Une page se tourne pour le campus

Le 05 novembre dernier, Michel Van Den Berghe, alors président du Campus Cyber, annonçait sa démission par un message LinkedIn dans lequel il mettait en avant la réussite de l’aventure du Campus Cyber sous son mandat. Comme il est d’usage dans le monde merveilleux de la cybersécurité, les congratulations ont fleuri pour saluer l’excellence du travail accompli.

N’étant pas familiers des salons feutrés, nous avons pu avoir l’impression d’être passés à côté d’accomplissements majeurs sur la scène française de la cybersécurité, et par transitivité, de la contribution déterminante du Campus dans ceux-ci. Nous avons donc tenté d’explorer le thème de l’apport du Campus Cyber pour notre pays.

Les objectifs énoncés pour le Campus

Dans sa publication LinkedIn, le président du Campus rappelle succinctement la mission qui lui avait été confiée : “construire un Campus Cyber national, idée théorique et présidentielle qu’il fallait transformer en réalité.” On retrouve cette notion d’ “idée théorique” dans la communication du gouvernement du 23 juillet 2019 qui exposait “une mission de préfiguration d’un grand campus de la cybersécurité”. Le mot-clef ici semble être “préfiguration” : “ce qui annonce un événement futur sous une forme imparfaite”.

Plus précisément, les enjeux définis étaient de “fédérer et de structurer l’écosystème français de la cybersécurité” avec trois objectifs principaux :

• “Renforcer la sensibilisation et la formation pour contribuer à résoudre le déficit d’experts et renforcer la prise en compte du risque dans les organisations” ;
• “Favoriser le partage et la mutualisation d’outils, de compétences et de données entre les acteurs de l’écosystème” ;
• “Accompagner l’innovation publique et privée pour concourir au développement de la filière industrielle de cybersécurité, en cohérence avec le comité stratégique de filière sécurité”.

Notons à cette occasion que “le comité stratégique de filière sécurité” est l’un des 19 “comités stratégiques de filière” du Conseil National de l’Industrie dont l’objet est de “d’instaurer, via ces instances, un dialogue concret, performant et régulier entre l’Etat, les entreprises et les représentants des salariés sur tous les sujets-clés qui permettent la reconquête industrielle française, et ce, filière par filière”. D’après ce comité, les grands enjeux de développement de la filière sécurité s’inscrivent en ligne avec les enjeux de développement économique et de souveraineté : “la protection des outils numériques et des données doit pouvoir être assurée par des offres françaises et européennes de confiance”. De plus, le comité souligne l’importance stratégique de se positionner “en leader sur les ruptures et leurs applications de sécurité : intelligence artificielle, big data, blockchain, sur les approches conceptuelles qui peuvent conduire à de nouveaux systèmes et écosystèmes garantissant la « security and ethic by design » et aussi sur les matériels et composants micro-électroniques de confiance requis”. Pointons qu’évoquer dans une même séquence la notion de souveraineté en faisant par la suite l’usage d’une terminologie anglo-saxonne est déjà la démonstration d’un échec de la pensée, et l’illustration d’une défaite culturelle de premier ordre. Mais ce n’est pas l’objet de cet article. Retenons à ce stade que les enjeux dessinés impliquent les dimensions de souveraineté, d’innovation et de production technologique.

Premier bilan

Il est indéniable qu’une grande partie de la place française de la cybersécurité est aujourd’hui réunie dans ce lieu “totem” du Campus tel qu’on aime à l’appeler dans les communications institutionnelles, et qu’il joue une place centrale dans l’organisation d’événements rassemblant des acteurs du secteur. Sans rentrer aujourd’hui dans le détail des publications des parties prenantes, ni de l’analyse fine des résultats, on devine que l’atteinte des trois objectifs haut-niveaux peut être défendue pour dégager un bilan positif de cette création de Campus. Admettons donc naïvement que le premier bilan du Campus Cyber est une réussite en miroir des objectifs définis.

Une Société par Actions Simplifiée dans le domaine des activités immobilières est donc née pour instancier le Campus, et son bilan financier positif lui permet de se projeter dans l’avenir. N’oublions pas malgré tout que (contrairement à certains discours entendus) des investissements financiers directs et indirects des pouvoirs publics contribuent largement à ce bilan positif [1]. Côté cyber, l’écosystème dans les murs favorise ainsi les synergies recherchées, et les bouillonnants cerveaux rassemblés en ces lieux sont ainsi prêts à conquérir la cybersphère. Une question existentielle subsiste cependant : fédérer autour de quoi ? Une fois que les ambitions de conquête de marché et de souveraineté ont été exprimées, par quelles incarnations peuvent-elles se matérialiser ? Peut-être pourrait-on s’attendre à ce qu’une mission de préfiguration réponde à la question : il semble que ce ne soit pas le cas.

Ne manque-t-il pas un projet de fond ?

Certes, des travaux communs thématiques se concrétisent par la production de livrables accessibles en sources ouvertes et s’inscrivent ainsi en ligne avec les objectifs de formation, sensibilisation, et de rayonnement. Pour autant, des groupes de travail ou communautés similaires auraient également pu être fédérés dans d’autres contextes et ne justifient pas à eux seuls le projet Campus. Saluons toutefois l’ingéniosité du business model où in fine les participants du Campus contribuent financièrement pour leur propre production de livrables : le rayonnement n’a pas de prix.

