C'est un hobby un peu plus prenant que les autres. Jane Wong infiltre le code des grandes applications mobiles pour pointer leurs failles de sécurité.

par Servan Le Janne | 7 min | 05/12/2018

La sonnerie de Skype retentit dans l’appartement de Jane Manchun Wong, à Hong Kong. « Oh pardon, c’est moi », s’excuse-t-elle au téléphone. La jeune femme a tellement l’habitude de lancer les applications en rafale, dès qu’un moment libre se présente, que certaines s’ouvrent désormais toutes seules. Il est 18 h 30, ce mercredi 5 décembre et elle n’a pas fini de s’en servir. « Parfois je quitte l’écran et explore la ville sans ordinateur portable avec moi », plaide cette grande introvertie. « Je m’achète à manger, je prends des photos. J’aime aussi faire ça. Si le temps n’est pas trop mauvais, je pars même en randonnée. »

Bien sûr, Jane Wong n’est pas connue pour ses clichés ou ses conseils gastronomiques. Si près de 12 000 personnes la suivent sur Twitter, c’est parce qu’elle traque et dévoile les bugs, dysfonctionnements et autres failles des applications mobiles, notamment ceux qui favorisent la diffusion des données personnelles d’utilisateurs. Étudiante à l’université du Massachusetts à Dartmouth, elle a pris une année sabbatique pour voir sa famille et souffler. À Hong Kong, elle donne des cours sur l’architecture des sites Internet à mi-temps et passe le reste de ses journées à explorer le code des grandes applications.

Ce mercredi 5 décembre est bien rempli. Une commission d’enquête du parlement britannique vient de dévoiler des emails internes à Facebook. Datés de 2014 et 2015, les messages dévoilent la volonté de la direction de l’entreprise (Mark Zuckerberg inclus) de réserver l’accès aux données utilisateurs à des entreprises triées sur le volet. Airbnb, Netflix ou Lyft, par exemple, ont été mis sur une « liste blanche » ayant le privilège de toujours avoir accès à ces informations personnelles. De ces documents, il ressort aussi que « l’ouverture de l’interface Android permet aux entreprises comme Facebook de lire le journal des appels et les SMS si elles le souhaitent », pointe Jane Wong. Certes, depuis, « il y a eu de nombreuses améliorations dans la sécurité des applications », admet-elle. Mais il reste beaucoup à faire.

Comment décelez-vous les failles des applications ?

J’utilise une méthode qui s’appelle la rétro-ingénierie. Pour identifier un bug, il faut trouver un moyen de découvrir ce qui se trouve en coulisse. Le mieux, c’est de déconstruire la structure de l’application de manière à pouvoir la recréer soi-même. Cela permet de l’analyser et de repérer ses faiblesses. Une fois que vous connaissez l’infrastructure, il n’y a plus qu’à chercher un moyen de l’améliorer. Personnellement, je conçois mes propres outils. Le travail est plus long ainsi mais j’en sais davantage sur le fonctionnement global.

Qu’est-ce qui vous a conduit à vous intéresser à cette tuyauterie complexe ?

Crédits : Jane Wong

Ça vient de ma passion pour l’informatique. Je suis née à Hong Kong dans une famille assez normale. Ma mère gère une boutique et mon père est ingénieur en génie électrique. Il avait donc un ordinateur à la maison. Internet me fascinait car j’y voyais un moyen de contacter des gens du monde entier en quelques secondes. Seulement, mon père avait mis un mot de passe verrouillant Internet Explorer pour m’empêcher de naviguer librement quand j’étais enfant. Alors, à 6 ans, je suis allée à la bibliothèque et j’ai emprunté un CD avec Firefox et je l’ai l’installé à la maison. Voyant que j’avais désormais un accès libre à la Toile, mon père a protégé Windows par un mot de passe. Donc j’ai installé Linux. Cette fois, il a placé le mot de passe sur l’ordinateur, ce qui m’a poussé à réinitialiser l’appareil en enlevant et replaçant la batterie. Il a fini par abandonner et me laisser faire ce que je voulais.

Je suis passionnée d’informatique depuis toute jeune. Je faisais partie de ces enfants espiègles qui modifiaient le code des mini-jeux d’internet pour obtenir des scores délirants. Ce n’est pas seulement l’impression d’être reliée à des tas de gens loin de moi, sans bouger, qui me plaisait ; j’aimais aussi la possibilité de faire une infinité de choses avec des logiciels. À l’école, les cours d’informatique me plaisaient et j’ai vite pensé à en faire mon métier. Ma grand-mère maternelle voulait que je devienne médecin car elle travaillait dans le domaine médical. Mais quand mon père a fini par lâcher le contrôle de l’ordinateur, ils m’ont tous soutenue.

À quel moment est-ce devenu sérieux ?

Je ne pensais pas une seconde que mon hobby serait considéré comme important par les entreprises. Au départ, je bricolais des sites internet pour m’amuser. Par exemple, j’avais fait en sorte de gagner un concours de dactylographie en 0,00001 seconde. Un jour, je me suis demandée si mon approche était transposable aux applications. Je me suis alors mise à traquer leurs vulnérabilités, ce qui a plutôt fait de moi une fauteuse de trouble. C’était à croire que l’idée était mauvaise. Mais j’ai pris conscience qu’on pouvait pointer les failles d’une application sans se mettre en danger en voyant le chasseur de bugs Philippe Harewood travailler. Il suffisait de suivre le même protocole.

