Il était hacker. Aujourd’hui, il est influenceur en cybersécurité et investigateur de cybercrimes. Sankarraj Subramanian était sur le plateau de Médias24 pour témoigner de ce qui se passe dans la tête d’un pirate informatique.

Et le mindset du hacker : traquer la faille, coûte que coûte. « L’état d’esprit d’un hacker, c’est de chercher ce qu’il peut vous prendre : vos données, votre argent ou votre réputation. Il ne part jamais du principe que quelque chose est sécurisé. Au contraire, il est toujours à l’affût de la faille, même infime », explique Sankarraj Subramanian.

Selon lui, il existe deux grands types d’attaques. « Les attaques financières, qui visent directement vos ressources bancaires, et les non-financières, qui ciblent vos données ou cherchent à vous nuire ».

Et de prévenir : « Vous pouvez investir des millions dans la cybersécurité. Il suffit de 0,01% de vulnérabilité pour que tout s’effondre. Une fois que le hacker entre, il n’y a plus de retour en arrière ».

Ne jamais cliquer sur un lien

Notre interlocuteur distingue deux approches : les attaques ciblées, menées avec méthode contre une victime spécifique, et les attaques massives, basées sur le volume.

« Un mass hacker envoie 100 e-mails ou messages pour voir qui mord à l’hameçon. C’est comme jeter un filet de pêche : il prend ce qu’il attrape. Le hacker ciblé, lui, suit une méthode. Il collecte vos infos, trouve vos réseaux sociaux, puis envoie un lien en apparence anodin », poursuit-il.

Un lien YouTube, une interview soi-disant professionnelle… et en arrière-plan : « Je peux activer votre caméra, exporter vos contacts, écouter vos conversations. Tout cela sans que vous vous en rendiez compte. C’est pourquoi il ne faut jamais cliquer sur un lien, même si la personne semble fiable », recommande cet enquêteur en cybercriminalité.

Hacker éthique vs hacker criminel : une frontière claire

Il insiste sur la différence fondamentale entre les deux profils. « Le hacker criminel cherche à nuire. Le hacker éthique, lui, connaît les mêmes techniques, mais il les utilise pour protéger, au sein des entreprises. C’est comme un policier qui pense comme un criminel, mais œuvre pour le bien ».

Présent au GITEX Africa 2025, il se réjouit de la montée en puissance des enjeux cyber sur le continent. « Après Dubaï, je découvre ici une forte implication du public et des professionnels. Ces événements créent une prise de conscience essentielle pour les économies en croissance comme celles d’Afrique ».

Pourquoi certaines organisations sont-elles ciblées ?

Interrogé sur le cas de la CNSS, l’attaque récente contre la Caisse au Maroc illustre, selon lui, un phénomène récurrent. « Quand une organisation centralise toutes ses données, elle devient une cible de choix. Centraliser n’est pas une mauvaise chose en soi, mais cela exige des mécanismes de protection solides ».

Pour lui, les erreurs humaines sont souvent à l’origine des vulnérabilités, même au sein des entreprises les mieux protégées. « Il n’existe aucun correctif contre la vulnérabilité humaine. Un clic sur un lien piégé suffit. J’ai vu une société russe, mandatée par l’État pour traquer des hackers, se faire elle-même pirater parce qu’un employé a ouvert un mauvais e-mail ».

Et de poursuivre, « Un message avec une offre de 60% de réduction sur Amazon suffit à piquer la curiosité. Le but, c’est de vous faire cliquer. C’est tout ».

Ses conseils pour rester à l’abri : lucidité et hygiène numérique

Son message de fin est clair : « Internet est un lieu dangereux. Rien n’y est réellement sûr. Il faut le savoir, l’accepter et adapter son comportement en conséquence ».

Quelques règles simples :

  • Ne pas installer trop d’applications gratuites.
  • Ne jamais cliquer sur des liens suspects, même venant de contacts connus.
  • Pratiquer une cyberhygiène régulière.

« Pas besoin d’être experts en cybersécurité. Suivez quelques règles de base, et vous serez déjà bien mieux protégés ».