Alissa Knight, la pirate passée du bon côté de la force

Entrepreuneure en série, Alissa Knight lance quelques start-ups et travaille comme consultante en cybersécurité pour de grandes entreprises. En 2020, elle fonde Knight Ink, une firme qui aide les fournisseurs de cybersécurité à déployer, à vérifier et à établir un positionnement vraiment distinct. Parallèlement, elle continue à diriger Brier & Thorn, une société de gestion des risques informatiques. « Après 20 ans de piratage, quand on arrive à la quarantaine, on a envie de passer à autre chose, dit-elle. J’ai donc lancé un fonds de capital-risque. Je suis très créative, j’aime écrire des choses uniques, ce que j’ai baptisées du contenu contradictoire. » Aujourd’hui, la quadragénaire préfère utiliser ses talents de pirate pour faire le bien, démontrant, par exemple, comment les caméras d’un centre de coopération policière et douanière (CCPD) peuvent être détournées et comment se protéger.

Alissa Knight joue aussi le rôle d’influenceuse. « Les gens associent les influenceurs au marketing, explique-t-elle. On pense tout de suite à la famille Kardashian, lorsque Kim ou Khloé partagent quelque chose sur Instagram, elles sont payées pour le faire. Eh bien, je travaille de la même façon, ayant établi ma marque. C’est pour ça que j’ai appelé mon entreprise Knight Ink, avec un K. Lorsque je mets quelque chose en ligne, les décideurs en TI et les ingénieurs voient ce que j’endosse ou que je parle d’un produit, ils doivent aller voir ce qu’il en est. »

Dans ses écrits, Alissa Knight parle de technologies de piratage, s’intéresse, par exemple, aux voitures connectées ou à des caméras de surveillance de CCPD, et démontre comment prévenir les bris de sécurité. Elle vient tout juste de publier « Hacking Connected Cars : Tactics, Techniques, and Procedures », chez Wiley (v.f. : « Piratage de voitures connectées : tactiques, techniques et procédures »). « Cela permet de raconter des histoires fascinantes, lance-t-elle. Et les acheteurs écoutent, se disant qu’il faudrait qu’ils aillent voir les produits dont je parle, et non parce qu’ils ont vu une publicité sur Google Ads. Les gens atteignent un point d’épuisement face aux prospectus et aux livres blancs qui ne sont remplis que de blabla de marketing. Ils veulent voir la preuve dans le pudding. »

L’influenceuse s’intéresse de plus en plus sur le piratage des interfaces de programme d’application (API). Lorsqu’une entreprise achète des produits de cybersécurité, elle doit s’assurer qu’ils fonctionnent, s’assurer que leur pare-feu donne des résultats et qu’il fait ce qu’il doit faire. Les gens veulent avoir des données qui confirment que le produit fonctionne réellement, note-t-elle. D’ailleurs, le piratage d’API est devenu, à ses yeux, le plus important danger pour les entreprises. Les entreprises ne se font plus uniquement pirater à cause d’un employé qui clique sur un hyperlien malveillant. Et ce type de piratage s’avère particulièrement dans les échanges financiers. Pirater un compte, un transfert d’argent, s’avère un jeu d’enfant.

« Les entreprises ne comprennent pas assez l’importance de protéger leurs API, insiste Alissa Knight. Elles utilisent encore des applications Web, alors qu’elles devraient utiliser d’autres technologies. Elles devraient utiliser des passerelles de sécurité API, et non des passerelles API et des solutions de gestion d’API pour des options de sécurité. » Tout passe aujourd’hui par les API : les villes intelligentes, les voitures autonomes et les solutions financières. Le phénomène grandit et les pirates commencent à le comprendre. Parce que les API, ce sont des données. Et, aujourd’hui, les données valent plus cher que le pétrole. Si vous pensiez que Facebook a été créé pour connecter les gens, vous vous êtes fait mentir, ironise la spécialiste. Tout repose sur la collecte et la monétisation des données, ce qui permet de viser les consommateurs par des moyens dont ils se fichent. « Combien de gens voyez-vous creuser dans leur cour arrière pour trouver du pétrole », lance-t-elle.

Et elle-même, est-elle paranoïaque quant à la gestion de ses données personnelles ? Étonnement, Alissa Knight se dit un livre ouvert quant à ses informations, sans doute à cause de son boulot d’influenceuse, alors qu’elle doit se montrer transparente. Sur sa page Instagram, la plupart des photos la montre en train de manger. « Plusieurs personnes pensent que je ne suis pas sur Facebook et que je fais très attention à mes données, en fait c’est tout à fait l’antithèse. J’ai grandi pendant la deuxième révolution industrielle où l’on est passé des téléavertisseurs aux téléphones intelligents. J’aime la technologie. Je fais tout pour rendre ma maison intelligente, du contrôle de la voix de la porte d’entrée à la douche. Je veux que tout soit connecté. »

Lors de son passage à MTL Connecte : La Semaine numérique de Montréal, Alissa Knight parlera de cybersécurité, on s’en doute, mais surtout des institutions financières, une base de clients qui ne cesse de grandir. « J’ai été embauchée récemment par des banques pour pirater les API de leurs serveurs principaux, explique-t-elle. Ma recherche en 2019 et 2020 s’intéresse aux serveurs qui sont installés dans les banques. À Montréal, je vais aborder les résultats de mes recherches sur la vulnérabilité des systèmes API et comment les entreprises peuvent se protéger. »