Baptiste Robert, star des données personnelles en Inde, inconnu en France

Qu’ont en commun le Premier ministre indien Narenda Modi, le constructeur chinois de téléphone OnePlus et des bots pornographiques sur Twitter ? Un homme : Baptiste Robert. Ce développeur Android de la région toulousaine est devenu l’ennemi numéro un des développeurs d’applications du monde entier en traquant les failles de sécurité et fuites de données avant de les publier sur Twitter sous le pseudonyme d’Elliot Alderson, en référence au hackeur de la série américaine Mr Robot. Le tout, de son canapé, après le boulot.

En mars dernier, l’homme de 28 ans s’est même retrouvé au cœur d’une joute politique entre Narendra Modi et Rahul Gandhi, le principal opposant au Premier ministre indien. « Etre au centre de l’attention politique dans un pays qui n’est pas le sien, ce n’est pas très agréable », admet d’une petite voix celui qui rechigne à répondre aux journalistes.

Docteur Baptiste, mister Elliot

Contacté par téléphone sur la messagerie chiffrée Wire, Baptiste Robert demeure timide et peu loquace. Elliot Alderson, lui, manie ironie, culot et réflexions acerbes sur Twitter. « Salut Burger King, combien de burgers puis-je avoir si j’ai trouvé une faille de sécurité dans votre réseau ? », lance-t-il en février dernier à la chaîne américaine de fast-food.

Pour le mentionner sur le site de microblogging, il faut taper @fs0c131y, qui rappelle le groupe de hackeurs fsociety dans Mr. Robot. Décidément, la série semble être le fil rouge de la vie professionnelle de l’ingénieur toulousain, jusqu’au port du sweat à capuche. « Pourtant, je n’ai même pas vu la saison 3, confesse-t-il. Je n’ai pas vraiment eu le temps dernièrement. », Mais il garde cet avatar pour marquer les esprits : « Les gens peuvent s’identifier à ce personnage. L’image du hackeur impertinent, c’est ce qui plaît », s’amuse l’homme qui frôle les 47 000 abonnés sur Twitter.

Présent sur le réseau social depuis 2015, Baptiste Robert a supprimé tous ses anciens tweets mi-octobre 2017. Le but : « faire place nette » pour montrer au public son travail de développeur sur l’Android open source project (AOSP), une plateforme sur laquelle Google fournit une version brute d’Android en code source ouvert aux développeurs d’applications. Il garde néanmoins son avatar geek, Elliot Alderson.

« Je n’ai pas dormi pendant 48 heures »

« Mon compte Twitter a commencé à exploser quand j’ai découvert que l’application système "EngineerMode", conçue par le constructeur de processeur Qualcomm pour faire des tests en usine, était pré-installée sur les téléphones OnePlus. » Et rendait donc faillible la sécurité de ces appareils.

Baptiste Robert expose donc ses trouvailles, captures d’écran à l’appui, sur le réseau social, mais se trouve vite dépassé par les événements « Je n’ai pas dormi pendant 48 heures parce que j’essayais de répondre à tout le monde. J’avais dix notifications par seconde… »

Ce premier pavé dans la twittosphère génère six millions de réactions. Une surprise pour ce père de famille qui s’amuse à décortiquer les applis le soir, sur son canapé. « J’avais un téléphone OnePlus personnel et j’ai fait de la rétro-ingénierie pour voir ce qu’il y avait dedans. » La rétro-ingénierie, c’est partir du produit final et bricoler pour comprendre comment on l’a obtenu ; faire le chemin inverse du développeur. Son leitmotiv : alerter sur la sécurité informatique.

Pour la trousse à outils, Baptiste Robert n’a pas toujours besoin de chercher très loin : « Je m’amuse avec les Google Dorks, les techniques de recherche avancée. » C’est dire si certaines failles sont visibles... Après OnePlus, il s’attaque à d’autres fabricants de mobiles comme Wiko, Xiaomi ou Archos, mais aussi à PayPal ou l’application très téléchargée CM Browser.

« Il n’y a rien de structuré dans ce que je fais, je n’ai jamais eu de plan précis. Je réagis sur la lancée. » Pourtant, ce développeur Android à son compte, qui travaille à distance cinq jours sur sept pour son unique client (ironie de l’histoire, un fabricant de téléphones), admet être soucieux des répercussions de ses tweets. Il utilise même des outils d’analyses pour les envoyer aux horaires opportuns pour toucher le plus grand nombre.

