Une version de cette story a précédemment été publiée sur Ulyces.co.

La sonnerie de Skype retentit dans l’appartement de Jane Manchun Wong à Hong Kong. « Oh pardon, c’est moi », s’excuse-t-elle au téléphone. La jeune femme a tellement l’habitude de lancer une série d’applications dès qu’un moment libre se présente que certaines s’ouvrent désormais toutes seules. Il est 18 h 30, ce jeudi 15 novembre et elle n’a pas fini de se servir de ces logiciels. « Parfois je quitte l’écran et explore la ville sans ordinateur portable avec moi », plaide cette grande introvertie. « Je m’achète à manger, je prends des photos. J’aime aussi faire ça. Si le temps n’est pas trop mauvais, je pars même en randonnée. »

Bien sûr, Jane Wong n’est pas connue pour ses clichés ou ses conseils gastronomiques. Si près de 12 000 personnes la suivent sur Twitter, c’est parce qu’elle traque et dévoile les bugs, dysfonctionnements et autres failles des applications mobiles, notamment ceux qui mettent en danger les informations personnelles de ses utilisateurs. Étudiante à l’université du Massachusetts à Dartmouth, elle a pris une année sabbatique pour voir sa famille et souffler. Depuis Hong Kong, elle donne des cours sur l’architecture des sites internet à mi-temps et passe le reste de ses journées à explorer le code des grandes applications avec un talent certain. À 23 ans, elle a déjà près de 17 ans d’expérience dans ce genre d’opérations.

Comment plongez vous dans les dessous des applications ?

On appelle ça la rétro-ingénierie. Pour identifier un bug, il faut trouver un moyen de découvrir ce qui se cache en coulisse. Le mieux c’est de déconstruire la structure de l’application de manière à pouvoir la recréer soi-même. Ça permet de l’analyser et de repérer ses faiblesses. Une fois que vous connaissez l’infrastructure, il n’y a plus qu’à chercher un moyen de l’améliorer. Personnellement, je conçois mes propres outils. Le travail est plus long ainsi mais j’en sais davantage sur le fonctionnement global.

Qu’est-ce qui vous a conduit à vous intéresser à cette ingénierie complexe ?

Ça vient de ma passion pour l’informatique. Je suis née à Hong-Kong dans une famille assez normale. Ma mère gère une boutique et mon père est ingénieur dans l’électrique. Il avait donc un ordinateur à la maison. Internet me fascinait car j’y voyais un moyen de contacter des gens du monde entier, situés à des milliers de kilomètres, en quelques secondes. Seulement mon père avait mis un mot de passer sur Internet Explorer pour m’empêcher de naviguer librement quand j’étais enfant. Alors, à 6 ans, je suis allée à la bibliothèque et j’ai emprunté un CD avec Firefox pour l’installer à la maison. Voyant que j’avais désormais un accès libre à la toile, mon père a protégé Windows par un mot de passe. Donc j’ai installé Linux. Cette fois, il a placé le mot de passe sur l’ordinateur, ce qui m’a poussée à le réinitialiser en enlevant et replaçant la batterie. Il a fini par abandonner et me laisser faire ce que je voulais.

Diriez-vous que ça a été une vocation précoce ?

En tout cas c’est ce que j’aimais faire très tôt. Je faisais partie de ces enfants espiègles qui modifiaient le code des mini-jeux d’internet pour obtenir des scores délirants. Ce n’est pas seulement l’impression d’être reliée à des tas de gens loin de moi sans bouger qui me plaisait mais aussi la possibilité de faire une infinité de choses avec des logiciels. Donc j’aimais les cours d’informatique et j’ai vite pensé à en faire mon métier. Ma grand-mère maternelle voulait que je devienne médecin car elle travaillait dans le domaine médical. Mais quand mon père a fini par lâcher le contrôle de l’ordinateur, ils m’ont tous soutenue.

À quel moment est-ce devenu sérieux ?

Je ne pensais pas une seconde que mon hobby serait considéré comme important par les entreprises. Au départ, je bricolais des sites internet pour m’amuser. Par exemple, j’avais fait en sorte de gagner un concours de dactylographie en 0,00001 seconde. Un jour, je me suis demandée si mon approche était transposable aux applications. Je me suis alors mise à découvrir leurs vulnérabilités, ce qui faisait plutôt de moi une fauteuse de trouble. C’était presque une mauvaise idée. Mais j’ai pris conscience qu’il était possible de pointer les failles sans me mettre en danger en voyant le chasseur de bug Philippe Harewood travailler. Il suffisait de suivre le même protocole.

C’est comme ça que j’ai commencé la rétro-ingénierie. J’aime dévoiler ce que les entreprises souhaitent dissimuler dans les applications qu’elles veulent me faire télécharger. Elles mettent beaucoup d’efforts pour éviter que des gens comme moi s’adonnent à la rétro-ingénierie. Ces efforts me donnent de la motivation pour prouver que les applications sont toujours déchiffrables et qu’il y a toujours quelque chose qu’elles essayent de cacher.

Est-ce que c’est difficile ?

