OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Articles de presse > Archives 1999-2025 > Année 2020 > Mai 2020 > Entretien exclusif avec Clément Domingo : Hacker éthique, Bug bounty… (…)

Entretien exclusif avec Clément Domingo : Hacker éthique, Bug bounty… immersion dans l’écosystème de la cybersécurité

vendredi 15 mai 2020

Portrait/Entretien

De nos jours, le numérique est au centre des activités humaines et sociales. Plusieurs milliards de données transitent chaque jour sur Internet et les systèmes d’information du monde, commerce, santé, éducation, administration, média… Nous sommes dans un monde plus que connecté. Dès lors, les menaces sur le piratage des données sont devenues quotidiennes.

Clément Domingo, jeune franco-sénégalais, est un expert en cybersécurité, l’un des hackers éthiques les plus réputés en France. Dans cet entretien avec SocialNetLink, SaxX, membre de l’équipe Hexpresso revient sur les enjeux de la cybersécurité, du hacking et surtout de ce concept appelé Bug Bounty.

Pouvez- vous vous présenter à nos internautes ?

C’est un exercice toujours hasardeux d’oser se présenter soi-même mais je vais essayer. Je m’appelle Clément Domingo, je suis franco-sénégalais de 29 ans et hacker éthique. Il faut hélas ajouter le « éthique » parce que beaucoup de gens encore ont l’image négative du hacker en tête ce qui ne devrait pas être le cas. Je suis expert en cybersécurité. Dès lors, j’aide les entreprises privées et publiques à mieux comprendre les failles de sécurité informatique qu’elles ont. En somme, je les aide à les déceler et ensuite les corriger.

Je fais partie d’une équipe de hacking en France, Hexpresso. Ensemble, on a remporté de nombreuses compétitions de hacking. Ces compétitions sont plus connues sous le terme de CTF pour Capture The Flag. C’est entièrement légal et à but didacticiel. Le but est de « hacker » des systèmes d’information et de trouver les vulnérabilités. C’est comme une forme de « e-sport ». On a eu la chance de partir dans des pays dans le monde (Chine, Ukraine, Russie, Luxembourg, France, …) pour y affronter parfois la crème des hackers.

Un hacker aide à sécuriser nos données, nos libertés individuelles
Vous êtes un hacker éthique. Qu’est- ce que cela signifie ?

C’est un terme encore méconnu du grand public qui associe directement l’image du hacker à celui du méchant, de cette personne qui va voler des données et aller parfois les revendre sur le marché noir. Un hacker, sans trop faire d’étymologie et de culture générale, est une personne curieuse dans le domaine de l’informatique, de l’électronique. C’est quelqu’un qui va tenter de comprendre les systèmes, de les bidouiller pour améliorer ces derniers. Il y a une très belle citation de Keren Elazari, hackeuse israélienne, pour la paraphraser qui dit que le hacker est à internet ce que les défenses immunitaires sont au système immunitaire.

On ne peut pas construire un monde tout numérique sans cybersécurité
Un hacker va donc aider à sécuriser nos données, nos libertés individuelles (surtout en ces temps de COVID avec les questions de surveillance déguisées), mais aussi notre démocratie sur internet.

On ne peut pas construire un monde tout numérique sans cybersécurité. C’est un enjeu sociétal majeur. Vos lecteurs sont bien contents qu’un hacker éthique participe sans qu’ils ne le sachent à la sécurisation de leurs données bancaires ou de santé. J’imagine non plus qu’ils ne voudraient pas que n’importe qui ait accès à leurs données personnelles sur le site des impôts, ou encore à vos échanges par mails, sms ou les snaps ou autres choses privées que vous vous partager entre amis, collègues ou au sein de votre famille.

Il faut différencier les blackhats des whitehats. Les Blackhats sont plutôt les hackers méchants, les pirates. Ils utilisent leurs compétences pour voler des données, pirater des systèmes et parfois s’adonner à des actes d’Hactivisme. Lorsque l’on entend dans la presse qu’une entreprise s’est faite pirater, il faut penser la plupart du temps à ces blackhats. A l’inverse, les whitehats sont ces « gentils » hackers, ces hackers « éthiques » qui sont du bon côté de la force et qui vont aider à améliorer la sécurité des systèmes d’information.

La cybersécurité, un ensemble de techniques, d’outils, de lois, d’acteurs…
En tant qu’acteur du domaine, comment vous pouvez nous expliquer la cybersécurité ?