Ce qui interroge donc, c’est l’apparente absence de projet de fond. Une fois la question effleurée, on constate rapidement que des gens intelligents l’ont posée bien avant nous, à commencer par le président du Campus qui en juin dernier exposait que “l’état doit lui donner une ou des missions claires faute de quoi le campus restera un lieu de rencontre sans perspectives”. Le verbatim apparaît contre-intuitif : dans la lettre de mission signée du premier ministre Edouard Philippe le 16 juillet 2019 et adressée à Michel Van Den Berghe, il est stipulé dans les attendus de la mission de préfiguration qu’ “il est indispensable que la valeur ajoutée de ce projet soit réelle et clairement identifiée, par rapport aux démarches existantes ou envisagées par ailleurs”. Aurait-on construit un cadre (“un catalyseur”) sans consistance ni projection ?

Déjà en mai 2020, aux prémices du projet, Bernard Barbier écrivait sur LinkedIn : “Le projet actuel de Cyber Campus à la française […], me semble très différent de [l’]objectif de création d’un centre d’innovation et d’incubation. Il va réunir essentiellement des sociétés de service (MSP) pour créer une animation commune, un CERT partagé, des formations communes, mais où sera le centre d’expertise technologique, mais où sera la recherche académique [?] Ces deux ingrédients sont essentiels pour construire le futur.” Bernard Barbier prend en exemple dans sa publication le modèle du Campus Cyber britannique de Cheltenham qui répond selon lui à ces enjeux d’innovation, notamment au travers d’une proximité entre le Campus britannique et le GCHQ, la recherche académique et les entreprises et startups.

En faisant la liste des quelques 180 participants du Campus Cyber français, on constate que plus d’un quart sont des sociétés qui ont une forte dimension conseil. Il serait intéressant de sonder les décideurs de ces structures pour comprendre s’il y a une projection réelle dans le projet Campus au-delà de la recherche d’argument marketing que constitue la participation à un projet vu comme précurseur et d’envergure nationale. Ces entreprises contribuent assurément au bilan financier positif du campus, mais constituent-elles un terreau suffisamment productif pour répondre aux ambitions d’innovation ? De l’extérieur, l’image renvoyée aujourd’hui par le Campus tend plus vers celle du melting-pot désordonné malgré les afterworks, cocktails dînatoires et publications LinkedIn incantatoires. Certains semblent d’ailleurs s’émouvoir en coulisse que leur participation au projet Campus ne constitue pas un argument décisif pour être sélectionnés comme prestataire de l’état dans un gros appel d’offre en lien avec la cybersécurité de ministères, comme une illustration de velléités divergentes entre la création de valeur et l’achat d’une image cybersécurité à des fins marketing.

D’un point de vue immobilier (coeur du projet, puisqu’il repose sur la location d’espaces aux entités participantes), on observe un désalignement avec les objectifs d’innovation. Aucun espace n’a été alloué à de jeunes entreprises innovantes qui ne pourraient s’offrir un loyer bien supérieur au marché actuel de la Défense [2], et l’aménagement réalisé n’offre pas suffisamment d’options de confidentialité aux membres qui ne disposent pas d’un espace fermé (ce qui est le cas de la plupart des grandes entreprises non offreuses en cybersécurité).

Notons néanmoins l’existence du Programme de Transfert au Campus Cyber piloté par l’INRIA et opéré au Campus qui “soutient le développement d’une dynamique de transfert de compétences et de technologies entre les acteurs de la recherche publique et les entreprises de la cybersécurité” qui peut-être joue ce rôle de pivot avec la recherche académique, et dont il est certainement trop tôt pour tirer des conclusions après un lancement en 2023.

Alors qu’il s’était engagé dans un mandat de présidence jusqu’à fin 2025 devant le conseil d’administration du campus, alors qu’aucune transition vers un successeur n’était validée, alors qu’un travail de prospective stratégique venait à peine d’être initié en urgence suite à la dernière Assemblée Générale [3], le capitaine quitte un navire sur lequel ses talents de commercial ont permis de faire embarquer tout un écosystème désormais associé, aux sens propre et figuré, à un voyage sans destination établie.

Trop de cyber abîme la cyber ?

Machine à cash depuis de nombreuses années, la cybersécurité a attiré de nombreux acteurs dans son sillage, des pure-players aux sociétés de services de diverses horizons. Il y a eu, et il y a toujours un vrai besoin d’expertise dans le secteur. Mais, dans un monde où souvent les aspects marketing et commerciaux dévoient la finalité de la matière au profit d’une hyper-communication de façade, et lorsque les impulsions règlementaires semblent parfois pousser vers une logique de conformité sans envergure, peut-être que le marché de la cybersécurité s’est abîmé tout seul dans un entre-soi d’initiés persuadés d’une valeur ajoutée absolue qui laisse parfois dubitatif. Le Campus Cyber n’est-il alors que le prolongement d’une bulle cybersécurité qu’il contribue à entretenir ? Peut-être qu’en prenant le raccourci de faire de la cybersécurité parce qu’il s’agit d’un secteur bankable et d’avenir, on a oublié de poser collectivement les fondations d’un modèle français pérenne de la cybersécurité. Et pourtant, comme rappelé dans la lettre de mission de préfiguration : la France “dispose d’acteurs industriels de premier plan, de startups, petites et moyennes entreprises innovantes et d’une recherche dynamique”.

