Hacking éthique : lutte contre les in­frac­tions à la sécurité et pré­ven­tion de la cy­ber­cri­mi­na­lité

Le hacking éthique est devenu de plus en plus important ces dernières années face à l’aug­men­ta­tion rapide de la cy­ber­cri­mi­na­lité. De plus en plus d’en­tre­prises, d’or­ga­ni­sa­tions et d’ins­ti­tu­tions re­cherchent des experts confirmés en matière de cy­ber­sé­cu­rité, capables de mettre leur propre concept de sécurité à l’épreuve sans parti pris et d’agir pra­ti­que­ment comme de « vrais » pirates in­for­ma­tiques.

Nous ex­pli­quons dans une dé­fi­ni­tion du hacking éthique ce qui distingue cette forme de piratage et en quoi elle diffère du piratage illégal. En outre, notre aperçu porte sur les domaines d’ap­pli­ca­tion du hacking éthique et sur les qua­li­fi­ca­tions spé­ci­fiques des « gentils » hackeurs.

Les hackeurs éthiques sont des experts en sécurité in­for­ma­tique qui ne s’in­tro­dui­sent dans les systèmes in­for­ma­tiques qu’après une mission explicite. En raison du con­sen­te­ment de la « victime », cette variante de piratage est con­si­dé­rée comme éthi­que­ment jus­ti­fiable. L’objectif du piratage éthique est de découvrir les fai­blesses des systèmes et in­fras­truc­tures nu­mé­riques (par exemple les bogues logiciels), d’évaluer les risques de sécurité et de par­ti­ci­per de manière cons­truc­tive à la cor­rec­tion des failles de sécurité dé­cou­vertes. Un test de stress pour la sécurité du système peut avoir lieu à tout moment (c’est-à-dire même après un piratage illégal). Dans l’idéal, cependant, les hackeurs éthiques devraient anticiper les actions des cy­ber­cri­mi­nels, et ainsi prévenir des dommages plus im­por­tants.

Le hacking éthique, également appelé « White Hat Hacking » (ce qui signifie « piratage en chapeau blanc), par op­po­si­tion au piratage « classique » à des fins cri­mi­nelles, se concentre prin­ci­pa­le­ment sur les points faibles de la pro­gram­ma­tion et de la con­cep­tion des logiciels (bugs). Les vé­ri­fi­ca­tions se con­centrent par­ti­cu­liè­re­ment sur les ap­pli­ca­tions Web et la sécurité des sites Web. En plus du logiciel, le matériel utilisé peut également être inclus dans le contrôle de sécurité du système.

Pour leurs contrôles de sécurité, les hackeurs éthiques utilisent d’une part des outils dis­po­nibles gra­tui­te­ment sur Internet (par exemple la version gratuite de la suite Burp), d’autre part des logiciels auto-écrits. Ce dernier garantit que les failles de sécurité et la ma­ni­pu­la­tion du code des pro­grammes utilisés peuvent être exclues. Le hacking éthique donne souvent lieu à un code concret mal­veil­lant (séquences de commandes in­di­vi­duelles ou programme plus petit), que l’on appelle un exploit. Le code spécial tire parti des erreurs ou des fai­blesses cons­ta­tées dans le système et provoque ensuite un certain com­por­te­ment des logiciels, du matériel ou d’autres dis­po­si­tifs élec­tro­niques.

La ca­rac­té­ris­tique d’un hacking éthique est une approche par­ti­cu­lière : de la part du con­trac­tant, l’exigence de trans­pa­rence et d’intégrité absolues s’applique, en par­ti­cu­lier lorsque des domaines sensibles (secrets d’en­tre­prise et com­mer­ciaux, données con­fi­den­tielles des clients) doivent être protégés par un piratage éthique. Toutes les in­for­ma­tions per­ti­nentes provenant de piratages doivent être com­mu­ni­quées au client, il ne doit pas y avoir d’uti­li­sa­tion abusive ou de trans­mis­sion de secrets d’en­tre­prise.

La trans­pa­rence comprend gé­né­ra­le­ment une do­cu­men­ta­tion détaillée et aussi complète que possible, qui comprend la procédure exacte, les résultats et d’autres in­for­ma­tions per­ti­nentes sur le piratage éthique. Les rapports détaillés peuvent également contenir des re­com­man­da­tions d’action concrètes, par exemple pour la sup­pres­sion des logiciels mal­veil­lants ou la mise en place d’une stratégie Honeypot. Les hackeurs éthiques font également attention à ne pas laisser dans le système des points faibles que les cy­ber­cri­mi­nels pour­raient exploiter plus tard.

Le hacking éthique a mis plusieurs années avant de trouver un cadre juridique, le hacking étant, par dé­fi­ni­tion, illégal. Suite à plusieurs cas qui ont fait ju­ris­pru­dence, la pratique du hacking éthique est désormais protégée en France grâce à la loi n° 2016-1321 du 7 octobre 2016 pour une Ré­pu­blique numérique.

Les prin­ci­pales dif­fé­rences avec le hacking « tra­di­tion­nel » sont le fondement éthique ainsi que les con­di­tions de base et générales d’un piratage. Le piratage motivé par l’éthique vise à protéger les in­fras­truc­tures nu­mé­riques et les données con­fi­den­tielles contre les attaques ex­té­rieures et à con­tri­buer de manière cons­truc­tive à une plus grande sécurité de l’in­for­ma­tion.

