Pirater pour une bonne cause

Un « pirate éthique » québécois a découvert qu’une populaire serrure commerciale de marque Schlage présentait un risque de sécurité majeur. Il souhaite désormais le révéler au grand jour.

Dominic Villeneuve (Photo : Alexi Hobbs)

Il est 4 h du matin en cette journée de juin 2020 quand Dominic Villeneuve descend au sous-sol de sa maison. L’homme de Drummondville se lève très tôt, car il s’est donné un objectif aux implications considérables en matière de sécurité, en dehors de ses heures normales de travail : tenter d’ouvrir une serrure, sans clé ni code… et sans l’endommager.

Pour ce faire, il s’installe devant un chariot métallique rouge pour s’attaquer à son défi, qui repose là depuis quelques semaines : une serrure Schlage CO-100 à clavier numérique, qui se détaille plus de 500 dollars au Canada et qui est largement utilisée dans les commerces, les tours de bureaux et les immeubles industriels partout dans le monde.

Il observe l’objet de son attention et remarque un trou qui sert à évacuer l’eau, dans la partie inférieure de la serrure. Il y insère d’abord des fils de métal pour tenter d’atteindre le mécanisme, sans succès. Trop rigide. Il réessaie, cette fois-ci avec des attaches autobloquantes (tie wraps) de différentes grosseurs, qu’il coupe à trois endroits pour former des genres de crochets. Après quatre ou cinq essais, l’instrument se faufile enfin. Il tire légèrement vers le bas, et clic ! La serrure est déjouée.

« Je me suis dit : ça ne peut pas être simple comme ça », raconte avec enthousiasme ce spécialiste de la cybersécurité de 46 ans. Pour se convaincre du sérieux de son exploit, il se rend aux bureaux de son employeur, UV Assurance, où se trouvent une dizaine de serrures du même modèle. En quelques secondes, sa modeste tige de plastique lui déverrouille toutes les portes.

Ce jour-là, Dominic Villeneuve a découvert une faille sur une serrure commerciale reconnue comme une référence sur le marché en raison de sa cote de sécurité la plus élevée de l’industrie. Il tentera par la suite, pendant plus d’un an, de convaincre son fabricant de corriger le problème et d’aviser les clients touchés, jusqu’à ce que sa patience atteigne sa limite et qu’il décide de prendre les choses en main.

Dominic Villeneuve est ce qu’on appelle dans le monde de la cybersécurité un « pirate éthique ». C’est d’ailleurs sa profession. À titre de directeur de la cybersécurité et de l’infrastructure à UV Assurance, une compagnie d’assurance de personnes plus que centenaire de Drummondville, il infiltre par exemple le site Internet et la base de données de l’entreprise pour trouver les failles, puis les colmater.

Il croit son but atteint : l’entreprise a été informée du problème, une solution a été trouvée. Mais l’avertissement destiné au grand public ne vient pas tout de suite.

Et ce n’est peut-être pas non plus un hasard si, en dehors de son travail et de ses loisirs, il est aussi pasteur au sein de l’Église réformée baptiste de Drummondville, qu’il a cofondée il y a environ un an, un courant du protestantisme qui fait la part belle aux vertus des lois « des hommes » et à leur respect, ainsi qu’à certains principes de justice sociale. « Je pense qu’il y a un lien entre les deux. Dans mon travail de pirate éthique, j’aide des entreprises, et comme pasteur, j’aide les croyants. »

Lorsqu’il s’adonne au lock picking (crochetage de serrures), il le fait à la fois pour se divertir et pour rendre service. Des dizaines de milliers d’adeptes sur la planète pratiquent cette activité, dont des pirates éthiques comme lui, mais aussi des gens aux profils variés partageant le plaisir de résoudre un casse-tête en trois dimensions. Sur Reddit et YouTube, ils échangent trucs et astuces pour déjouer n’importe quel mécanisme, qu’il s’agisse d’une serrure, d’un cadenas, d’un sabot de Denver ou d’un système de verrouillage pour arme à feu.

Son profil éthique pousse Dominic Villeneuve, vers la fin du mois de juin 2020, à appeler l’entreprise Allegion, qui possède la marque Schlage. Il obtient sans délai un entretien téléphonique avec le directeur de la cybersécurité, Frank Kasper. Il lui envoie sa vidéo du crochetage. Sur le coup, Kasper croit à un canular, mais il se laisse assez vite convaincre par les explications de son interlocuteur. 