Sur l’aspect éducatif, pour répondre à la croissance jusque là insatiable du secteur, des formations en cybersécurité ont fleuri et les “talents” en cybersécurité sont chaque année plus nombreux. On peut cependant s’interroger sur certains parcours éducatifs qui semblent peu exigeants et qui promettent une expertise en sortie : le risque que ces lauréats soient cantonnés à devenir une chaire à canon pour sociétés de services avec des niveaux de production proche d’un ChatGPT doit être perçu, avec ses conséquences humaines sur le long terme. Plutôt que de vouloir former à tout prix des experts cybersécurité dans un secteur boulimique parfois peu regardant, il serait bon de ne pas oublier et de valoriser les autres métiers de l’informatique tels qu’administrateur système ou développeur… en intégrant bien sûr la cybersécurité dans le parcours.

La contraction du marché économique va accroître décisivement le besoin pour l’ensemble des acteurs en cybersécurité de produire et de démontrer une valeur intrinsèque, et qu’elle soit perçue comme telle par le marché. C’est bien ce qu’ont réalisé toutes les startups cyber françaises qui se sont faites rachetées ces dernières années, particulièrement par des capitaux américains rappelant à cette occasion combien l’écosystème français est fertile en cybersécurité. A l’inverse, on ne questionne pas suffisamment en cybersécurité la valeur de la gouvernance, du conseil et de l’audit. Il faudrait alors s’accorder sur une première base : quelle valeur intrinsèque et durable veut-on créer sur le thème de la cybersécurité ?

La souveraineté, mot valise diffus sans consistance ni incarnation

Un des fondamentaux de la cybersécurité est la protection des données. “L’éléphant au milieu de la pièce” quand on évoque la cybersécurité en France reste l’hyper-dépendance aux fournisseurs américains de services informatiques en nuage. Ce sujet étant fondamentalement dense, prenons un exemple illustratif naïf : celui des serveurs de messagerie des participants du Campus Cyber. Avec deux lignes de script, on dénombre sans trop de retouches que plus de 60% des acteurs, dont des industriels de premier plan, ont confié la gestion de leurs courriels à une entreprise américaine. Ce choix peut être justifié de nombreuses façons, il est cependant représentatif d’une colonisation numérique d’un écosystème qui entend être souverain (au moins pour partie puisque le Campus est ouvert aux acteurs non nationaux). Qu’importe le RGPD, faut-il rappeler que ces données traitées sont soumises à la juridiction américaine ?

L’hégémonie numérique américaine ne sera jamais concurrencée sans initiatives structurantes et coordonnées de création de produits (incluant les produits Software As A Service). Ici se dessine peut-être l’échec, à terme, d’une approche “tout cybersécurité” telle que semble être celle du Campus Cyber, qui n’est pas celle du modèle britannique ou israélien : en sécurisant les services en nuages américains qui hébergent ou traitent des données, n’est-ce pas in fine pour ces acteurs extra-européens que l’on crée de la valeur ? En construisant des solutions de sécurité qui reposent sur leur écosystème technologique, en identifiant des vulnérabilités sur leurs produits, en détectant des attaques sur leurs infrastructures, en alimentant leurs jeux de données pour entraîner leurs modèles d’IA : qui est le vrai bénéficiaire final ? Se positionner en vassal de grandes nations cyber peut certainement être une stratégie viable, mais faire de la souveraineté un objectif stratégique dans ces conditions relève au mieux de l’illusion, au pire du mensonge. C’est probablement ici que doit commencer la remise en question sur la cybersécurité : en redonnant un sens aux mots, et en alignant les discours sur les actes, sans artifice de communication. Au-delà de la diffuse notion de souveraineté, l’enjeu de sécurité économique ne doit pas être oublié. Quelles entreprises prennent en compte dans leurs modèles de risques un quintuplement imprévu des coût de services suite à un bouleversement géopolitique ?

Pour créer une valeur partagée sur le long terme, ne vaudrait-il pas mieux repositionner la cybersécurité à sa juste place en support d’un projet ou d’un produit, plutôt que de faire de la cybersécurité une finalité ?

---

[1] “S’agissant du lieu, j’ai demandé à l’État qu’il prenne à sa charge le budget d’investissement afin que les industriels et surtout les start-up aient uniquement à payer un loyer” Par ailleurs, il est à noter que plusieurs entités gouvernementales louent des espaces au sein du campus cyber et contribuent ainsi à son budget. Il a par exemple été confirmé par plusieurs témoignages recueillis auprès d’agents que l’ANSSI n’avait initialement pas de besoins de locaux complémentaires en région parisienne, et que l’espace actuel est sous-utilisé comme bureau de représentation et espace de formation, le bâtiment n’étant pas aux normes pour accueillir des activités opérationnelles.

[2] L’accélérateur de startup Cyber Booster, dédié au secteur, opère bien depuis le Campus mais n’offre pas à ses lauréats des possibilités d’hébergement.

[3] L’assemblée Générale de 2024 a décidé le lancement d’une démarche de “Stratégie horizon 2030 du Campus Cyber”. Des questionnaires ont été envoyés par courriel (“Questionnaire - Démarche Stratégie 2030 Campus Cyber x Etat”) aux membres et résidents fin d’été 2024, avec une échéance au 12 septembre 2024, pour recueillir leur vision. En plein période de rentrée de septembre, l’initiative interroge et suggère une certaine forme de précipitation.

_{Photo d’illustration: Jo Kassis sur la plateforme Unsplash}

“De quelle espèce sont donc tous ces gens, dont l’âme n’a pour assise que l’étiquette […] ?”

I - Rappel des faits

Le 6 janvier 2023, l’Ecole de Guerre Economique publiait un article intitulé “La faillite éthique de l’ONG Hackers Sans Frontières”. Cet article dénonçait de façon étayée de graves défauts d’éthique et un manque de transparence de l’association “Hackers Sans Frontières”. En particulier, l’article analysait que :

• L’association revendique une posture d’exemplarité et de transparence, notamment au travers des nombreuses apparitions médiatiques visant à promouvoir l’association et ses fondateurs.
• L’association ne référence publiquement aucune structure organisationnelle, ni mention légale.
• Florent Curtet, président de l’association, a été mis en examen le 14 novembre 2021 pour “piratage informatique, extorsion en bande organisée et association de malfaiteurs” (le procès n’ayant pas encore eu lieu, il reste présumé innocent).
• “Hackers Sans Frontières” n’a pas communiqué sur cette mise en examen, alors que les faits sont publiés dans la presse : cette absence de communication constitue une volonté de dissimulation des faits, soit une faute éthique (et non les faits d’accusation eux-mêmes, qui ne sont pas encore jugés).
• Une série de comportements non-éthiques de Florent Curtet sur lesquels il a été publiquement interpellé en 2022 (notamment une tentative d’intimidation, et un maquillage de mentions légales d’auto-entreprise), n’a fait l’objet d’aucune réaction de la part de “Hackers Sans Frontières” : au delà des comportements de son président, c’est en premier lieu cette absence de réaction qui porte atteinte à l’éthique de l’association qui, en l’état, se comporte comme si ces faits documentés n’existaient pas.

II - Réactions de l’association “Hackers Sans Frontières” suite à la parution de l’article

N’ayant pas constaté d’autre publication sur ce sujet, nous avons décidé de poursuivre ce travail d’analyse en tant qu’observateurs indépendants, sans parti pris ni affiliation. Suite à la publication de l’article de l’Ecole de Guerre Economique, nous avons constaté les faits suivants :

1. Publication d’un communiqué du président de “Hackers Sans Frontières” annonçant sa mise en retrait de l’ONG

Trois jours après la publication de l’article de l’Ecole de Guerre Economique, Florent Curtet, alors président de l’association, diffuse sur sa page LinkedIn personnelle un communiqué (consultable ici - l’écrit est daté du “01/09/22”, ce qui est incohérent au regard de la chronologie : nous retenons la date de publication documentée par la plateforme Linkedin, soit le 9 janvier 2023). Dans ce communiqué , le président de “Hackers Sans Frontières” :

• Exprime se “retirer de la gérance en attendant de pouvoir [s]’exprimer plus librement”.
• Exprime être “interloqué” par “cette formidable allégation” faisant “mention de deux écueils supposés”, à savoir “l’opacité prétendue de l’ONG”, et “le passif [de l’auteur] en tant qu’ancien hacker”.
• Exprime que l’association “ne possède en actif que -42 000 euros de frais”, explicitant que l’association perd chaque jour de l’argent “pour le bien universel de la Cyber Santé du parc IT français qui pourrait [les] solliciter”.
• Reconnaît “avoir eu des démêlés avec la justice […] entre 2003 et 2007”, mais qu’il est “pleinement réhabilité”.
• Exprime que “l’EGE utilise comme élément à charge un dossier en cours qui ne la concerne pas” et “sous le sceau du secret de l’instruction”.
• Dénonce “l’absence de prise de contact préalable ou de proposer un droit de réponse” et de “balay[er] d’un vulgaire revers de main [s]on éthique et [d’]écorcher subtilement par rebond celle d’Hackers Sans Frontières”.
• Critique “l’EGE de préférer prendre pour parole d’évangile les écrits contestables d’un groupe de rançonneurs publiant sur le TOR plutôt que de se renseigner de manière plus académiques auprès des principaux intéressés et tout cela en bafouant malignement les règles inaliénables de la discrétion de [leur] métier et plus encore de la présomption d’innocence”.

2. Le nouveau président de l’association publie un sondage Linkedin pour décider ou non d’apporter une réponse aux accusations

La structure organisationnelle de “Hackers Sans Frontières” n’étant toujours pas documentée à ce jour, il faut se référer aux intitulés de postes sur LinkedIn pour supposer que Karim Lamouri est bien le nouveau président de l’association.

Ce sondage publique (consultable ici, ainsi que son fil de discussion) diffusé en janvier 2023 sur LinkedIn par Karim Lamouri, dénonce des propos “assez graves” formulés par l’article de l’Ecole de Guerre Economique. Il qualifie notamment l’auteur de “juge auto-proclamé de L’Ethique et surtout piètre investigateur”. Le nouveau président exprime également dans son message le fait de vouloir “négocier de la dispo pour former” au sein de l’Ecole de Guerre Economique.

Dans le fil de discussion du sondage, le président commente par ailleurs :

• Qu’il est “dégueulasse” de dire que lui-même s’enrichit “sur le dos de [ses] actions caritatives”.
• Que le document publié par l’Ecole de Guerre Economique “n’est pas un article” au motif qu’“il faut au moins être journaliste pour ça….” et que “si ca ne vous as pas étonné, c’est que vous n’êtes pas impartial”.
• Qu’il y a une contradiction à citer Everest comme une source fiable (NDLR : Everest est le gang de rançonneurs qui a dénoncé des agissements non-éthiques de l’ex-président mis-en-examen, et dont le communiqué a été analysé dans l’article de l’Ecole de Guerre Economique).

III - Analyse : un aveuglement délibéré en soutien d’une stratégie de communication malhonnête

Il est édifiant de constater combien les communications de “Hackers Sans Frontières” ne répondent pas aux accusations formulées par l’article de l’Ecole de Guerre Economique. Il est difficile de ne pas l’interpréter comme une stratégie d’évitement pour ne pas répondre aux faits documentés. Commentons les éléments de réponse exprimés publiquement par “Hackers Sans Frontières”.

1. Analyse critique du communiqué du président déchu

En écrivant qu’il ne peut s’exprimer librement sur les accusations dont il fait l’objet, Florent Curtet adopte une posture défensive victimisante qui vise à discréditer toute question. Cependant, il ne justifie pas clairement pourquoi il ne peut s’exprimer, ni sur quoi. Il est sous-entendu dans son message qu’il s’agit “du dossier en cours [..] sous le sceau de l’instruction” selon ses termes.

Il est intéressant de noter qu’en réponse au communiqué, Valéry Rieß-Marchive, membre de la communauté cyber française, aussi connu comme rédacteur en chef de LeMagIT, écrit :

Il n’y a pas à invoquer le secret de l’instruction dans ce contexte parcequ’il ne s’applique ni aux victimes ni aux personnes visées par l’enquête (je le vois trop souvent invoqué pour éviter de s’exprimer publiquement sur un dossier […]).

Par ailleurs, l’Ecole de Guerre Economique précise dans son article que la mise en examen du président n’est pas le comportement non-éthique pointé :

Sans préjuger de la culpabilité […] sur les faits dont il est accusé dans sa mise en examen du 14 novembre 2021, le fait que lui, ou l’ONG Hackers Sans Frontières, n’aient pas communiqué publiquement sur ces accusations constitue une faute : en bafouant les impératifs de transparence et d’éthiques exemplaires qui incombent aujourd’hui à toute association ONG, Hackers Sans Frontières a perdu toute légitimité. Au-delà même de l’éthique et de la transparence attendues par la société civile, Hackers Sans Frontières a porté en étendard dès sa genèse ces mêmes valeurs morales qui aujourd’hui lui font défaut.

Ce qui est reproché est donc l’absence de mise en retrait pro-active de Florent Curtet, et particulièrement l’absence de prise de position officielle de l’association une fois les faits exposés.

La stratégie du président déchu est donc de détourner l’attention en faisant croire qu’on l’accuse d’autres choses que les faits documentés : à ces derniers, il n’apporte aucune réponse. Les deux “écueils” qu’il met en avant dans sa communication (qui de notre point de vue ne sont pas des “écueils”, mais des comportements non-éthiques graves) concernent l’opacité de l’association, et son passé d’ancien hacker. S’il a raison sur la notion d’opacité à laquelle il n’oppose aucun élément contradictoire concret, son passé d’ancien “hacker” n’est pas pointé comme éthiquement répréhensible par l’article :

Bien que le profil d’ancien hacker de Florent Curtet serve largement d’argument marketing pour ancrer une crédibilité sur le thème du hacking, en symbiose d’une logique commerciale de vente de prestations de cyber-sécurité, l’approche reste à ce stade éthiquement tolérable, et pourrait continuer à servir la rhétorique de l’exemple moral par la rédemption. Malheureusement, d’autres éléments de lecture jettent une suspicion et contribuent au discrédit de ce narratif.

Au final, le président déchu ne répond pas sur le fond de :

• L’absence de lisibilité sur la structure organisationnelle de l’association, et l’absence de mentions légales qui identifieraient clairement l’ONG.
• L’absence de réaction de l’ONG sur une mise en examen d’un membre de sa gouvernance, en contradiction avec les valeurs de transparence prônées.
• L’usage de fausses mentions légales sur le site web de son auto-entreprise (l’erreur étant exclue tel que démontré dans l’article de l’Ecole de Guerre Economique).
• Tentatives documentées d’intimidation sur Internet en réponses aux personnes qui demanderaient une explication sur les comportements non-éthiques.

Le président déchu se plaint également de l’absence de prise de contact de l’Ecole de Guerre Economique préalablement à la diffusion de l’article, et l’absence de droit de réponse offert par celle-ci. Valéry Rieß-Marchive, cité précédemment, apporte un éclairage dans le fil de discussion LinkedIn :

Un droit de réponse ne se donne pas, il se demande (donc si toi ou HWB ne le demande pas, on ne peut pas reprocher à l’EGE de ne pas le donner. Et si l’EGE l’accorde, il ne pourra pas lui être reproché d’y répondre à son tour).

Puis en citant Legifrance :

Le directeur de la publication est tenu d’insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne.

En réponse à ce commentaire, le président déchu commente :

L’article n’a que 4 jours […], j’imagine que sous quinzaine cela évoquera une forme de refus.

Nous avons fait l’exercice : l’Ecole de Guerre Economique affiche sur son site web une adresse postale, un numéro de téléphone, et une adresse courriel dédiée afin de déposer toute réclamation relative au contenu publié. Quelques jours après la publication, le délai légal de prescription pour une éventuelle diffamation est loin d’être dépassé et laisse l’opportunité d’apporter une réponse construite. Peut-on faire l’hypothèse que le président déchu n’ait pas souhaité s’exposer plus, et qu’aucune démarche n’ait été faite en ce sens ? Comme rappelé, il s’agit d’une obligation légale : difficile d’imaginer une école de l’enseignement supérieure s’y soustraire.

