Tary un commencement de notoriété dans le microcosme français. Philippe Langlois, fondateur d’Intrinsec, société pionnière du test d’intrusion en France, l’embauche à la fin de l’année 1998. Mais l’intrusion en entreprise le déçoit un peu. “Le cadre est si rigide que, bien souvent, il ne correspond pas aux moyens qu’un “hacker” emploierait pour attaquer une entreprise.”
L’expérience du réel
Il déplore l’attitude des sociétés qui ne voient dans les tests d’intrusion qu’un simple contrôle technique de leurs réseaux, sans songer à élaborer une politique de sécurité plus globale. Mais il défend la légitimité de cette expertise : “Le test d’intrusion, c’est l’expérience du réel : la sécurité telle qu’elle est pratiquée par les hackers et appliquée, ou pas, par les utilisateurs.”Embarqué en 1999 avec Philippe Langlois dans la création de la société Qualys, il contribue au développement d’un logiciel automatisant la recherche des failles dans la sécurité des réseaux des entreprises. Directeur de la recherche des vulnérabilités, il quitte Qualys début 2002 pour aller voir en Asie quelles tailles ont les failles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.