Fsociety SAS

Aujourd’hui père de famille, Baptiste Robert se plaît toujours autant à bidouiller pour ses « side projects », des projets annexes, que lors de ses études. Une façon de pimenter son « parcours classique ». Lycée « tranquille » à divers endroits, dont Montpellier et Bordeaux, classe prépa physique, chimie et sciences de l’ingénieur (PCSI) au lycée Gustave Eiffel à Bordeaux et enfin Ecole nationale supérieure d'électrotechnique, d'électronique, d'informatique, d'hydraulique et des télécommunications de Toulouse (ENSEEIHT, prononcer N7). En parallèle, le jeune Baptiste se passionne pour le développement d’applis et confectionne Forexperts, consacrée à la Bourse, Chess Knight et Chess Coordinate, des jeux dérivés des d’échecs.

Diplôme en poche en 2016, l’ingénieur trouve du travail immédiatement, dans une société de service toulousaine. Mais l’aventure ne fera pas long feu, un an en tout et pour tout : « Je ne rentrais pas vraiment dans le cadre », se défend-il timidement d’abord, avant de se lancer dans un réquisitoire contre ce « salariat déguisé » : « Les sociétés de services vendent, à des prix faramineux, des juniors qui n’ont pas les compétences à des clients. Ils doivent répondre à leur demande. Elles peuvent ainsi "jarter du consultant". » Conscient d’être « quelqu’un d’assez impatient », Baptiste Robert trouve vite un client - « c’est un petit milieu » - et monte une SAS appelée… fsociety !

Depuis ses révélations sur OnePlus, son activité ne cesse d’augmenter: en décembre 2017, il publie une nouvelle remontrance presque tous les jours sur le site de microblogging. L’avatar Elliot Alderson lui permet alors un quasi-anonymat bien pratique. S’il accepte (frileusement) de livrer quelques informations sur lui, il refuse d’en dire trop sur sa famille : « L’activité de sécurité que j’ai ne les concerne pas. » Peur d’avoir des ennuis ? « Non, ce n’est pas de la parano, parce que moi-même je ne suis pas embêté, mais je ne vois pas pourquoi je les impliquerais. » Il a tout de même prévenu son client, fabricant de téléphones, de ce qu’il faisait : « Ils disent : "C’est très bien, mais ne parle pas de nous." » Logique.

Star en Inde

En janvier, sur les conseils d’un de ses abonnés sur Twitter, « Elliot Alderson » se lance dans la recherche la plus importante de son existence : la base biométrique de l’Inde, Aadhaar, contrôlée par l’Autorité d’identification unique indienne (UIDAI). « J’ai trouvé cinq façons d’obtenir des informations en clair, le mot de passe de leur base de données locale étant super facile à récupérer. » Depuis son premier tweet le 10 janvier, il n’a cessé de révéler des failles dans le système biométrique et d’enjoindre l’UIDAI et Khosa Labs, les deux instances en charge d’Aadhaar, à réagir. A tel point qu’il est devenu une véritable star en Inde, ses révélations apparaissant en Une des journaux du pays et dans les JT. « On me propose même de réaliser un documentaire sur mes révélations », s’étonne-t-il dans L’Express (il ne veut pas en dire plus pour le moment, ndlr).

Si l’« affaire Aadhaar » lui offre une notoriété (il atteint les 6 000 abonnés sur Twitter le 17 janvier et 30 000 le 15 mars), elle le pousse à s’intéresser davantage à la plus grande démocratie du monde. Après les entreprises chinoises, françaises et américaines fin 2017, il se concentre sur les indiennes. Surtout, il se trouve à nouveau dans une « affaire », politique cette fois-ci.

Elliot Alderson VS Narenda Modi

Le 23 mars, « Elliot Alderson » révèle que l’application Android officielle du Premier ministre indien Narendra Modi, appelée NaMo, envoyait sans leur accord toutes les données de ses utilisateurs à une entreprise américaine, CleverTap. Le BJP, le parti au pouvoir, lui répond que ces informations ne servent qu’au fonctionnement de l’appli. Ni une ni deux, Rahul Gandhi, chef du parti d’opposition le Congrès national indien, reprend les révélations de l’ingénieur français et accuse même Modi d’espionner les Indiens.