La cybersécurité pourrait se définir comme l’ensemble des techniques, des outils, des lois, des acteurs qui vont œuvrer de quelques manières que ce soit à faire d’internet, des applications et des services du quotidien que nous utilisons quelque chose de plus sûre. J’aime bien prendre des métaphores pour expliquer parfois des concepts. Conséquemment, voyez la cybersécurité comme quelque chose de non tangible mais à la fois tellement concret. Cette chose qui va vous permettre d’envoyer en toute sérénité vos données sur internet ou à votre famille ou vos amis sans vous soucier qu’une personne malveillante vienne voler vos données ou vous pirater.

Les notions relatives à la cybersécurité sont très très récentes dans le sens où nos politiques et acteurs étatiques, économiques, juridiques et j’en passe, commencent à s’en soucier. Donc, il y a tout à construire et les garde-fous à poser.

SaxX, vous faites partie des hackers éthiques les plus reconnus dans l’écosystème de la cybersécurité en France. Vous êtes l’un des plus compétents dans ce qu’on appelle Bug bounty. Alors qu’est-ce que le Bug bounty ?

Reprenons à nouveau un petit parallèle qui devrait parler à vos lecteurs. On fait un petit bon en arrière d’environ 1 siècle et demi en arrière dans les années 30 environ, à l’époque des fameux sheriffs, des saloons et des westerns. A cette époque, les sheriffs mettaient à prix d’or la tête de fugitifs connus ou beaucoup moins. Donc, à quiconque ramenait des informations sur ces personnes recherchées ou les capturait, on offrait une prime plus ou moins importante en fonction de la notoriété/dangerosité du fugitif.

Le Bug bounty c’est lorsqu’une entreprise va demander à des hackers éthiques, des chercheurs en cybersécurité de trouver des failles de sécurité
Et bien en cybersécurité, c’est pareil ! Les entreprises ont compris l’importance des données personnelles aujourd’hui avec l’avènement de la RGPD depuis mai 2018. Donc, aujourd’hui, les entreprises travaillent en bonne intelligence avec des hackers pour traquer leurs failles informatiques et rémunérer ces hackers. Ainsi, c’est du gagnant-gagnant.

Pour être plus précis, le bug bounty c’est lorsqu’une entreprise va demander à des hackers éthiques, des chercheurs en cybersécurité de trouver des failles de sécurité sur son site, son service ou encore sur son application mobile. Par exemple, une entreprise alpha va contacter une plateforme française comme YesWeHack en Europe, et ouvrir son programme. Ainsi, elle va définir ce que l’on appelle un périmètre – très important pour ne pas que les hackers testent n’importe comment la cible. Elle va définir des grilles de rémunération. Cette grille de rémunération peut aller de quelques centaines d’euros jusqu’à des milliers d’euros.

Ensuite l’entreprise choisit des hackers en fonction de leur classement et de leur réputation pour commencer à tester son site web/son application. Au bout de quelques heures, elle commence à recevoir des rapports détaillant les vulnérabilités trouvées. Par exemple, comme type de vulnérabilités on peut avoir des injections SQL qui permettent de récupérer les données des clients ou encore des exécutions de code permettant d’avoir un accès directement sur le serveur de l’entreprise et de pouvoir lire tous les fichiers de configuration ou le code source.

Une fois que l’entreprise reçoit ces rapports, elle va les traiter et faire une réponse au hacker. Et si la vulnérabilité existe bien et est avérée, le hacker reçoit sa prime.

Le bug bounty est primordial…

Aujourd’hui, le bug bounty est primordial. Tous les GAFAM en font et presque toutes les grosses entreprises et des startups ont recours au bug bounty. C’est le cas en France, en Europe et dans divers pays du monde. Même des acteurs étatiques comme l’armée française ou encore le prestigieux Departement Of Defense des Etats-Unis ont recours au Bug bounty. Ils font appel à des hackers pour tester leur système. Le Bug bounty est un moyen d’avoir les meilleurs experts pendant une journée, une semaine, un mois voire plus sur son programme. Ils vont trouver des failles de sécurité informatique avant que des pirates ne les trouvent et en fassent mauvais usage. C’est aussi un complément solide aux tests de pénétration (pentests). Le bug bounty apporte une assurance de qualité et surtout financière ; l’entreprise ne paie que s’il y a une vulnérabilité.

C’est juste aujourd’hui inéluctable de passer à côté du bug bounty que l’on soit une entreprise ou un chercheur. D’ici 2022 ce sera vraiment généralisé.

Des vulnérabilités assez critiques concernant les données de citoyens sénégalais et des données d’opérateurs au Sénégal

Hélas, je me rends compte qu’il n’y a absolument rien en Afrique concernant des initiatives autour du BugBounty. Les parties sont assez frileuses ! Il y a de nombreuses vulnérabilités dans les systèmes des pays africains. Le Bug Bounty contrôlé serait une manière d’aider à déceler ces vulnérabilités. Le continent africain sera de plus en plus scruté dans les années à venir niveau numérique. Ainsi, toutes ces failles qui dorment seront révélées et certaines risquent de faire couler énormément d’encre !

