fbpx

par Servan Le Janne | 5 décembre 2018

La sonne­rie de Skype reten­tit dans l’ap­par­te­ment de Jane Manchun Wong, à Hong Kong. « Oh pardon, c’est moi », s’ex­cuse-t-elle au télé­phone. La jeune femme a telle­ment l’ha­bi­tude de lancer les appli­ca­tions en rafale, dès qu’un moment libre se présente, que certaines s’ouvrent désor­mais toutes seules. Il est 18 h 30, ce mercredi 5 décembre et elle n’a pas fini de s’en servir. « Parfois je quitte l’écran et explore la ville sans ordi­na­teur portable avec moi », plaide cette grande intro­ver­tie. « Je m’achète à manger, je prends des photos. J’aime aussi faire ça. Si le temps n’est pas trop mauvais, je pars même en randon­née. »

The open­ness of Android’s API makes it possible for compa­nies like Face­book to read call log and SMS messages, if they want to

Not on iOS, this is program­ma­ti­cally impos­sible for them to do so, since the lack of the simi­lar API on iOS pic.twit­ter.com/np2gHKpjfz

— Jane Manchun Wong (@wongmjane) Decem­ber 5, 2018

Bien sûr, Jane Wong n’est pas connue pour ses clichés ou ses conseils gastro­no­miques. Si près de 12 000 personnes la suivent sur Twit­ter, c’est parce qu’elle traque et dévoile les bugs, dysfonc­tion­ne­ments et autres failles des appli­ca­tions mobiles, notam­ment ceux qui favo­risent la diffu­sion des données person­nelles d’uti­li­sa­teurs. Étudiante à l’uni­ver­sité du Massa­chu­setts à Dart­mouth, elle a pris une année sabba­tique pour voir sa famille et souf­fler. À Hong Kong, elle donne des cours sur l’ar­chi­tec­ture des sites Inter­net à mi-temps et passe le reste de ses jour­nées à explo­rer le code des grandes appli­ca­tions.

Ce mercredi 5 décembre est bien rempli. Une commis­sion d’enquête du parle­ment britan­nique vient de dévoi­ler des emails internes à Face­book. Datés de 2014 et 2015, les messages dévoilent la volonté de la direc­tion de l’en­tre­prise (Mark Zucker­berg inclus) de réser­ver l’ac­cès aux données utili­sa­teurs à des entre­prises triées sur le volet. Airbnb, Netflix ou Lyft, par exemple, ont été mis sur une « liste blanche » ayant le privi­lège de toujours avoir accès à ces infor­ma­tions person­nelles. De ces docu­ments, il ressort aussi que « l’ou­ver­ture de l’in­ter­face Android permet aux entre­prises comme Face­book de lire le jour­nal des appels et les SMS si elles le souhaitent », pointe Jane Wong. Certes, depuis, « il y a eu de nombreuses amélio­ra­tions dans la sécu­rité des appli­ca­tions », admet-elle. Mais il reste beau­coup à faire.

Comment déce­lez-vous les failles des appli­ca­tions ?

J’uti­lise une méthode qui s’ap­pelle la rétro-ingé­nie­rie. Pour iden­ti­fier un bug, il faut trou­ver un moyen de décou­vrir ce qui se trouve en coulisse. Le mieux, c’est de décons­truire la struc­ture de l’ap­pli­ca­tion de manière à pouvoir la recréer soi-même. Cela permet de l’ana­ly­ser et de repé­rer ses faiblesses. Une fois que vous connais­sez l’in­fra­struc­ture, il n’y a plus qu’à cher­cher un moyen de l’amé­lio­rer. Person­nel­le­ment, je conçois mes propres outils. Le travail est plus long ainsi mais j’en sais davan­tage sur le fonc­tion­ne­ment global.

Qu’est-ce qui vous a conduit à vous inté­res­ser à cette tuyau­te­rie complexe ?

Crédits : Jane Wong

Ça vient de ma passion pour l’in­for­ma­tique. Je suis née à Hong Kong dans une famille assez normale. Ma mère gère une boutique et mon père est ingé­nieur en génie élec­trique. Il avait donc un ordi­na­teur à la maison. Inter­net me fasci­nait car j’y voyais un moyen de contac­ter des gens du monde entier en quelques secondes. Seule­ment, mon père avait mis un mot de passe verrouillant Inter­net Explo­rer pour m’em­pê­cher de navi­guer libre­ment quand j’étais enfant. Alors, à 6 ans, je suis allée à la biblio­thèque et j’ai emprunté un CD avec Fire­fox et je l’ai l’ins­tallé à la maison. Voyant que j’avais désor­mais un accès libre à la Toile, mon père a protégé Windows par un mot de passe. Donc j’ai installé Linux. Cette fois, il a placé le mot de passe sur l’or­di­na­teur, ce qui m’a poussé à réini­tia­li­ser l’ap­pa­reil en enle­vant et replaçant la batte­rie. Il a fini par aban­don­ner et me lais­ser faire ce que je voulais.

Je suis passion­née d’in­for­ma­tique depuis toute jeune. Je faisais partie de ces enfants espiègles qui modi­fiaient le code des mini-jeux d’in­ter­net pour obte­nir des scores déli­rants. Ce n’est pas seule­ment l’im­pres­sion d’être reliée à des tas de gens loin de moi, sans bouger, qui me plai­sait ; j’ai­mais aussi la possi­bi­lité de faire une infi­nité de choses avec des logi­ciels. À l’école, les cours d’in­for­ma­tique me plai­saient et j’ai vite pensé à en faire mon métier. Ma grand-mère mater­nelle voulait que je devienne méde­cin car elle travaillait dans le domaine médi­cal. Mais quand mon père a fini par lâcher le contrôle de l’or­di­na­teur, ils m’ont tous soute­nue.

À quel moment est-ce devenu sérieux ?

Je ne pensais pas une seconde que mon hobby serait consi­déré comme impor­tant par les entre­prises. Au départ, je brico­lais des sites inter­net pour m’amu­ser. Par exemple, j’avais fait en sorte de gagner un concours de dacty­lo­gra­phie en 0,00001 seconde. Un jour, je me suis deman­dée si mon approche était trans­po­sable aux appli­ca­tions. Je me suis alors mise à traquer leurs vulné­ra­bi­li­tés, ce qui a plutôt fait de moi une fauteuse de trouble. C’était à croire que l’idée était mauvaise. Mais j’ai pris conscience qu’on pouvait poin­ter les failles d’une appli­ca­tion sans se mettre en danger en voyant le chas­seur de bugs Philippe Hare­wood travailler. Il suffi­sait de suivre le même proto­cole.

C’est comme ça que je me suis mise à la rétro-ingé­nie­rie. J’aime dévoi­ler ce que les entre­prises dissi­mulent dans les appli­ca­tions qu’elles veulent me faire télé­char­ger. Elles déploient des efforts consi­dé­rables pour éviter que des gens comme moi ne s’adonnent à la rétro-ingé­nie­rie. Ces efforts me donnent de la moti­va­tion afin de prou­ver que les appli­ca­tions sont toujours déchif­frables et qu’il y a constam­ment quelque chose qu’elles essayent de cacher.

Est-ce diffi­cile ?

Parfois oui. Je peux passer entre 6 et 18 heures par jour à travailler. Je fais cela à condi­tion d’avoir assez de temps libre pour m’y mettre et pour récu­pé­rer de la fatigue céré­brale engen­drée. Quand, fina­le­ment, je réus­sis, la dopa­mine se diffuse dans tout mon corps. Je saute de ma chaise et je crie de joie. Ensuite je tweete et je fais de beaux rêves.

Crédits : Jane Wong

Quand avez-vous commencé à utili­ser Twit­ter ?

C’était au mois de mai. Avant, je publiais sur un groupe Face­book, ce qui inté­res­sait pas mal de monde, mais rien de compa­rable. D’ailleurs, mes messages se retrou­vaient postés sur Twit­ter sous forme de captures d’écran. J’ai fini par me dire que je pouvais le faire moi-même et que ça me permet­trait de me joindre aux discus­sions. J’aime bien Twit­ter car c’est rapide et les messages ne peuvent pas être édités. Mes conte­nus y gagnent en crédi­bi­lité sans trop d’ef­forts. Et puis beau­coup de jour­na­listes y traînent. Tout ce qu’ils ont à faire, c’est me liker, me retwee­ter ou inclure un de mes tweets dans un article.

Vous vous inté­res­sez aussi aux coulisses de la plate­forme.

