Quand la fiction hackait n’importe comment et comment j’ai fini conseiller technique sur la série Stalk
Quand un expert en cybersécurité surprend des scénaristes en train d’inventer des hacks impossibles dans un café parisien. Il se lève, se présente… et trois saisons plus tard, il est encore là.
Il y a des rencontres qui vous emmènent vers des expériences peu communes. Celle-ci s’est faite autour d’un café crème et de scénarios de hacking complètement improbables.
Ce jour-là, mon associé Jean et moi travaillions depuis notre café habituel, laptops ouverts, concentrés sur nos affaires. À la table d’à côté, une assemblée de huit personnes discutait avec enthousiasme d’une série en développement. Difficile de ne pas entendre. Et encore plus difficile de ne pas réagir.
”Il passe à côté du téléphone et il en prend le contrôle”
C’est à peu près à ce moment-là que j’ai commencé à dresser l’oreille.
Les idées fusaient : un personnage qui prend le contrôle d’un téléphone rien qu’en passant à proximité, un hacker qui “modifie le code de l’ordinateur” pour faire ci ou ça, des intrusions en quelques secondes, accès à toutes les caméras d’un bâtiment, écran qui s’éteint automagiquement…
Pour un professionnel de la sécurité informatique, c’est un peu comme entendre un chirurgien fictif opérer une tumeur du cerveau avec un tournevis. Avec Jean on sourit puis on grimace. Et on se retient d’intervenir.
Parce que ces représentations, même spectaculaires à l’écran, ont des conséquences concrètes : elles façonnent ce que le grand public croit possible. Et cette méconnaissance peut créer des angles morts dangereux face aux vraies menaces.
La réalité du hacking : moins de magie, plus de patience
Voilà ce que les films et séries omettent généralement : hacker, c’est ennuyeux ! Pas pour nous évidemment mais vu de l’extérieur regarder des lignes de codes ou des logs de proxy (les vrais informations échangées entre votre ordinateur et le site internet sur lequel vous surfez) ce n’est pas la définition communément admise du “fun”.
Au risque de décevoir quelques uns d’entre vous il n’existe pas de “prise de contrôle instantanée par proximité”. Pour accéder à un appareil, il faut :
- Une vulnérabilité exploitable dans un logiciel ou un protocole (ce qui permet à une machine ou un logiciel de communiquer)
- Un vecteur d’attaque (email de phishing, réseau WiFi compromis, application malveillante, accès physique à la machine…)
- Du temps pour préparer et tester l’attaque
- Et souvent, une erreur humaine quelque part dans la chaîne (un écran non vérouillé, un mot de passe wifi trivial, etc.)
La réalité, c’est que les attaques les plus efficaces sont aussi les plus discrètes. Un vrai hacker ne veut surtout pas qu’on le remarque.
A la question : tu penses que c’est quoi le plus beau hack de l’histoire ? J’aurais tendance à répondre : celui dont personne n’a entendu parlé.
Deux heures plus tard, je me suis levé
Revenons à notre histoire du café. Au bout de deux heures, la table d’à côté se préparait à partir. J’ai hésité une seconde, puis je me suis levé.
“Désolé, on a un peu entendu vos conversations… Si vous voulez vraiment faire une série sur le hacking en étant un peu plus réaliste, on peut vous aider.”
Silence. Regards. Puis un sourire.
La série en question, c’était Stalk. Et c’est ainsi que j’ai commencé à travailler comme conseiller technique sur les trois saisons.
Rendre un hack “visuel” : le vrai défi
La difficulté, quand on travaille avec des scénaristes, n’est pas d’expliquer la technique. C’est de trouver comment la rendre visible, compréhensible, dramatiquement intéressante sans “trop” trahir la réalité.
Un vrai hack se passe souvent dans un terminal noir avec des lignes de texte. Ce n’est pas très cinégénique.
Voici le type de conversation qu’on pouvait avoir :
Scénariste : Il a besoin d’accéder aux données du téléphone de la victime. Comment il fait ?
Moi : Dans la réalité, pas facile. Idéalement il faudrait qu’il est accès au téléphone pour installer un logiciel espion. Sinon, s’il était très très bon il aurait une zero day qui lui permettrait de l’installer à l’insu de sa cible
Scénariste : une quoi ?
Moi : une zero day c’est une vulnérabilité dont personne n’a entendu parlé. Ca coûte très cher, tu vois quand tu entends à la télé qu’un état a utilisé le logiciel de la société X pour piéger des iPhones. Et bien la faille que la société utilise pour “pirater” le téléphone à distance c’est une zero day.
Scénariste : ok, Lux est trop fort, on va dire qu’il en a trouvé une. Du coup ça ressemblerait à quoi.
Moi : Je ne sais pas, par exemple il lui enverrait un SMS avec un lien vers une fausse mise à jour. Elle clique et ça installe un logiciel espion sans rien de visible.
Scénariste : Et du coup on voit quoi à l’écran ?
Moi : Un SMS. Elle qui clique et voilà !
Scénariste : …C’est tout ?
Moi : C’est tout. Mais c’est réel. Et c’est ce qui se passe en ce moment même dans la vraie vie. Même si en vrai peu probable qu’un étudiant en informatique en soit capable tout seul dans son appart.
C’est là que la réalité commence à dépasser la fiction. Quand on explique comment fonctionne vraiment les logiciels espions, le social engineering (l’art de faire réaliser à quelqu’un des actions qui le déservent … et vous serve comme par exemple en trouvant un scénario pour que quelqu’un vous donne son mot de passe), l’espionnage des métadonnées (qui s’est connecté à quoi, quand, depuis où), l’OSINT (exploitation des données en source ouverte comme la base de données d’un opérateur de téléphonie qui se retrouve sur internet parce qu’il n’a pas voulu payer de rançon), etc. c’est là que les scénaristes réalisent que la vérité est souvent plus inquiétante que tout ce qu’ils avaient imaginé.
Ce que j’ai appris de cette expérience
Travailler sur Stalk m’a autant appris que ça leur a apporté.
J’ai dû reformuler des concepts complexes pour des personnes intelligentes, créatives, mais sans background technique. C’est un exercice de pédagogie intense, exactement le même que je pratique quand j’explique des risques à des dirigeants d’entreprise ou lors de conférences.
J’ai aussi appris à accepter quelques compromis. Parfois, une scène doit être légèrement moins réaliste pour rester compréhensible (ou plus visuelle). L’important, c’est que les mécanismes fondamentaux soient justes, que le spectateur reparte avec une intuition correcte du danger — même si on a un peu accéléré l’animation du terminal (ils tapent quand même super vite dans les films … et ils ne font jamais d’erreurs !).
(Et si vous voulez savoir pourquoi être magicien en plus de hacker m’aide à penser comme un scénariste, ce sera peut-être l’objet d’un prochain article.)
En résumé
- Le hacking réel est méthodique, discret et visuellement décevant, contrairement à ce que les films montrent.
- Les représentations inexactes dans les médias créent de fausses croyances sur la cybersécurité, ce qui nuit à la vigilance du grand public.
- Rendre la technique accessible sans la trahir est un vrai défi, que ce soit pour une série TV ou pour sensibiliser en entreprise.
- Et parfois, il suffit d’un café et d’une conversation surprise pour changer de trajectoire.