Déchiffrer un protocole.
Casser un code.
Simuler une attaque.
La plupart des gens appellent ça de la technique.
Moi, j'appelle ça du jeu.
Au sens propre — pas au sens métaphorique.
Et cette distinction change radicalement la façon dont on enseigne la sécurité.
Le jeu comme mode de connaissance
Quand un chercheur en sécurité se penche sur un protocole cryptographique, qu'est-ce qu'il fait exactement ? Il lit une spécification — un document qui décrit les règles d'un système de communication entre deux parties. Il comprend les hypothèses sur lesquelles repose ce système. Puis il cherche ce que les concepteurs n'ont pas vu.
C'est précisément la définition du jeu au sens de Roger Caillois dans "Les jeux et les hommes". Le jeu est une activité réglée — mais dont le plaisir réside dans l'exploration des interstices des règles, dans la découverte de ce qu'elles permettent sans l'avoir prévu. Un joueur d'échecs ne viole pas les règles quand il exécute un zugzwang brillant. Il les pousse jusqu'à leur limite logique.
Le hacker éthique fait exactement la même chose. Il ne casse pas les règles du protocole — il trouve l'angle que les règles n'ont pas anticipé. La faille de padding oracle dans AES-CBC n'est pas une erreur de code : c'est une conséquence logique de la façon dont le chiffrement interagit avec la gestion des erreurs. Quelqu'un a joué avec le protocole assez longtemps pour voir ce que personne d'autre n'avait vu.
"Un système sécurisé est un système dont personne n'a encore trouvé comment jouer avec ses règles de façon inattendue."
Trois formes du jeu en sécurité
Le jeu en sécurité se manifeste à trois niveaux distincts — et chacun appelle une posture différente.
Le jeu de déchiffrement. Casser un code, c'est résoudre une énigme dont quelqu'un d'autre a posé les règles. Les cryptanalystes qui ont cassé Enigma pendant la Seconde Guerre mondiale ne faisaient pas de la technique pure — ils cherchaient des patterns, des répétitions, des habitudes humaines dans l'utilisation d'une machine. Ils jouaient contre les opérateurs allemands qui, par commodité, commençaient parfois leurs messages par des formules prévisibles. La faille était humaine. Le jeu était cognitif.
Le jeu d'exploration des protocoles. Un protocole réseau, c'est un langage formel — une convention sur la façon dont deux systèmes vont s'identifier, négocier, échanger des données. Explorer ce protocole, c'est apprendre une nouvelle langue et tester ses limites. Qu'arrive-t-il si j'envoie un message malformé ? Si je répète la même requête d'authentification ? Si j'envoie la séquence de terminaison avant que la connexion soit établie ? C'est du jeu — dans le sens d'une exploration créative et méthodique.
Le jeu d'ingénierie sociale. Convaincre quelqu'un de divulguer son mot de passe, c'est aussi un jeu — un jeu de rôle, un jeu de langage. L'attaquant construit un personnage, un contexte, une narration suffisamment crédible pour que la cible accepte les règles implicites de l'interaction. C'est le jeu de la confiance — et il mobilise des compétences de mise en scène, de lecture des signaux non-verbaux, d'improvisation théâtrale que n'importe quel comédien reconnaîtrait.
Le jeu et la confiance — une tension fondamentale
Mais voici où le jeu devient complexe. Tout jeu suppose un espace partagé — ce que les théoriciens du jeu appellent le "cercle magique". Les joueurs d'échecs acceptent les mêmes règles. Les acteurs de théâtre-forum savent qu'ils jouent. Le CTF (Capture The Flag) est un terrain d'entraînement où tout le monde a accepté d'être attaqué.
La question éthique fondamentale de la sécurité offensive est précisément là : quand le jeu est-il légitime ?
Jouer avec un protocole sur un environnement de test que tu contrôles — c'est du jeu consenti, créatif, formateur. Jouer avec le système d'information d'une organisation qui n'a pas demandé à jouer — c'est imposer le jeu à quelqu'un qui refuse d'y participer. Ce n'est plus un jeu. C'est une intrusion.
