Derrière le pseudonyme geek Elliot Alderson, comme le hackeur de la série Mr. Robot, Baptiste Robert traque depuis quelques mois les failles de sécurité et les expose sur Twitter. Il est même devenu une célébrité en Inde depuis la découverte de sérieux problèmes de sécurité dans le système d’identification biométrique du pays. Et qu’il s’est mis à dos le parti au pouvoir.
Qu’ont en commun le Premier ministre indien Narenda Modi, le constructeur chinois de téléphone OnePlus et des bots pornographiques sur Twitter ? Un homme : Baptiste Robert. Ce développeur Android de la région toulousaine est devenu l’ennemi numéro un des développeurs d’applications du monde entier en traquant les failles de sécurité et fuites de données avant de les publier sur Twitter sous le pseudonyme d’Elliot Alderson, en référence au hackeur de la série américaine Mr Robot. Le tout, de son canapé, après le boulot.
En mars dernier, l’homme de 28 ans s’est même retrouvé au cœur d’une joute politique entre Narendra Modi et Rahul Gandhi, le principal opposant au Premier ministre indien. « Etre au centre de l’attention politique dans un pays qui n’est pas le sien, ce n’est pas très agréable », admet d’une petite voix celui qui rechigne à répondre aux journalistes.
Docteur Baptiste, mister Elliot
Contacté par téléphone sur la messagerie chiffrée Wire, Baptiste Robert demeure timide et peu loquace. Elliot Alderson, lui, manie ironie, culot et réflexions acerbes sur Twitter. « Salut Burger King, combien de burgers puis-je avoir si j’ai trouvé une faille de sécurité dans votre réseau ? », lance-t-il en février dernier à la chaîne américaine de fast-food.
Pour le mentionner sur le site de microblogging, il faut taper @fs0c131y, qui rappelle le groupe de hackeurs fsociety dans Mr. Robot. Décidément, la série semble être le fil rouge de la vie professionnelle de l’ingénieur toulousain, jusqu’au port du sweat à capuche. « Pourtant, je n’ai même pas vu la saison 3, confesse-t-il. Je n’ai pas vraiment eu le temps dernièrement. », Mais il garde cet avatar pour marquer les esprits : « Les gens peuvent s’identifier à ce personnage. L’image du hackeur impertinent, c’est ce qui plaît », s’amuse l’homme qui frôle les 47 000 abonnés sur Twitter.
Présent sur le réseau social depuis 2015, Baptiste Robert a supprimé tous ses anciens tweets mi-octobre 2017. Le but : « faire place nette » pour montrer au public son travail de développeur sur l’Android open source project (AOSP), une plateforme sur laquelle Google fournit une version brute d’Android en code source ouvert aux développeurs d’applications. Il garde néanmoins son avatar geek, Elliot Alderson.
« Je n’ai pas dormi pendant 48 heures »
« Mon compte Twitter a commencé à exploser quand j’ai découvert que l’application système « EngineerMode », conçue par le constructeur de processeur Qualcomm pour faire des tests en usine, était pré-installée sur les téléphones OnePlus. » Et rendait donc faillible la sécurité de ces appareils.
Baptiste Robert expose donc ses trouvailles, captures d’écran à l’appui, sur le réseau social, mais se trouve vite dépassé par les événements « Je n’ai pas dormi pendant 48 heures parce que j’essayais de répondre à tout le monde. J’avais dix notifications par seconde… »
Ce premier pavé dans la twittosphère génère six millions de réactions. Une surprise pour ce père de famille qui s’amuse à décortiquer les applis le soir, sur son canapé. « J’avais un téléphone OnePlus personnel et j’ai fait de la rétro-ingénierie pour voir ce qu’il y avait dedans. » La rétro-ingénierie, c’est partir du produit final et bricoler pour comprendre comment on l’a obtenu ; faire le chemin inverse du développeur. Son leitmotiv : alerter sur la sécurité informatique.
Pour la trousse à outils, Baptiste Robert n’a pas toujours besoin de chercher très loin : « Je m’amuse avec les Google Dorks, les techniques de recherche avancée. » C’est dire si certaines failles sont visibles… Après OnePlus, il s’attaque à d’autres fabricants de mobiles comme Wiko, Xiaomi ou Archos, mais aussi à PayPal ou l’application très téléchargée CM Browser.