Pris en étau politique, Baptiste Robert se penche sur l’application officielle du parti du Congrès, et y trouve également à redire. « Le but du jeu était de dire : un partout, balle au centre. » Trop tard, l’affaire NaMo a fait beaucoup plus de bruits et certains en Inde voient l’ingénieur français comme un ennemi du Premier ministre. Certains créent même des faux comptes pour commenter négativement toutes ses publications sur Twitter. « Le Congrès a eu un avantage : ils ont pu supprimer leur application juste après mon tweet. Modi ne pouvait pas en faire autant. »

Son compte Twitter, lui, continue de progresser : il dépasse les 40 000 abonnés le 28 mars. Pourtant, fin janvier, il s’étonne : « Pour les gens vivant aux Etats-Unis, avez-vous entendu parler d’Aadhaar dans les médias ? Je n’ai rien trouvé dans la presse française. Ai-je raté les articles ou simplement ils s’en fichent ? »

« Pire cauchemar de OnePlus, Wiko, UIDAI et autres »

Bien qu’il jure n’avoir aucune motivation politique, la méthode de Baptiste Robert divise. En exposant non seulement l’existence des failles, mais parfois aussi une partie des failles elles-mêmes au grand jour sur Twitter, celui qui se définit aujourd’hui sur Twitter comme « pire cauchemar de OnePlus, Wiko, UIDAI et autres » semble briser certaines règles de cybersécurité. S’il concède que ce « naming and shaming » est efficace, l’ingénieur indien Anand Venkatanarayanan ne le trouve pas éthique « car cela peut faire encore plus de mal à ceux qui sont visés, avant même que les problèmes soient résolus ». Baptiste Robert confirme, mais assure qu’il ne « publie pas directement les failles sur Twitter et n’encourage en rien cette pratique » sauf « lorsqu’il s’agit d’abus caractérisés de la part de l’entreprise ». Comme pour OnePlus.

S’ils se sont parfois pris le bec sur Twitter, les deux ingénieurs s’accordent à dire qu’ils règnent un climat nauséabond pour les chercheurs en sécurité en Inde. Pour Anand Venkatanarayanan, avec de telles pratiques, « les chercheurs en sécurité sont parfois appelés hackeurs ou cyber-terroristes. Cela ne peut être une bonne chose pour ceux qui ne sont pas anonymes et sont soumis à la juridiction indienne. » Pour Baptiste Robert : « Le problème ne vient pas des chercheurs en sécurité, mais du gouvernement indien qui "menace" ces chercheurs. »

Les données personnelles, un enjeu encore sous-estimé

L’Inde est-elle l’exception en matière de protection des données personnelles ? Pas du tout, argumente le développeur : « Il y a un énorme marché de la donnée, mais les gens ne se rendent pas compte de toutes les informations qu’on leur prend », déplore-t-il. Sans compter qu’il n’y a de loi « nulle part », exagère-t-il à peine. « Il y a un fossé technique important : d’un côté, il y a les politiques qui font des lois, qui vont parfois dans le bon sens ; de l’autre, il y a des sociétés qui, soit n’y sont pas soumises, soit s’en foutent un peu. Entre les deux, il n’y a personne pour faire le garde-fou... » Et d’ajouter : « Je n’ai pas de connaissance particulière en droit, mais c’est un peu ma place, avec d’autres. »

Et le RGPD, bientôt en application dans toute l’Union européenne ? « C’est très bien, mais le temps qu’il soit appliqué dans les faits… Ils ont dit qu’ils allaient laisser le temps aux entreprises de s’y conformer. »

« Je ne cherche pas à créer fsociety »

De son côté, Baptiste Robert continue ses recherches. Tout en gardant un œil sur l’évolution de l’« affaire Aadhaar », il s’est lancé dans une traque plus légère – en apparence : la chasse aux bots pornographiques sur Twitter, ces faux comptes automatiques illustrés par des photos de filles dénudées.

Le 16 février, il a même ouvert un compte lui aussi automatique qui publie toutes les cinq minutes un bot porno en mentionnant le compte de l’équipe technique de Twitter pour qu’ils les éradiquent : « Twitter n’est pas un lieu pour diffuser de la pornographie, assène-t-il. De plus, ces bots peuvent se transformer en bots "politiques" avec les dangers que l’on connaît. » L’ingénieur fait référence aux ingérences russes dans la campagne présidentielle américaine de 2016.

Baptiste Robert veut aussi lancer son site web personnel pour mieux ordonner et référencer son activité de recherche en sécurité. Et, entre semi-marathons et voyages professionnels, le Toulousain prépare encore d’autres projets.

En revanche, contrairement à ce qu’a affirmé un article sur lui, il ne cherche pas à recruter pour ce travail, mais bien pour celui de développeur Android. « Je ne cherche pas à créer fsociety. » Oups, trop tard.

Retrouvez le premier volet de notre série sur les données personnelles : Vers un meilleur contrôle de nos données personnelles en Europe ?

Découvrez le troisième volet : Un RGPD africain est-il possible ?