Le Sénégal séduit beaucoup de pays de la sous- région, avec ses multiples innovations numériques dans le domaine administratif, avec différentes lois et mesures en matière de cybersécurité. Cependant, nous sentons que notre pays est très vulnérable. Quelle analyse faites-vous de ce manque de considération d’un domaine si important qui est la cybersécurité ?
Je suis le premier étonné de ce constat. En effet, j’ai pu expérimenter les deux dernières années à quel point le Sénégal est assez vulnérable. J’ai dû tomber sur des vulnérabilités assez critiques concernant les données de citoyens sénégalais et des données d’opérateurs au Sénégal.

Conséquemment, j’ai alerté tant bien que mal mais la prise de conscience n’a pas été la même qu’en France ou en Europe. Ce manque de considération est à plusieurs niveaux, déjà parce que le sujet est tabou je pense au Sénégal. Les entreprises voient les experts en cybersécurité comme des gens qui vont venir pointer tout ce qu’elles ont mal fait pour ne pas protéger les données de leurs clients. Alors que c’est tout l’inverse. Je fais beaucoup de pédagogie auprès de mes clients en Afrique de l’Ouest pour leur expliquer cela.

Un CERT, primordial dans la cybersécurité

Ensuite, je pense qu’il y a un manque de formations pour sensibiliser les acteurs étatiques et juridiques. Il faut qu’ils puissent mieux comprendre les enjeux dont il est question. La critique est toujours facile comme dirait un de nos contemporains. Mais j’essaie d’être constructif et de prendre du recul pour comprendre les pourquoi ce retard au Sénégal.

Par exemple, quelque chose de concret dont manque le Sénégal et qui sera primordial d’ici l’année prochaine – si réellement le Sénégal ne veut pas rater le coche – c’est de mettre en place une Agence Nationale de Sécurité des Systèmes d’Information ou un CERT (Computer Emergency Response Team). Quelques rares pays africains commencent à le mettre en place. Cela permet de centraliser toutes les décisions critiques liées à la cybersécurité et de pouvoir agir rapidement mais surtout efficacement. En conséquence, éviter les couches administratives, qui, parfois peuvent être assez handicapantes surtout au Sénégal.

A votre avis qu’est- ce qu’il nous faut pour que ces innovations numériques ne soient pas d’éventuelles menaces pour les populations ?

Le maître-mot serait SENSIBILISATION. On est seulement mieux préparé que pour quelque chose dont on nous a parlé. Un des premiers vecteurs aujourd’hui est l’humain mais aussi tous nos jeunes. D’abord, ils sont connectés H24. Ensuite, certains n’ont absolument pas idées de ce que l’on pourrait faire avec leurs données surtout avec l’avènement de discipline comme l’Intelligence Artificielle et le Machine Learning.

Il est important que nos jeunes puissent avoir la chance d’être informé sur les métiers de la cybersécurité et avoir des figures auxquelles s’identifier. Je n’ai pas eu cette chance, mais j’essaie de rectifier le tir maintenant même si cela s’avère plus fastidieux que je ne l’imaginais. Peut-être parce que je n’ai pas encore rencontré les bons acteurs.

Dernier point tout aussi primordial, tester les solutions numériques qui sont mises dans les mains des citoyens. Car, de manière générale, un utilisateur lambda utilisera normalement l’application même si elle comporte des vulnérabilités. Cependant, une personne malveillante regardera de plus près et exploitera la moindre faille. Elle va chercher à voler les données, piéger les citoyens ou encore les utiliser à mauvais escient.

Vous êtes surtout quelqu’un qui cherche à obtenir des données personnelles d’utilisateurs, quels conseils donneriez –vous à ces personnes qui se connectent chaque jour sur Internet ?

Je recherche ces failles parce que je suis attaché à la sécurité des données et à cette liberté tellement précieuse que l’on retrouve sur internet.

N’utilisez surtout pas le même mot de passe…

Aussi, un des conseils que je donnerais à vos lecteurs, est de faire attention. Un exemple assez concret, ce n’est pas parce que l’on vous demande toutes vos informations sur internet que vous êtes obligés de les donner. Essayez d’avoir 3 adresses mails différentes pour vos différentes utilités. N’utilisez SURTOUT PAS le même mot de passe pour tous les sites et applications que vous utilisez. C’est assez simple. Une fois que l’on a accès à un de vos comptes, c’est facile d’avoir accès rapidement à tous les autres applications que vous avez. Pour ma part j’ai un peu plus de 80 adresses mails. Ce qui fait, j’utilise un outil que l’on appelle LastPass qui est un gestionnaire de mots de passe. Il vous permet d’éviter d’utiliser le même mot de passe partout.