Rapidement, les ingénieurs d’Allegion mettent au point une pièce pour bloquer le trou d’évacuation d’eau et en font parvenir un exemplaire à Villeneuve en août 2020 pour qu’il puisse la mettre à l’épreuve. Celui-ci arrive à retirer la pièce en quelques secondes et conseille à l’entreprise de retourner à la table à dessin.

Des mois plus tard, soit en février 2021, il reçoit finalement une serrure modifiée, sur laquelle on a corrigé la faille de sécurité à l’aide d’une pièce version améliorée pour boucher le trou des serrures déjà présentes sur le marché.

Il croit alors que son but est atteint : l’entreprise a été informée du problème, une solution a été trouvée. Ne reste plus qu’à prévenir tous les clients pour qu’ils sécurisent la serrure qu’ils possèdent, se dit-il. Mais l’avertissement destiné au grand public ne vient pas tout de suite.

Allegion affirme avoir avisé ses partenaires et distributeurs ayant vendu des serrures vulnérables, soit les modèles CO-100, CO-200, CO-220 et CO-250 fabriqués avant février 2021, par un bulletin d’information daté de juillet 2021. Cette fiche technique de trois pages qui se trouve aujourd’hui sur le site de l’entreprise explique la nature du problème et la manière d’y remédier grâce à la pièce conçue pour boucher le trou d’évacuation d’eau. Allegion précise que cette pièce est gratuite, mais envoyée sur demande seulement, et refuse de dire combien d’unités ont été expédiées jusqu’à maintenant.

Ce bulletin n’apparaît cependant pas dans la liste des communiqués de presse d’Allegion, et Dominic Villeneuve n’a jamais été informé de son envoi. « Quand Toyota a constaté des problèmes avec les freins de ses voitures, elle ne l’a pas caché. Elle a fait un rappel à grande échelle. Je me serais attendu à la même chose de la part d’Allegion », dit-il.

Voilà pourquoi en décembre 2021, sans nouvelles d’Allegion, il passe à l’action. Il publie une vidéo de cinq minutes — visionnée plus de 6 000 fois depuis — dans laquelle il explique ce qu’il a trouvé et surtout comment régler la faille. Il a mis au point sa propre pièce, nommée le Tie Breaker, en vente au prix d’environ 12 dollars pour un paquet de deux sur la boutique en ligne Sparrows Lock Picks, avec laquelle il collabore. Au début du mois de février, son propriétaire disait avoir reçu près de 2 100 commandes.

Dominic Villeneuve est conscient que sa démarche ne lui attirera pas que des éloges. Quand on lui soumet l’idée que sa vidéo ait pu inciter des criminels à l’imiter pour commettre des méfaits, il répond sans hésiter : « Ils peuvent aussi prendre une brique pour défoncer une porte. On n’enlèvera pas les briques des rues. Je sais que le risque que des gens utilisent la faille à des fins malveillantes est mince. »

Il espère avant tout que ses efforts auront permis d’atteindre les personnes ayant acheté une serrure problématique avant la modification par le fabricant. Il estime que des millions d’unités vulnérables ont été vendues au fil des ans par Allegion, un chiffre que l’entreprise n’a pas confirmé.

« Je veux que les grosses entreprises prennent leurs responsabilités. Elles vendent des produits de sécurité, donc elles doivent vivre avec les conséquences lorsqu’une faille est découverte. »

Dans son esprit, l’histoire de la serrure Schlage est close, mais il n’a pas fini de déjouer des mécanismes. Comme cette serrure à gâche électrique qui, au moment de notre visite en février dernier, traînait sur l’un de ses espaces de travail, entourée de dizaines d’outils. « C’est mon prochain défi ! » lançait-il en souriant.

Moins d’un mois plus tard, une nouvelle vidéo est apparue sur sa chaîne YouTube. Il y explique comment il en est venu à bout… et bien sûr comment la sécuriser.

Laisser un commentaire

Les commentaires sont modérés par l’équipe de L’actualité et approuvés seulement s’ils respectent les règles de la nétiquette en vigueur. Veuillez nous allouer du temps pour vérifier la validité de votre commentaire.

« Ils peuvent aussi prendre une brique pour défoncer une porte. On n’enlèvera pas les briques des rues. Je sais que le risque que des gens utilisent la faille à des fins malveillantes est mince. »

Donc, la faille elle-même n’était pas grave dès le départ si l’on suit cette logique, tant qu’il y a des briques…

Drôle de logique, la sécurité par faible probabilité.

Répondre