Enfin, le président déchu tente de porter un discrédit supplémentaire sur l’article en remettant en question les sources de l’article, notamment celle du groupe Everest. Contrairement à ce qu’écrit le président déchu, l’Ecole de Guerre Economique ne prends pas pour “paroles d’évangile” cette source. Celle-ci est contextualisée de la façon suivante dans l’article :

• Everest est un groupe de hackers qui opère en 2021 en France.
• Florent Curtet donne une interview (le 11 octobre 2021) dans un journal en ligne pour expliquer qu’il “est entré en contact avec Everest, notamment pour prévenir les cibles potentielles du risque”.
• Everest réagi en publiant sur Tor un communiqué qui incrimine directement Florent Curtet et son auto-entreprise, et en référençant un lien vers l’article précédent.
• Un article dans Marianne (du 24 novembre 2021) et dans le Figaro (du 03 décembre 2021) évoquent la mise en examen d’un intermédiaire entre Everest et les victimes.
• Un troisième média cite nominativement Florent Curtet comme étant mis en examen (le 29 novembre 2021) pour cette même raison.

Notons que l’Ecole de Guerre Economique ne cite pas les propos d’Everest qui ne semblent pas vérifiables en sources ouvertes : d’autres accusations d’Everest, peu élogieuses envers l’intéressé, ne sont pas relevées. Le travail de documentation est donc sourcé, et il est analysé sous l’angle d’un faisceau d’indices concordants dont la plupart sont rapportés par des grands médias.

De l’autre côté, le président déchu oppose un récit sans démonstration, et regrette une façon de faire insuffisamment “académique” et insuffisamment “poussée”. Il semble osé de reprocher à une institution qui a récemment fait parler d’elle pour ses travaux académiques un défaut de méthode (par exemple, l’Ecole de Guerre Economique est citée comme référence dans le rapport d’information n° 872 du Sénat publié en 2023 intitulé “Anticiper, adapter, influencer : l’intelligence économique comme outil de reconquête de notre souveraineté”) ; et particulièrement quand l’alternative proposée est d’aller se renseigner auprès de la personne concernée, qui lorsqu’elle prend la parole ne répond pas sur le fond.

2. Analyse critique de la réaction du nouveau président

Ici ce n’est pas tant le sondage qui pose question, ce sont les commentaires qui l’accompagnent.

En premier lieu, notons que Karim Lamouri accuse l’auteur de l’article incriminant de se positionner en “juge auto-proclamé de l’éthique”. Une recherche rapide sur un moteur de recherche montre que l’éthique, notamment via la rhétorique humanitaire de l’objet associatif, constitue un récit martelé par les fondateurs dans leurs apparitions médiatiques. En termes d’auto-proclamation, il semble que “Hackers Sans Frontières” sorte vainqueur de l’accaparement de l’éthique. Une phrase éclairante de l’article de l’Ecole de Guerre Economique est :

Hackers Sans Frontières a porté en étendard dès sa genèse ces mêmes valeurs morales qui aujourd’hui lui font défaut.

Le président accuse également l’auteur de l’article d’être un “piètre investigateur” : il est dommage qu’aucun élément de preuve ne soit apporté. C’est à se demander pourquoi un changement dans la gouvernance de l’association a été suscité par cet article si tous les arguments énoncés sont de piètres arguments.

Ainsi, plutôt qu’une remise en question ou une clarification tranchée sur les faits exposés, le nouveau président se détourne des éléments factuels portés à son attention et les tourne en discrédit par l’ironie, sans apporter aucune réponse. On peut noter la volonté du président de se repositionner au-dessus du débat en discréditant l’Ecole de Guerre Economique par un artifice rhétorique :

On va négocier de la dispo pour former là-bas.

Par cette phrase, il sous-entend que l’Ecole de Guerre Economique n’est pas suffisamment qualifiée pour analyser le sujet, et qu’en revanche “Hackers Sans Frontières” dispose des compétences manquantes qu’ils pourront apporter dans leur démarche évangélisatrice humaniste. Il ne précise pas si la formation porterait sur l’éthique et la transparence : peut-être un beau cas d’étude à partager aux étudiants ?

Nous retiendrons le commentaire d’un internaute adressé au président :

Vous n’avez pas le monopole de l’objectivité et de l’impartialité. Je ne comprends pas ce qui vous empêche de démontrer qu’il s’agit d’une diffamation si vous en êtes convaincus.

Celui-ci est resté sans réponse, alors que le fil de discussion continue sur d’autres propos, plutôt à tendance méprisante envers l’auteur de l’article.

3. Un soutien actif de la communauté de “Hackers Sans Frontières” à leur association

Lorsque l’on fait la synthèse factuelle de cette séquence, rien ne semble objectivement tirer vers le haut “Hackers Sans Frontières”. Il peut alors paraître surprenant de constater qu’une communauté active soutient “Hackers Sans Frontières” malgré les faits exposés. Dans les commentaires que nous avons pu lire, semble se dégager une certaine admiration des membres pour leur communauté et leurs leaders. S’il fallait retenir un aspect positif de “Hackers Sans Frontières”, c’est cette adhésion que nous reconnaîtrions. Nous le voyons comme un épiphénomène, mais l’ampleur reste difficile à quantifier réellement :

• Sans rapport d’activité étayé, il n’est pas possible de savoir qui contribue activement à l’association : parle-t-on d’une petite communauté de 26 personnes (celles enrôlées sur LinkedIn comme membres de l’organisation), ou des 200 à 300 membres qui sont proclamés dans les médias par les co-fondateurs ?
• Les membres les plus extrêmes (les plus propices au déni) sont ceux qui s’expriment le plus, souvent dans un fonctionnent en meute qui amplifie un potentiel écho.

