L’association française Root Me est « engagée dans une démarche éthique avec pour objectif de sensibiliser et de promouvoir auprès de ses utilisateurs, et surtout d’améliorer, la sécurité des systèmes d’information et des réseaux en apportant ses compétences en la matière ». La plateforme est aujourd’hui utilisée partout dans le monde par plus de 600 000 étudiants, particuliers et professionnels.
Les enjeux liés à la cybersécurité se développent en même temps que se démocratise l’usage d’internet dans tous les pans de la société. Selon Alessandro Profumo, directeur général de Leonardo, l’un des principaux groupes internationaux du secteur aéronautique et spatial, le coût total de la cybercriminalité a dépassé les 6 000 milliards de dollars en 2021, dont un cinquième des attaques a visé l’Europe. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dont la mission est de « défendre les systèmes d’information critiques de la Nation et de structurer au niveau national l’assistance aux victimes de cyberattaques », encourage fortement le partage des connaissances en matière de cybersécurité ainsi que le développement de la filière et des formations en cybersécurité.
C’est dans ce contexte que l’association à but non lucratif Root Me, créée en mai 2011 à Coublevie, en Isère, apporte son concours. Elle a pour objet de promouvoir la diffusion libre du savoir relatif au hacking et à la sécurité de l’information. Root, littéralement « racine » en anglais, désigne le nom de l’utilisateur d’un système informatique qui possède toutes les permissions. Et c’est tout l’objet des 513 « challenges » proposés par Root Me sur sa plateforme. Ces challenges ou défis consistent à trouver un « flag » ou un « mot de passe de validation », prouvant que la personne a bien réussi le hack. À ces 513 défis de niveaux différents correspondent actuellement 5 304 « solutions », toutes assorties de ressources utiles à l’apprenant pour voir et comprendre le raisonnement suivi par d’autres internautes ayant réussi le challenge. « La plate-forme ne vous aide pas à réussir les challenges, vous devez vous débrouiller par vous-même pour comprendre ce qu’on attend de vous ou bien demander de l’aide à la communauté », explique Corinne Henin, experte en cybersécurité citée par Le Monde.
Chaque utilisateur ayant créé un profil sur la plateforme acquiert des points selon les challenges résolus. Outre la mise à disposition de l’ensemble des instructions, il est également possible de proposer d’autres solutions pour un challenge déjà élucidé, ou encore de demander de l’aide sur un forum, favorisant ainsi un apprentissage collaboratif. Les challenges, régulièrement renouvelés, visent à « apprendre à analyser et à manipuler les différents protocoles et services les plus courants pour les tourner à son avantage » ou encore à « apprendre à exploiter les failles des applications web pour impacter leurs utilisateurs ou contourner des mécanismes de sécurité côté client ». Ces challenges se déroulent sur 168 serveurs et ordinateurs virtuels, mis à la disposition de la communauté afin de « compromettre et « rooter » complètement la machine dans un environnement réel ».
Root Me constitue ainsi un vivier de talents pour les entreprises en quête d’experts en cybersécurité. Il arrive même que des offres d’emploi y soient publiées, comme celle de BNP Paribas qui recherchait, au moment de la rédaction de cet article, des penetration testers, soit des « attaquants internes ou externes de BNP Paribas afin d’identifier les failles, les vulnérabilités et ainsi proposer des pistes de remédiation ».
Si la plateforme Root Me portée par l’association est entièrement gratuite pour les apprenants, Root Me Pro, créé en 2020, s’adresse aux entreprises, aux experts et aux organismes de formation, avec un accès illimité aux contenus disponibles sur la plateforme publique ainsi qu’à des « solutions adaptées aux besoins et aux contraintes spécifiques des professionnels souhaitant recruter, tester, former et suivre la progression pédagogique de leurs salariés, de leurs candidats ou de leurs étudiants ». Le lancement de cette offre commerciale répond à une demande croissante des écoles, mais également d’entreprises, ayant recours à la version publique de Root Me, cette dernière ne parvenant plus « à proposer des contenus gratuits destinés à un usage non professionnel tout en soutenant des usages professionnels ». Le développement d’une entité commerciale ouvre également l’opportunité de consolider un modèle économique selon lequel l’activité à but lucratif finance le développement de la plateforme publique, au bénéfice de tous.
« L’idée était de proposer une plateforme en ligne, accessible à tous, sur laquelle les utilisateurs puissent s’entraîner et s’entraider librement » explique Sébastien Dartigalongue, directeur général de Root Me Pro. Avec plus de 500 000 visites par mois, le pari semble réussi puisque la plateforme de cybersécurité dans une démarche éthique est utilisée, à l’échelle internationale par plus de 612 000 étudiants, particuliers et professionnels.
Sources :
- Root Me, www.root-me.org
- ANSSI, www.ssi.gouv.fr
- Romane Pellen, « « Apprendre à hacker » : l’engouement des jeunes pour la plateforme Root Me attire aussi l’attention des écoles », lemonde.fr, 8 avril 2023.
- « La cybercriminalité a coûté plus de 6 000 milliards de dollars en 2021 », AFP, lematin.ch, 10 mai 2022.