C’est comme ça que je me suis mise à la rétro-ingénierie. J’aime dévoiler ce que les entreprises dissimulent dans les applications qu’elles veulent me faire télécharger. Elles déploient des efforts considérables pour éviter que des gens comme moi ne s’adonnent à la rétro-ingénierie. Ces efforts me donnent de la motivation afin de prouver que les applications sont toujours déchiffrables et qu’il y a constamment quelque chose qu’elles essayent de cacher.

Est-ce difficile ?

Parfois oui. Je peux passer entre 6 et 18 heures par jour à travailler. Je fais cela à condition d’avoir assez de temps libre pour m’y mettre et pour récupérer de la fatigue cérébrale engendrée. Quand, finalement, je réussis, la dopamine se diffuse dans tout mon corps. Je saute de ma chaise et je crie de joie. Ensuite je tweete et je fais de beaux rêves.

Crédits : Jane Wong

Quand avez-vous commencé à utiliser Twitter ?

C’était au mois de mai. Avant, je publiais sur un groupe Facebook, ce qui intéressait pas mal de monde, mais rien de comparable. D’ailleurs, mes messages se retrouvaient postés sur Twitter sous forme de captures d’écran. J’ai fini par me dire que je pouvais le faire moi-même et que ça me permettrait de me joindre aux discussions. J’aime bien Twitter car c’est rapide et les messages ne peuvent pas être édités. Mes contenus y gagnent en crédibilité sans trop d’efforts. Et puis beaucoup de journalistes y traînent. Tout ce qu’ils ont à faire, c’est me liker, me retweeter ou inclure un de mes tweets dans un article.

Vous vous intéressez aussi aux coulisses de la plateforme.

Oui, mais en termes d’échelle et de technologie cachée, Facebook est beaucoup plus intéressant. C’est l’application avec le plus de choses en coulisse que j’aie jamais vu. Il y a tellement de lignes de code derrière… Le fait que les informaticiens du groupe parviennent à le gérer et à rendre accessible le site à des milliards d’utilisateurs dans le monde est fascinant. D’autant qu’ils ajoutent tout le temps de nouvelles pierres à l’édifice. Évidemment, je m’intéresse de près aux nouvelles fonctionnalités. La première fois que la presse a parlé de moi, c’était en octobre 2017, quand j’ai parlé de la section CV envisagée par Facebook. Le journaliste de The Next Web Matt Navarra a partagé mon message.

Comment faites-vous pour être la première à découvrir les fonctionnalités à venir ?

Peut-être que d’autres personnes ont recours à des sources internes à l’entreprise, mais personnellement j’obtiens la plupart de mes informations directement à partir de l’application. Pendant la dernière étape de développement d’une fonctionnalité, les entreprises comme Facebook la font tester par des employés ou un petit échantillon de personnes. C’est ce qu’on appelle un test A/B. Le code de ces fonctionnalités qui ne sont pas encore activées est souvent intégré quelque part dans le code de l’application. Quand vous installez une mise à jour, elle peut être accompagnée de plusieurs fonctionnalités en attente. C’est pour ça que les géants de la tech sont si vagues à propos de ce que comprend une mise à jour. Moi, j’essaye de trouver ce qu’ils installent sur mon téléphone parce qu’après tout, l’appareil m’appartient.

Quelle est la découverte dont vous êtes la plus fière ?

En 2017, Facebook s’est mis à proposer à ses utilisateurs de répondre à un questionnaire baptisé « Le saviez-vous ? », dont certaines questions étaient très étranges. On pouvait se demander d’où elles venaient. Eh bien, j’ai trouvé un moyen de savoir qui était derrière. Ce n’étaient pas des employés de Facebook mais parfois des hackers. J’ai alerté l’entreprise de Mark Zuckerberg et elle m’a récompensé pour ça. J’en suis fière car j’ai rendu la plateforme un peu plus sûre. Mon but n’est pas de trouver des scoops mais d’améliorer la sécurité.

Il est impossible de concevoir une application parfaite. Je préviens toujours les sociétés concernées quand je trouve un bug ou une faille. Aujourd’hui, elles ont des protocoles pour ça. Elles récompensent ou citent ceux qui les trouvent. Mais je ne fais pas ça pour gagner ma vie. Je sais que leurs réactions sont mitigées, bien que je n’ai aucune dent contre elles. Vous pouvez aussi bien me considérer comme une grande fan de leurs applications qui va jusqu’à la rétro-ingénierie pour en profiter dans les meilleures conditions. D’ailleurs, je ne me suis jamais retrouvée en conflit ouvert.

Cherchent-elles à vous engager ?

Oui, c’est arrivé notamment quand j’étais à Milwaukee, mais je suis encore étudiante. Sur le marché de l’emploi, il y a certainement beaucoup de demande en matière de sécurité de l’information ou de cybersécurité. La technologie m’a toujours fascinée par sa capacité à transformer la vie des gens, donc j’aimerais bien travailler dans ce domaine.

Quelles sont vos limites ?

J’aimerais explorer les applications des banques, mais je n’ose pas. Je serais contente d’y rapporter des bugs mais c’est trop risqué…


Couverture : Jane Wong en visite au siège d’Instagram. (Jane Wong/Sophie Alpert)


 

PLUS LOIN DANS LE TURFU