Oui, mais en termes d’échelle et de tech­no­lo­gie cachée, Face­book est beau­coup plus inté­res­sant. C’est l’ap­pli­ca­tion avec le plus de choses en coulisse que j’aie jamais vu. Il y a telle­ment de lignes de code derriè­re… Le fait que les infor­ma­ti­ciens du groupe parviennent à le gérer et à rendre acces­sible le site à des milliards d’uti­li­sa­teurs dans le monde est fasci­nant. D’au­tant qu’ils ajoutent tout le temps de nouvelles pierres à l’édi­fice. Évidem­ment, je m’in­té­resse de près aux nouvelles fonc­tion­na­li­tés. La première fois que la presse a parlé de moi, c’était en octobre 2017, quand j’ai parlé de la section CV envi­sa­gée par Face­book. Le jour­na­liste de The Next Web Matt Navarra a partagé mon message.

Comment faites-vous pour être la première à décou­vrir les fonc­tion­na­li­tés à venir ?

Peut-être que d’autres personnes ont recours à des sources internes à l’en­tre­prise, mais person­nel­le­ment j’ob­tiens la plupart de mes infor­ma­tions direc­te­ment à partir de l’ap­pli­ca­tion. Pendant la dernière étape de déve­lop­pe­ment d’une fonc­tion­na­lité, les entre­prises comme Face­book la font tester par des employés ou un petit échan­tillon de personnes. C’est ce qu’on appelle un test A/B. Le code de ces fonc­tion­na­li­tés qui ne sont pas encore acti­vées est souvent inté­gré quelque part dans le code de l’ap­pli­ca­tion. Quand vous instal­lez une mise à jour, elle peut être accom­pa­gnée de plusieurs fonc­tion­na­li­tés en attente. C’est pour ça que les géants de la tech sont si vagues à propos de ce que comprend une mise à jour. Moi, j’es­saye de trou­ver ce qu’ils installent sur mon télé­phone parce qu’a­près tout, l’ap­pa­reil m’ap­par­tient.

Quelle est la décou­verte dont vous êtes la plus fière ?

En 2017, Face­book s’est mis à propo­ser à ses utili­sa­teurs de répondre à un ques­tion­naire baptisé « Le saviez-vous ? », dont certaines ques­tions étaient très étranges. On pouvait se deman­der d’où elles venaient. Eh bien, j’ai trouvé un moyen de savoir qui était derrière. Ce n’étaient pas des employés de Face­book mais parfois des hackers. J’ai alerté l’en­tre­prise de Mark Zucker­berg et elle m’a récom­pensé pour ça. J’en suis fière car j’ai rendu la plate­forme un peu plus sûre. Mon but n’est pas de trou­ver des scoops mais d’amé­lio­rer la sécu­rité.

Ok, good night Twit­ter! 💤

— Jane Manchun Wong (@wongmjane) Decem­ber 3, 2018

Il est impos­sible de conce­voir une appli­ca­tion parfaite. Je préviens toujours les socié­tés concer­nées quand je trouve un bug ou une faille. Aujourd’­hui, elles ont des proto­coles pour ça. Elles récom­pensent ou citent ceux qui les trouvent. Mais je ne fais pas ça pour gagner ma vie. Je sais que leurs réac­tions sont miti­gées, bien que je n’ai aucune dent contre elles. Vous pouvez aussi bien me consi­dé­rer comme une grande fan de leurs appli­ca­tions qui va jusqu’à la rétro-ingé­nie­rie pour en profi­ter dans les meilleures condi­tions. D’ailleurs, je ne me suis jamais retrou­vée en conflit ouvert.

Cherchent-elles à vous enga­ger ?

Oui, c’est arrivé notam­ment quand j’étais à Milwau­kee, mais je suis encore étudiante. Sur le marché de l’em­ploi, il y a certai­ne­ment beau­coup de demande en matière de sécu­rité de l’in­for­ma­tion ou de cyber­sé­cu­rité. La tech­no­lo­gie m’a toujours fasci­née par sa capa­cité à trans­for­mer la vie des gens, donc j’ai­me­rais bien travailler dans ce domaine.

Quelles sont vos limites ?

J’ai­me­rais explo­rer les appli­ca­tions des banques, mais je n’ose pas. Je serais contente d’y rappor­ter des bugs mais c’est trop risqué…


Couver­ture : Jane Wong en visite au siège d’Ins­ta­gram. (Jane Wong/Sophie Alpert)


Elon Musk sera-t-il le premier président martien ?

175k 29 novembre 2018 stories . non-classe

A Simp­sons story : l’his­toire d’Apu

167k 1 novembre 2018 stories . non-classe

Bayer-Monsanto : l’Union euro­péenne a-t-elle créé un monstre ?

238k 14 août 2018 stories . non-classe