Parfois oui. Je peux passer entre 6 et 18 heures par jour à travailler. Je fais cela en étant sûre d’avoir assez de temps libre pour m’y mettre et récupérer de la fatigue cérébrale que cela engendre. Quand, finalement, je réussis, la dopamine se diffuse dans tout mon corps. Je saute de ma chaise et je crie de joie. Ensuite je tweete et je fais de beaux rêves.

Quand avez-vous commencé à utiliser Twitter ?

C’était au mois de mai. Avant je publiais sur un groupe Facebook, ce qui intéressait pas mal de monde mais pas autant que sur Twitter. D’ailleurs mes messages s’y retrouvaient postés sous la forme de captures d’écran. À un moment, je me suis donc dit que je pouvais le faire moi-même et que ça me permettrait de me joindre aux discussions. J’aime bien Twitter car c’est rapide et les messages ne peuvent pas être édités. Mes contenus y gagnent en crédibilité sans trop d’efforts. Et puis beaucoup de journalistes y traînent. Tout ce qu’ils ont à faire c’est me liker, me retweeter ou inclure un de mes écrits dans un article.

Vous vous intéressez justement à Twitter n’est-ce pas ?

Oui mais en termes d’échelle et de technologie cachée, Facebook est beaucoup plus intéressant. C’est l’application avec le plus de choses en coulisse que j’aie jamais vu. Il y a tellement de lignes de code derrière. Le fait qu’ils parviennent à le gérer et à le rendre accessible à des millions d’utilisateurs dans le monde est fascinant. D’autant qu’ils ajoutent tout le temps de nouvelles pierres à ce lourd édifice. Évidemment je m’intéresse de près aux nouvelles fonctionnalités. La première fois que la presse a parlé de moi c’était en octobre 2017, quand j’ai évoqué la section CV envisagée par Facebook. Le journaliste de The Next Web, Matt Navarra, a partagé mon message.

Comment faites-vous pour être la première découvrir de telles choses ?

Peut-être que d’autres personnes opèrent grâce de sources internes à l’entreprise, mais personnellement j’obtiens la plupart de mes informations directement à partir de l’application. Pendant la dernière étape de développement d’une fonctionnalité, les entreprises comme Facebook les font tester par des employés ou un petit échantillon de personnes. Ça s’appelle le test A/B. Le code de ces fonctionnalités qui ne sont pas encore activées est souvent intégré quelque part dans le code de l’application. Quand vous installez une mise à jour, elle peut être accompagnée de quelques fonctionnalités en attente. C’est pour ça que les géants de la tech sont si vagues à propos de ce que comprend une mise à jour. Moi, j’essaye de trouver ce qu’ils installent sur mon téléphone parce qu’il m’appartient.

Quelle est la découverte dont vous êtes la plus fière ?

En 2017, Facebook a proposé à ses utilisateurs de répondre à un questionnaire baptisé « Le saviez-vous ? » Certaines questions étaient étranges. On pouvait se demander d’où elles venaient. Et bien j’ai trouvé un moyen de savoir qui était derrière. Ce n’était pas des employés de Facebook mais parfois des hackers. J’ai alerté l’entreprise de Mark Zuckerberg et ses équipes m’ont récompensée pour ça. J’en suis fière car j’ai rendu la plate-forme un peu plus sûre. Mon but n’est pas de trouver des scoops mais d’améliorer la sécurité.

Il est impossible de concevoir un logiciel parfait. Je préviens toujours les sociétés concernées quand je trouve un bug ou une faille. Aujourd’hui, elles ont des protocoles pour ça. Elles récompensent ou citent ceux qui les trouvent. Mais je ne fais pas ça pour gagner ma vie. Je sais que leurs réactions sont mitigées bien que je n’ai aucun agenda contre elles. Vous pouvez me considérer comme une grande fan de leurs applications qui va jusqu’à la rétro-ingénierie pour en profiter dans les meilleurs conditions. D’ailleurs je ne fais pas ça pour gagner ma vie et je ne me suis jamais retrouvée en conflit ouvert.

Quelles sont vos limites ?

J’aimerais explorer les applications des banques mais je n’ose pas. Je serais contente d’y rapporter des bugs si ce n’était pas si risqué.

Travaillez-vous en équipe ?

Non je fais ça dans mon coin mais j’ai peu à peu mis en place une méthode. Avant je perdais souvent de vue les nouvelles mises à jour ou fonctionnalités. Je n’organisais pas les fichiers, ni mon temps. Maintenant que c’est chose faite, je peux comparer les différentes versions des applications.

Recevez-vous des propositions d’emploi ?

Oui, c’est arrivé notamment quand j’étais à Milwaukee mais je suis encore étudiante. Sur le marché de l’emploi, il y a certainement beaucoup de demande en sécurité de l’information, ou en cybersécurité. La technologie m’a toujours fascinée par sa capacité à transformer la vie des gens, donc j’aimerais bien travailler dans ce domaine. J’aimerais rejoindre Facebook ou ce genre d’entreprises avec lesquelles j’ai été bercée.