Les hackers éthiques (ou white hats)
Hackers ou pirates, White hats ou Black Hats...
On les connait sous différents nom, mais certains se différencient : Les Hackers éthiques ou White Hats.
Beaucoup de personnes se font une mauvaise image du hacker en général car pendant longtemps le hacking a été considéré comme une pratique illégale utilisée pour accomplir de mauvaise actions.
On se souviendra tous de Kévin Mitnick qui a été jusqu’à prendre le contrôle du réseau téléphonique de Californie afin de mettre sur écoute les agents fédéraux qui devaient le capturer, ou encore Gary Mckinnon qui a effectué la “plus grande attaque informatique contre des sites militaires de tous les temps“. Mckinnon a été accusé d’avoir pénétré dans pas moins de 97 ordinateurs américains (NASA, Navy, armée de l’air, ministère de la défense et Pentagone). et d’après les autorités aurait causé plus de 700 000 $ de dommages et rendu inopérable le système informatique d’une base navale armée au mauvais moment: pendant les attentats du 11 septembre 2001.
Par définition, un hacker est un spécialiste disposant d’un savoir-faire exceptionnel dans la maitrise de la sécurité informatique et donc des moyens de déjouer cette sécurité. Certains d’entre eux utilisent ce savoir faire dans un cadre légal et d’autres sont hors-la-loi.
Parmi toutes les différenciations qu’on peut trouver, on retient principalement deux catégories: les “white hats” (chapeaux blancs) et les “black hats” (chapeaux noirs).
Ici je m’intéresse plus particulièrement aux “white hats” puisque les hackers éthiques sont des “white hats” :
Ils œuvrent en vue d’effectuer de bonnes actions. Cela dit, certains “black hats” ayant des passés allant jusqu’à l’ennemi public se sont finalement reconvertis afin d’œuvrer pour le bien comme par exemple Kevin Mitnick qui est depuis devenu consultant en sécurité informatique.
Les “white hats”, tout comme les “black hats”, maitrisent les mécanismes de sécurité informatique et arrivent à découvrir des vulnérabilités qui n’avaient encore jamais été exploitées (dans le jargon informatique on appelle ces failles les “0 days” ou “zéro jours d’utilisation”). Jusque là les hackers sont tous similaires mais vient alors le choix de rendre publique ou non ces découvertes. A ce moment, les “white hats” veulent la “full-disclosure” c’est-à-dire la divulgation totale de la vulnérabilité afin que n’importe qui soit au courant de son existence et que les développeurs puissent travailler à des améliorations en vue de corriger les failles. Les “black hats” quant à eux voudraient plutôt garder ces informations pour eux et s’en servir. Les hackers éthiques fonctionnent comme tous les hackers, ils tentent de s’introduire dans des systèmes et de trouver par exemple des informations censées rester introuvables et avertissent les propriétaires afin que ceux-ci mettent en place un moyen de protéger leur système.
Depuis déjà longtemps certains grands hackers avaient été recrutés par les services de l’Etat, d’autres se sont reconvertis. Les pirates intéressent souvent les firmes spécialisées dans la sécurité.
Désormais, des métiers ont fait leur apparition, en naviguant sur le site de l’Onisep je suis tombé sur une fiche concernant le métier “expert en sécurité informatique”. Des écoles ont même ouvert leurs portes avec des formations spécialisées autour du hacking : l’université écossaise de Aberday apprend à ses étudiants toutes les techniques connues de hacking et d’intrusion dans un système. Des sociétés cherchent aussi à recruter des hackers afin d’améliorer la sécurité de leurs parcs informatiques comme la société genevoise Ilion Sécurité.
Pour conclure on peut dire que les hackers éthiques sont des agents de sécurité de l’informatique, des cyber-détectives en quête de la moindre faille et de plus en plus de sociétés font appel à leurs services afin de contrer les hackers mal intentionnés et surtout s’en protéger.
La question que je me pose aujourd’hui, après en avoir parlé avec quelques personnes, est-ce que hacker peut devenir un vrai métier? Et dans le cas présent où il semblerait qu’être expert en sécurité informatique devient un métier, sera-t-il aussi concluant de former des étudiant au hacking que prendre des hackers célèbres et très doués qui n’ont pas fait ces études?