Un des éléments de réponse pour justifier cette adhésion se trouve peut-être dans les commentaires élogieux à destination du président déchu : une communauté lui reconnaît des actions bénéfiques, à tendance héroïque, par exemple :

Sans toi rien ne serait […] Les gens ne savent rien de ton passé et des implications qu’il comporte. Tu as donné à notre pays, et ça personne ne s’en rappelle ! Un minimum de recherche et de bon sens permet d’avoir une idée de [ce] que tu as fait et pour qui …

Plusieurs commentaires similaires s’inscrivent dans ce sous-entendu héroïque. Nous avons fait nos recherches, évoqué le sujet avec des experts de différentes horizons (professionnels, ex-collaborateurs, ou journalistes), et notre avis personnel n’est pas celui du commentateur précédent, d’autant plus que les éléments exposés renvoient une toute autre image que celle du chevalier blanc de la cyber. Il semble trop facile de se cacher derrière un profil d’expert qui manipule des sujets sensibles et confidentiels ne permettant pas de les évoquer publiquement, tout en les distillant dans le sous-entendu, puis en rejetant les éléments factuels qui contredisent le récit officiel. A l’ère des “fake news”, l’inversion des valeurs est dommageable.

L’article de l’Ecole de Guerre Economique apporte des éléments de lecture sur cette adhésion sans faille de certains membres envers leur leader :

Alors que la cyber-sécurité est aujourd’hui un enjeu décisif de survie des entreprises, que ce sujet est souvent mal compris et mal appréhendé, […] ce contexte s’avère favorable à la mystification du sujet. […] La tendance à l’hypermédiatisation et la vulgarisation du sujet pour le grand public, l’appel à un marketing exacerbé dans un marché en effervescence, permettent et encouragent une auto-proclamation de l’expertise cyber-sécurité.

D’autres commentaires montrent leur soutien à “Hackers Sans Frontières” en mettant en avant l’utilité publique, et les réalisations humanitaires de l’association. Là encore, aucune documentation n’est disponible, hormis les fanfaronades médiatiques des co-fondateurs qui ne contribuent à aucun élément de preuve concret pour un observateur tiers. Notre attente est que soient documentées publiquement et de manière sérieuse ces réalisations, ainsi que le bilan financier de l’association. C’est la moindre des choses lorsque l’on veut jouer dans la cours des “ONG” : c’est ce qui permet de démontrer son sérieux, et sa valeur ajoutée pour la société. Sans ces éléments, aujourd’hui absents, nous ne pouvons qu’acter que “Hackers Sans Frontières” est une coquille vide, véhicule marketing et promotionnel de ses membres.

S’il fallait encore s’en convaincre, nous tapons “cyber ONG” dans notre moteur de recherche, et le premier lien renvoie vers le “CyberPeace Institute” : sur la page d’accueil du site web, un lien référence les rapports d’activités et financiers de l’association. Si l’objet de cet article n’est pas le CyberPeace Institute, nous ne pouvons que constater l’écart flagrant de sérieux entre les deux associations “ONG”. Rappelons que “Hackers Sans Frontières” existe maintenant depuis plus de deux ans (d’après les dire médiatiques des fondateurs, car pour rappel, “Hackers Sans Frontières” ne communique pas publiquement les éléments de transparence attendus).

IV - Etat des lieux plus d’un an après la publication de l’Ecole de Guerre Economique

• L’assocation n’a toujours publié aucun statut, ni mentions légales, mais également aucun rapport d’activité qui documenterait sa structure organisationnelle, ses membres, ses réalisations, ses projets, son bilan financier.
• Le président déchu a mis à jour les mentions légales de son site Internet d’entreprise, mais celles-ci ne respectent toujours pas la législation en vigueur concernant l’identification de la société : les éléments frauduleux dénoncés originellement par l’Ecole de Guerre Economique (capital, mention d’une activité auto-entrepreneuriale) n’apparaissent pas ; de plus, l’adresse affichée ne correspond toujours pas à l’adresse d’immatriculation de l’entreprise présente dans les registres officiels.
• Le président déchu publie des livres et prépare une série télévisée : bien que les marques sensationnaliste et fictionnelle soient ancrées dans les éléments discursifs, cette initiative démontre les capacités de l’individu à produire une valeur ajoutée dans le domaine du divertissement et de l’édition, sans s’inscrire purement dans la transgression ; nous ne pouvons que l’encourager à se repentir une bonne fois pour toute, car contrairement à son affirmation de janvier 2023, nous ne considérons pas qu’il est réhabilité du point de vue de l’éthique.
• Les trois membres très actifs de ce qui semble être le noyau dur de “Hackers Sans Frontières” continuent de surfer sur la vague marketing de l’association : passage dans les médias, membre du comité éditorial du Cyber Paris Show, etc.

C’est cette médiatisation qui nous pousse à écrire, en premier lieu pour documenter, en second lieu pour poser à nouveau la question : de quelle légitimité dispose “Hackers Sans Frontières” aujourd’hui ? Toutes ces apparitions médiatiques ne sont-elles pas un soutien au parti pris de l’opacité, et de l’indécence éthique ? Cette question fondamentale du point de vue de l’éthique et de la transparence a été posée par l’Ecole de Guerre Economique, mais aucune réponse satisfaisante n’a été apportée aujourd’hui.

V - Le mot de la fin

Notre action vise uniquement à mettre l’éthique au coeur du débat, là où elle nous parait ostensiblement vacillante. Nous ne sommes pas en croisade contre “Hackers Sans Frontières”, et nous ne cherchons pas le coup d’éclat : ce sujet, soyons francs, n’intéresse qu’un microcosme.