Vous êtes une star du hacking. Dès lors, on peut dire qu’il y a forcément des jeunes, des étudiants sénégalais voire africains qui veulent devenir comme vous. Alors, c’est quoi le conseil que vous leur donnez ?

De ne pas avoir peur de se lancer. La cybersécurité est totalement un métier d’avenir. Il y a tellement de choses qui s’y rapportent. Il y a des moyens d’apprendre de manière ludique comme les compétitions de cybersécurité auxquelles j’ai participé. J’en ai co-créé une en France, le BreizhCTF qui est la deuxième aujourd’hui. Ce genre de compétition permet de déceler des jeunes talentueux et surtout de venir apprendre. J’espère que le Sénégal pourra organiser de telles compétitions pour les jeunes et identifier le terreau de compétences qui y existent.

Dernier conseil, penser hors du cadre ! … peut-être la clé pour devenir un bon hacker.

(Source : Social Net Link, 15 mai 2020)

Fil d'actu

  • Charte de membre Africollector Burkina NTIC (25 février 2026)
  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 5304/5722 Régulation des télécoms
  • 400/5722 Télécentres/Cybercentres
  • 4143/5722 Economie numérique
  • 2174/5722 Politique nationale
  • 5722/5722 Fintech
  • 578/5722 Noms de domaine
  • 2218/5722 Produits et services
  • 1700/5722 Faits divers/Contentieux
  • 844/5722 Nouveau site web
  • 5699/5722 Infrastructures
  • 1979/5722 TIC pour l’éducation
  • 212/5722 Recherche
  • 275/5722 Projet
  • 4125/5722 Cybersécurité/Cybercriminalité
  • 2108/5722 Sonatel/Orange
  • 1854/5722 Licences de télécommunications
  • 322/5722 Sudatel/Expresso
  • 1161/5722 Régulation des médias
  • 1436/5722 Applications
  • 1198/5722 Mouvements sociaux
  • 1884/5722 Données personnelles
  • 332/5722 Big Data/Données ouvertes
  • 683/5722 Mouvement consumériste
  • 412/5722 Médias
  • 744/5722 Appels internationaux entrants
  • 2033/5722 Formation
  • 110/5722 Logiciel libre
  • 2438/5722 Politiques africaines
  • 1219/5722 Fiscalité
  • 215/5722 Art et culture
  • 674/5722 Genre
  • 2075/5722 Point de vue
  • 1261/5722 Commerce électronique
  • 1679/5722 Manifestation
  • 367/5722 Presse en ligne
  • 136/5722 Piratage
  • 226/5722 Téléservices
  • 1243/5722 Biométrie/Identité numérique
  • 358/5722 Environnement/Santé
  • 384/5722 Législation/Réglementation
  • 514/5722 Gouvernance
  • 2036/5722 Portrait/Entretien
  • 166/5722 Radio
  • 1002/5722 TIC pour la santé
  • 319/5722 Propriété intellectuelle
  • 71/5722 Langues/Localisation
  • 1216/5722 Médias/Réseaux sociaux
  • 2348/5722 Téléphonie
  • 224/5722 Désengagement de l’Etat
  • 1305/5722 Internet
  • 128/5722 Collectivités locales
  • 472/5722 Dédouanement électronique
  • 1484/5722 Usages et comportements
  • 1204/5722 Télévision/Radio numérique terrestre
  • 630/5722 Audiovisuel
  • 3810/5722 Transformation digitale
  • 449/5722 Affaire Global Voice
  • 172/5722 Géomatique/Géolocalisation
  • 436/5722 Service universel
  • 755/5722 Sentel/Tigo
  • 192/5722 Vie politique
  • 1733/5722 Distinction/Nomination
  • 41/5722 Handicapés
  • 813/5722 Enseignement à distance
  • 779/5722 Contenus numériques
  • 661/5722 Gestion de l’ARTP
  • 211/5722 Radios communautaires
  • 2248/5722 Qualité de service
  • 514/5722 Privatisation/Libéralisation
  • 148/5722 SMSI
  • 524/5722 Fracture numérique/Solidarité numérique
  • 3277/5722 Innovation/Entreprenariat
  • 1522/5722 Liberté d’expression/Censure de l’Internet
  • 52/5722 Internet des objets
  • 189/5722 Free Sénégal
  • 944/5722 Intelligence artificielle
  • 234/5722 Editorial
  • 48/5722 Gaming/Jeux vidéos
  • 31/5722 Yas

2026 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous