Interview de Damien Bancal (Zataz)

Damien Bancal

Peux-tu te présenter brièvement et nous parler de ton parcours dans le
domaine de la cybersécurité ?

D : 51 ans, dont 35 ans à tapoter sur un clavier.
J’ai commencé à écrire sur le sujet de la cyber dès l’âge de 15 ans.
Quelques mois auparavant, je suis dans le Cantal, dans la Ville de Saint-Flour. Un homme crie dans une cabine. Je vais voir [j’ai toujours était curieux. Je suis curieux par nature, et ma nature est une sympathique curiosité]. Je pensais qu’il avait un problème de santé. En fait, j’allais découvrir le phreaking, le piratage téléphonique. Il avait trouvé un moyen physique et audio pour ne pas payer les appels ! Une sorte de 2600 à la française.
Mon premier article « officiel », dans la presse, date de 1989.
De fil en aiguille, le projet ZATAZ est apparu. Il s’est d’abord appelé CCC.
Etude en communication.
Journaliste [Voix du Nord, France 3, Europe 2, 01Net, Que Choisir, Etc.], j’ai continué le projet ZATAZ en parallèle de ma vie professionnelle.
J’ai quitté la France en 2019, invité par une entreprise Québécoise à me charger de son service et équipe cyber intelligence.
De retour en France, je me suis lancé dans ma propre entreprise.

Peux-tu nous présenter ZATAZ ?

D : ZATAZ est un projet qui a pour but de simplifier la compréhension de la cybersécurité pour le grand public.
Vocabulaires, affaires, Etc. le grand public est noyé de données, de mots, Etc. et se retrouve perdu.
ZATAZ propose de l’actualité, des interviews, des alertes afin que les utilisatrices/utilisateurs comprennent que « s’informer, c’est déjà commencer à se cyber sécuriser » et « alerter les autres, c’est les sauver ».
ZATAZ a débuté dans un cyber café de Lille grâce à son webmaster de l’époque, Eric « WOW ». J’écrivais pour le magazine Pirate Mag et Virus informatique et WOW m’a proposé de monter le 1er site web. Je me souviens, il clignotait de partout tellement j’aimais les gif 😀 Quelques mois plus tard, zataz.com apparaissait.

Une partie de ZATAZ est dédiée aux alertes : le protocole d’alerte ZATAZ. Je trouve un problème (jamais d’audit sauvage, de penteste, Etc.) ou on m’alerte de ce problème et le Protocole alerte l’entreprise bénévolement, sans rien demander en contrepartie. Une action cybercitoyenne de lanceur d’alerte. ZATAZ a aidé plus de 80 000 entreprises depuis son lancement. 3297 « mercis » [oui, je les compte tellement c’est rare]. Le protocole participe, par exemple, à « Le Hack » de Paris, avec le confessionnal ZATAZ ou encore au Hackfest de Québec, avec le village CyberCitoyen.

Depuis quelques mois j’ai transformé ZATAZ en entreprise. Je me suis lancé dans l’entreprenariat. J’ai quitté mon poste de responsable de la communication d’une ville du Nord de la France, et j’ai lancé veillezataz.com.

De quoi parle-t’on sur ta chaîne Twitch ?

D : sur twitch.tv/zatazcom, surtout des actualités cyber. C’est en direct et en public, l’interaction est totale. Un vrai partage d’expériences, de questions/réponses, de franche rigolade. Parler de choses sérieuses, sans trop se prendre au sérieux. L’idée est de se dire « je sais que je ne sais rien » et le partage en devient encore plus enrichissant avec les autres. Il y a des rubriques « OSINT », des tutos d’outils cybersécurité, Etc.

Comment détectes-tu les fuites de données ?

D : Le flaire, des contacts dans tous les milieux (35 ans, ça ouvre un carnet d’adresses), les infiltrations dans des endroits « bizarres », la chance, Etc.
Pour moi, qu’il soit « débutant » ou « confirmé », un pirate reste un pirate. Écouter, lire, suivre, tenter de les comprendre en sont quelques moyens.
Pour moi, il n’y a pas de signal faible ou signal fort. Il y a « juste » un signal qui doit être suivi. Il n’y aura peut-être rien au bout. Mais il m’aura permis d’accumuler des infos, un environnement d’un pirate, de son groupe, Etc. De la cyber intelligence. Je me souviendrai de la découverte de la base de données santé de 500 000 français. Les pirates se disputaient l’argent qu’ils n’avaient pas perçu équitablement dans des ventes passées. L’un d’eux a balancé des bases de données afin que ses anciens amis ne puissent plus les vendre. Dans l’une d’elles, « Fr Med 500k ». J’ai tout de suite compris !

Quelles sont les principales menaces en matière de cybersécurité auxquelles les entreprises sont confrontées actuellement ?

D : La feignantise des utilisateurs (pas de mise à jour, toujours utiliser le même mot de passe, Etc.)
Le manque de culture et d’éducation cyber (la grande majorité des utilisateurs/utilisatrices ne connaissent pas 70% des options de leur télécommande TV, alors imaginez pour un ordinateur)
Faire passer le message de la cybersécurité sans jouer avec la peur du pirate. Sauf que le pirate, il est là, peut-être sous le fauteuil !
Les RSSI, les DSI, Etc. qui ont du mal à se faire entendre de leur direction. Leur service coûte, ne rapporte rien. Je dis toujours qu’il apporte de la sérénité, de savoir faire, et ça n’a pas de prix.
Les vendeurs de rêve en cyber qui, grâce à leurs outils magiques, assurent que les pirates ne passeront plus.
Et les pirates qui ne perdent jamais une seconde pour trouver le « truc » qui mettra la pagaille. Pro ou débutant, un pirate informatique a souvent besoin d’avoir 1 chance, 1 fois, pour faire de gros dégâts.
Je les compare depuis plus de 20 ans à des couteaux Suisse : chaque outil, chaque lame est une malveillance.

Comment les attaques ont-elles évolué au fil du temps et quelles sont les nouvelles tendances ?

D : Elles ont évolué sur plusieurs points.
– il y a plus de connexions possibles, de données, de machines, d’utilisateurs. Autant de nouvelles cibles pour les pirates.
– les techniques malveillantes n’ont pas tant changé que ça en 30 ans. J’ai toujours vu des appels téléphoniques pour attraper des mots de passe ; des exfiltrations de bases de données ; des maîtres chanteurs. Dans ce dernier cas, le marketing de la malveillance [terme que j’ai inventé y une quinzaine d’années] des maîtres-chanteurs a sacrément évolué. On parle de ransomware aujourd’hui et de tout ce que cela implique : chantage, demande d’argent, Etc. Il y a une dizaine d’année cela existait déjà [Rex Mundi, Palladium, Etc.], mais sous le manteau. Aujourd’hui, les pirates ont des SAV, des logos, des blogs, font de la publicité, certains des concours pour attirer les affiliés !

As-tu des conseils à donner aux particuliers et/ou aux entreprises pour améliorer leur sécurité informatique ?

D : Formation, budget, humain.
Former ses équipes [toutes les strates de l’entreprise] à la cyber, à sa compréhension.
Budget : le nerf de la guerre. Sans argent, il va être compliqué de transformer une chaumière, en château.
L’humain : faire appel à des professionnels du secteur, créer son secteur cyber, Etc.
Pour les particuliers, avoir une hygiène numérique [mots de passe, courriels, contrôler la diffusion de ses infos, Etc] ; de pas penser que cela n’arrive qu’aux autres ; l’entraide : lors d’un repas de famille, ne pas hésiter à parler cyber, à DEMOCRATISER. Trop de personnes voient encore la cyber soit comme des mecs/filles à capuches, soit des VRP à cravate. Non, la cyber c’est vous, nous, eux, tous ensemble !
Un exemple : avec mes filles, mon épouse, nous nous entrainons, tout le temps ! Ma formation journalistique m’a ancré en tête le « qui, quoi, comment, où, quand ». Et bien, de temps en temps, on met sur la table notre cyber, on s’alerte dès que des messages étranges apparaissent [on a ainsi pu bloquer une cyber attaque contre l’école d’une de mes filles], on prévient quand il y a des mises à jour, on change nos mots de passe, on teste notre cyber. Je me souviendrais toujours comment une de mes filles a tenté d’accéder à mon téléphone personnel. Pris de photo de ma tête, enregistrement de ma voix en me faisant croire que je lisais un texte d’une pièce de théâtre dont elle était élève. J’ai laissé faire, comme si de rien n’était. J’ai joué le jeu, et elle a réussi. Elle avait 12 ans et venait de comprendre la biométrie !

Le mot de la fin 🙂

D : Respirer et se dire que cela va aller, que ça pourrait être pire 🙂 … mais surtout rester vigilant !

En savoir plus :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.