Cette frontière — le consentement — est ce qui distingue le pentest du piratage, le chercheur en sécurité du cybercriminel, le théâtre-forum de la manipulation. Dans les deux domaines que je travaille, la question du consentement est centrale. En communication difficile comme en sécurité offensive, la même compétence technique peut être mise au service de la relation ou de son exploitation.
Ce que le jeu révèle que la technique cache
Il y a quelque chose que la métaphore du jeu révèle que le discours technique sur la sécurité tend à masquer : la sécurité est une pratique humaine, portée par des humains, contre des humains.
Un antivirus ne "comprend" pas le malware qu'il détecte. Il reconnaît des signatures — des patterns que des humains ont identifiés et catalogués. Les attaquants le savent, et ils développent des techniques d'obfuscation pour que le code malveillant ne ressemble pas aux signatures connues. Ce n'est pas une guerre entre machines. C'est une guerre entre humains qui utilisent des machines comme extensions de leur intelligence.
Et dans cette guerre, ce qui fait la différence, c'est la créativité — la capacité à voir ce que personne d'autre n'a vu, à jouer avec les règles d'une façon imprévue, à comprendre les hypothèses implicites d'un système et à les remettre en question.
C'est exactement ce que le jeu développe. Pas la mémorisation des règles — mais l'intelligence des règles. Pas la conformité au protocole — mais la compréhension de ce que le protocole suppose sans le dire.
Ce que ça change pour former
Si la sécurité est un jeu de communication, alors former à la sécurité, c'est apprendre à jouer — dans les deux sens du terme.
Jouer avec les systèmes : développer la curiosité technique, le goût de l'exploration, la tolérance à l'échec qui caractérisent tous les bons joueurs. Les CTF, les labs de hacking éthique, les simulations d'attaque — ce sont des espaces de jeu où on apprend par l'expérience, pas par la lecture de politiques de sécurité.
Jouer les rôles : comprendre la sécurité depuis le point de vue de l'attaquant. Non pas pour attaquer — mais parce qu'on ne défend bien que ce qu'on comprend de l'intérieur. Dans mes formations, je fais jouer aux participants le rôle de l'attaquant — phisher, ingénieur social, testeur d'intrusion. Ce changement de rôle est toujours le moment le plus transformateur. Comprendre comment on vous manipule, c'est la meilleure protection contre la manipulation.
Et jouer avec les règles elles-mêmes : questionner les politiques de sécurité qui ne font pas sens, les procédures qui génèrent des contournements, les systèmes qui punissent la curiosité au lieu de la canaliser. Une organisation qui traite la sécurité comme un ensemble de règles à respecter — et non comme un jeu à comprendre — produit des employés qui obéissent sans comprendre. Et les gens qui obéissent sans comprendre sont les plus vulnérables aux attaquants qui, eux, ont pris le temps de comprendre les règles du jeu.
Le formateur comme game master
Je termine sur une image qui me semble juste.
Dans les jeux de rôle, le game master — le maître du jeu — n'est pas celui qui connaît toutes les règles. Il est celui qui crée les conditions pour que les joueurs explorent, découvrent, échouent et apprennent. Il connaît les règles suffisamment bien pour les plier sans les briser. Il sait quand laisser les joueurs face à une situation impossible — et quand leur donner juste assez d'indices pour qu'ils trouvent eux-mêmes la sortie.
C'est comme ça que je conçois mon rôle de formateur — en sécurité comme en communication. Pas transmettre des règles. Créer un espace où les participants peuvent jouer avec les systèmes — techniques et humains — assez pour les comprendre de l'intérieur.
Avec le temps, j'ai compris que la cybersécurité, la communication et la pédagogie reposaient sur la même réalité :
des humains qui interagissent dans des systèmes de règles qu'ils ne comprennent pas toujours complètement.
Mon travail, aujourd'hui, consiste à aider les organisations et les personnes à comprendre les règles du jeu — techniques, organisationnelles ou relationnelles — pour qu'elles puissent y jouer en comprenant ce qu'elles font, au lieu de les subir.
Parce que celui qui comprend les règles du jeu ne se fait pas pirater. Il joue.