Qu’est-ce le hacking éthique ?

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Sophie ILLÈS

Dans le monde du hack­ing, les inter­venants et acteurs sont en con­stante crois­sance. Leurs pro­fils peu­vent être très dif­férents les uns des autres. Le hack­ing éthique (ou eth­i­cal hack­ing en anglais) est une démarche de sécu­rité infor­ma­tique. Elle con­siste pour une société à employ­er une per­son­ne ou une entre­prise spé­cial­isée afin de tester l’efficacité de son sys­tème de défense.

Les hack­ers ne sont pas for­cé­ment des per­son­nes malveil­lantes. Le mot hack­er ne sig­ni­fie pas « crim­inel », il peut définir un indi­vidu qui com­pro­met la sécu­rité des ordi­na­teurs ou, à l’inverse, un indi­vidu qui teste la sécu­rité d’un sys­tème infor­ma­tique. Dans les faits, on dis­tingue trois types de hack­ers : le black hat ou cha­peau noir, le white hat ou cha­peau blanc et le grey hat ou cha­peau gris. Ces ter­mes définis­sent les dif­férents groupes de pirates en se fon­dant sur leur comportement.

Le black hat hacker 

Le black hat hack­er est en règle générale mêlé à des actes de malveil­lance (créa­tion d’un réseau de PC zom­bies en util­isant un bot­net pour effectuer des attaques DDoS…) ou lié à des sujets comme la vio­la­tion de la sécu­rité des ordi­na­teurs à des fins prof­i­tant à lui-même (vol de numéros de carte de crédit, récolte de don­nées per­son­nelles pour vente mas­sive…). L’expression « cha­peau noir » fait référence aux stéréo­types large­ment répan­dus qu’un hack­er est un crim­inel qui exerce des activ­ités illé­gales à des fins per­son­nelles et qui attaque d’autres entités.

Un black hat hack­er qui trou­ve une nou­velle faille de sécu­rité zero-day la ven­dra à des organ­i­sa­tions crim­inelles sur le marché noir ou l’utilisera pour com­pro­met­tre les sys­tèmes informatiques.

Le white hat hacker 

Le white hat hack­er, sou­vent appelé pen­tes­teur, ou encore eth­i­cal hack­er, est l’opposé du black hat hack­er. Il s’agit d’experts en sécu­rité infor­ma­tique qui utilisent leurs capac­ités à des fins hon­nêtes, éthiques et du côté de la jus­tice plutôt qu’à des fins mal­hon­nêtes. Ce pro­fil de hack­ers est man­daté par des entre­pris­es pour tester par exem­ple la sécu­rité de leur réseau ou encore de leurs appli­ca­tions web. Le but étant de trou­ver des vul­néra­bil­ités qu’un attaquant pour­rait exploiter et qui per­me­t­traient de com­pro­met­tre leur sys­tème. Le white hat hack­er utilise ses con­nais­sances pour com­pro­met­tre les sys­tèmes de l’organisation, comme un black hat hack­er l’aurait fait. Cepen­dant, au lieu d’utiliser ses décou­vertes dans son pro­pre intérêt à des fins malveil­lantes, il pro­posera un plan d’action pour remédi­er aux failles recen­sées. Pour ce faire, un man­dat d’intrusion est néces­saire, autorisant ain­si le hack­er à réalis­er son test d’intrusion. Sans cela, le white hat hack­er serait en infrac­tion avec la loi et con­sid­éré comme un cyber­at­taquant, réal­isant des activ­ités malveil­lantes. Un white hat hack­er qui trou­ve une faille de sécu­rité dans une appli­ca­tion la rap­portera à l’éditeur, lui per­me­t­tant ain­si de patch­er et d’améliorer la sécu­rité de celle-ci avant qu’elle ne soit exploitée par des black hat hack­ers.

Quelques white hats sont célèbres, comme Barn­a­by Jack, Kevin Mit­nick, Robert Tap­pan Mor­ris ou Kevin Poulsen.

Le grey hat hacker 

Un hack­er à cha­peau gris (ou grey hat hack­er) se situe entre un black hat hack­er et un white hat hack­er. Il ne fonc­tionne pas pour son gain per­son­nel mais peut tech­nique­ment com­met­tre des crimes et men­er des actions con­traires à la morale. Par exem­ple, un black hat hack­er pour­rait com­pro­met­tre un sys­tème infor­ma­tique sans autori­sa­tion, vol­er les don­nées pour son pro­pre gain per­son­nel ou van­dalis­er un sys­tème. Un white hat hack­er deman­derait la per­mis­sion avant de tester la sécu­rité du sys­tème et d’alerter l’organisation de ses décou­vertes. Un grey hat hack­er pour­rait ten­ter de com­pro­met­tre un sys­tème infor­ma­tique sans autori­sa­tion et en informer l’organisation seule­ment après l’avoir fait. Qu’est-ce qui le rend dif­férent d’un white hat hack­er ? Même s’il a per­mis à l’organisation de résoudre la faille trou­vée, il a com­pro­mis le sys­tème de sécu­rité sans autori­sa­tion, ce qui est illé­gal. Si un grey hat hack­er décou­vre une faille de sécu­rité dans un logi­ciel ou sur un site web, il peut la divulguer publique­ment au lieu de la reporter en privé à l’organisation et lui don­ner le temps de la cor­riger. Il ne veut pas prof­iter de la faille pour son gain per­son­nel (qui con­stituerait un com­porte­ment de black hat hack­er) mais sa divul­ga­tion pour­rait entraîn­er des con­séquences graves. En effet, un black hat hack­er pour­rait en prof­iter avant que cette dernière ne soit corrigée.

Poster un commentaire