Nous avons contacté “Hackers Sans Frontières” par courriel avant de publier cet article, dans une approche qui se voulait constructive : en premier lieu, collecter les éléments de transparence absents de la sphère publique afin de les analyser pour construire notre avis. Nous souhaitions également savoir si les propos tenus en réponse à la publication de l’Ecole de Guerre Economique pouvaient avoir été l’objet d’une maladresse, si des conclusions avaient été tirées, ou si l’article publié omettait certains détails importants pour la bonne compréhension. Sur ce dernier point, nous avons également proposé notre aide pour les analyser, dans une logique, pourquoi pas, de prendre le contre-pied de celui de l’Ecole de Guerre Economique.

“Hackers Sans Frontières” n’a pas souhaité répondre à nos questions. Par soucis de transparence, nous consignons ici que “Hackers Sans Frontières” nous a informé ne pas avoir de compte en banque, ne pas verser de salaire, ne pas recevoir de donation ou dotation, ni financement tiers. Concernant l’énoncé de faits reportés dans le présent article, “Hackers Sans Frontières” a exprimé qu’il s’agissait de diffamation et menacé de porter plainte à la publication. Nous avons insisté :

Si nous prenons contact en amont avec vous, c’est bien pour identifier les propos que vous jugez diffamatoires, avant tout écrit. Nous avons observé vos déclarations publiques sur le sujet et aucune ne nous a permis d’identifier un argumentaire solide qui permettrait de discréditer les propos tenus par vos détracteurs. Nous sommes donc à votre disposition pour faire l’analyse des propos qui vous semblent diffamatoires et vous réinstaurer publiquement. Aidez-nous. [extrait courriel à destination de “Hackers Sans Frontières”, daté du 27 avril 2024]

“Hackers Sans Frontières” a exprimé dans l’ultime message échangé n’avoir aucun problème à répondre sur le fond ou la forme des questions posées, mais ne pas souhaiter les évoquer avec des inconnus qui, en omettant de s’identifier formellement, manquaient de professionnalisme. En conclusion de l’échange, nous avons été invités en toute cordialité à Genève pour nous présenter personnellement, et se faire présenter l’association.

Nous avions précisé dans l’échange être des blogueurs anonymes et amateurs, animés par le plaisir d’écrire en communauté engagée. Nos propos nous engagent. Déplacer le débat sur l’identité de l’inquisiteur est un mauvais calcul. Notre anonymat est un choix, un arbitrage : il est le garant de notre liberté éditoriale, nous offre une barrière de protection aux attaques vengeresses, nous préserve d’accusations de “buzz” ou de valorisation d’images personnelles (nous ne sommes personnes), et permet ainsi de se concentrer sur le fond du problème. En ce sens, notre anonymat n’affaiblit pas notre discours : il renforce sa légitimité. C’est bien sûr l’opposé qui est attendu d’une ONG, et ici, “Hackers Sans Frontières” fait une erreur absolue en ignorant les fondamentaux de transparence associés : le fait simple de ne pas vouloir exposer publiquement des informations basiques de transparence disqualifie l’association.

Concluons avec ce que devrait être “Hackers Sans Frontières”, telle que l’association l’exprimait en mars 2022 :

“We want to be crystal clear and transparent”.

Messieurs, vous avez lourdement failli.

---

Synthèse des échanges avec “Hackers Sans Frontières”

1. 08 avril 2024 : Prise de contact par courriel avec l’association via l’adresse dédiée aux contacts presse (press@hwb.ngo) pour demander un rapport d’activité de l’association, ainsi qu’une description de sa structure organisationnelle, ses membres, ses réalisations, ses projets.

2. 10 avril : Sans accusé de réception ni réponse, courriel de relance avec ajout en destinataires des adresses courriels référencées sur le site de l’association (contact@hwb.ngo, k***@hwb.ngo).

3. 13 avril : Prise de contact publique sur Twitter (référençant le compte de “Hacker Sans Frontière”, et celui de trois fondateurs) mentionnant un envoi d’email sans réponse et la volonté d’obtenir un rapport d’activité de l’association pour bien comprendre ses actions et son impact.

4. 17 avril : Relance par courriel aux mêmes adresses de contact. Nous mentionnons cette fois-ci que nous rédigeons un article sur “Hackers Sans Frontières”. Nous obtenons une réponse de la part du président de l’association qui nous invite à poser nos questions, sans toutefois répondre à la demande initiale.

5. 18 avril : Toujours dans le même fil courriel, nous ré-exprimons notre demande d’obtenir un rapport d’activité et un bilan financier de l’association. Nous obtenons une réponse qui mentionne : l’absence de compte bancaire de l’association, l’absence de salaire versé, l’absence de vente ou donation, ou financement. Cette réponse nous invite à poser nos autres questions. En l’état nous n’avons pas obtenu de réponse explicite sur le rapport d’activité.

6. 19 avril : Nous exprimons alors nos premières questions générales visant à comprendre l’ONG et sa gouvernance (bureau exécutif, enregistrement légal, bénéficiaires, membres, partenaires, auditeur indépendant, tierces parties autres).

7. 24 avril : Sans réponse, relance à destination du président.

8. 27 avril : Nous relançons à nouveau, en ajoutant une liste de questions portant sur l’article de l’Ecole de Guerre Economique, et sur les propos que nous avons analysés dans le présent article. Nous recevons une réponse qui demande de mettre un terme à cet échange. Un dernier échange de mail suit : un de notre part, pour accuser réception de la demande de ne plus rentrer en contact avec “Hackers Sans Frontières” tout en précisant que nous restons à leur disposition pour investiguer sur les propos dits diffamatoires, et une dernière fin de non recevoir de “Hackers Sans Frontières” tant que nous restons anonymes.

_{Photo d’illustration: Olesya Yemets sur la plateforme Unsplash}