C’est le hasard et un remaniement de calendrier de dernière minute qui a fait d’Andrea Barisani le premier orateur de la première NoSuchCon, conférence Parisienne qui s’est tenue mi-mai dernier. Heureux hasard que ce changement, car Barisani y définissait l’esprit même de la conférence : rigueur des méthodes de recherche, rigueur dans le « faire savoir », refus de la facilité et du sensationnalisme et de tout ce qui, dans le milieu du hacking, nuirait à son image de marque. A commencer par le mélange des genres, cette multiplication des hacker’s conferences et cette lente dérive vers le médiatiquement rentable. Hugo Teso et son détournement d’avion à coup d’application Android en a pris pour son grade, et dans la foulée tout ce qui orbitait autour des cyberguerriers Chinois, des imprimantes laser qui prennent feu et des outils mobiles dont les batteries explosent sur commande. « Hack sensationnaliste n’est que ruine de l’âme ».
Second responsable de cette « mauvaise image », les articles de presse (alarmistes bien sûr, souvent rédigés par des auteurs néophytes en la matière). Et Barisani de rappeler que c’est au chercheur de trouver les mots à la fois simples et précis qui feront passer son message. Pour peu, Boileau passait par là … ce qui se conçoit bien s’énonce clairement. Abus de jargon nuit à la compréhension et favorise l’interprétation. A force de parler gourou, certains spécialistes de la sécurité informatique tiennent des propos aussi clairs que ceux de la Pythie de Delphes; et il n’en résulte bien souvent qu’une simplification forcément réductrice et inexacte. La faute n’est pas celle du « journaliste qui ne comprend jamais rien » mais bien celle du « spécialiste qui n’utilise que des mots en « isme » et cultive son élitisme hermétique ».
Non à l’élitisme ne veut pas dire oui au simplisme. Et d’enchainer alors sur la nécessité de veiller au sérieux des conférences, de relever le niveau général des interventions, de ne pas succomber aux sirènes de la facilité. En langage geek, guerre au FUD. Une « conf sécu », précise Andrea Barisani, s’attache moins à dévoiler un résultat qu’à décrire la démarche intellectuelle qui a permis d’aboutir à ce résultat. Elle doit être une vitrine des travaux de recherche, elle doit montrer des méthodes, des cheminements de pensées qui, à leur tour, inspireront d’autres chercheurs qui n’œuvrent pas nécessairement dans le même domaine. Ce n’est que dans de telles conditions, conclut Barisani, que la profession retrouvera ses lettres de noblesse.
Il reste tout de même un aspect de cette mode des conférences sécurité que n’a pas abordé notre « keynote speaker » : l’absolue impossibilité, pour la presse en général, de pouvoir pondérer et quantifier le sérieux de certains travaux sans une référence stable. Entre la communication à visée nécessairement marketing d’un éditeur d’antivirus ou les accents anxiogènes des Ministres de l’Intérieur de tous poils qui voient derrière chaque virus, chaque botnet, la main gauche des espions Chinois, des pédopornographes Russes, des mafieux Nigérians et des « cyber-terroristes » islamistes, il est impossible pour un non-spécialiste d’effectuer la moindre discrimination. Pas plus qu’il n’est possible, pour un chercheur, de contrôler son « message » lorsque la médiatisation de ses travaux est assurée par un service commercial, lui-même influencé par les décisions politiques d’une direction préférant les messages simples et efficaces aux précautions de langage et aux exercices difficiles de vulgarisation. « hacking for fun and profit » (le hacking par passion et dans le but d’en tirer une certaine richesse intellectuelle) s’oppose chaque jour au « hacking for fame and profit », le hacking pour la gloriole personnelle et des intérêts purement financiers.
NoSuchCon, une référence « sérieuse et sans FUD », la première édition semble indiquer que le cap est tenu, conclut Barisani en égrenant le programme des présentations. Indiscutablement, la barre est placée très haut, sans toutefois basculer dans l’élitisme abstrus.