En revanche, le piratage « normal » se concentre sur des objectifs des­truc­teurs, c’est-à-dire l’in­fil­tra­tion et éven­tuel­le­ment la des­truc­tion des systèmes de sécurité. Ces attaques sont motivées par l’en­ri­chis­se­ment personnel ou la capture et l’es­pion­nage de données con­fi­den­tielles. Un piratage « normal » s’ac­com­pagne souvent de crimes tels que l’extorsion, l’es­pion­nage in­dus­triel ou la paralysie sys­té­ma­tique des in­fras­truc­tures critiques du système (même à grande échelle). Aujourd’hui, les piratages mal­veil­lants sont de plus en plus souvent le fait d’or­ga­ni­sa­tions cri­mi­nelles opérant à l’échelle mondiale, comme les réseaux qui utilisent les attaques DDo. De plus, l’une des préoc­cu­pa­tions fon­da­men­tales de nombreux hackeurs dont les objectifs sont illégaux est de rester cachés et non dé­cou­verts.

À première vue, cette dis­tinc­tion est évidente et sélective. Toutefois, à y regarder de plus près, il existe des cas limites. Par exemple, les hackeurs à mo­ti­va­tion politique peuvent pour­suivre des objectifs éthiques cons­truc­tifs, mais aussi des­truc­teurs. Selon les intérêts et le point de vue personnel ou politique, une éva­lua­tion dif­fé­rente peut être faite et un piratage peut être considéré comme « éthique » ou « contraire à l’éthique ». Par exemple, l’intrusion secrète des autorités d’in­ves­ti­ga­tion de l’État et des services secrets dans les systèmes in­for­ma­tiques de par­ti­cu­liers, d’autorités publiques ou d’autres États fait l’objet de dis­cus­sions critiques depuis plusieurs années.

Traverser les fron­tières entre les pôles est aussi un hacking éthique, qui vise ma­ni­fes­te­ment le bien commun et l’amé­lio­ra­tion de la cy­ber­sé­cu­rité mais en même temps non sollicité et sans la con­nais­sance de « l’objet cible ». Même si ces or­ga­ni­sa­tions ne veulent pas nuire à leurs « victimes », divulguer les résultats d’un piratage et s’adresser ex­pli­ci­te­ment à l’opinion publique dans leurs efforts d’éducation du public, elles évoluent toujours dans des zones d’ombre ju­ri­diques lorsqu’il s’agit d’activités secrètes dans le cy­be­res­pace.

Si l’on considère le piratage classique et éthique d’un point de vue purement technique, il est encore plus difficile de les dis­tin­guer. Le White Hat Hacking utilise gé­né­ra­le­ment le même savoir-faire et les mêmes tech­niques et outils que le piratage « non éthique » pour détecter les fai­blesses du matériel et des logiciels le plus près possible du monde réel.

La frontière entre le hacking « normal » et le hacking éthique est donc assez floue, et ce n’est cer­tai­ne­ment pas une coïn­ci­dence si les jeunes dé­lin­quants in­for­ma­tiques de­vien­nent souvent des con­sul­tants en sécurité respectés et des leaders d’opinion dans le secteur au cours des années suivantes. Il existe donc aussi des positions qui rejettent fon­da­men­ta­le­ment les mo­ti­va­tions éthiques comme critère de dis­tinc­tion et qui estiment que le piratage en soi doit être condamné. Par con­sé­quent, il n’y a pas de dis­tinc­tion jus­ti­fiable entre un piratage « bon » (= éthique) et un piratage « mauvais » (= non éthique).

Cependant, cette position ignore les effets positifs et la pratique souvent utile et né­ces­saire du hacking éthique. La com­mu­nauté de la pla­te­forme de cy­ber­sé­cu­rité in­ter­na­tio­na­le­ment reconnue HackerOne, par exemple, a éliminé plus de 72 000 failles de sécurité dans plus de 1000 en­tre­prises en mai 2018. Selon le Hacker Powered Security Report de 2018, le nombre total de vul­né­ra­bi­li­tés critiques signalées ont augmenté de 26 % en 2017. Ces chiffres montrent que le piratage in­for­ma­tique est aujourd’hui un outil important et éprouvé dans la lutte contre la cy­ber­cri­mi­na­lité.

Les pirates éthiques sont gé­né­ra­le­ment mandatés par des or­ga­ni­sa­tions, des gou­ver­ne­ments et des en­tre­prises (par exemple des en­tre­prises tech­no­lo­giques et in­dus­trielles, des banques, des com­pag­nies d’assurance) pour re­cher­cher des failles de sécurité et des erreurs de pro­gram­ma­tion (bugs). Ils utilisent l’expertise des white hats par­ti­cu­liè­re­ment fré­quem­ment pour les tests de pé­né­tra­tion.

Pour les pentests, le hacking éthique pénètre de manière ciblée dans un système in­for­ma­tique et montre les solutions possibles pour améliorer la sécurité in­for­ma­tique. Une dis­tinc­tion est souvent faite entre l’in­fras­truc­ture in­for­ma­tique et les tests de pé­né­tra­tion des ap­pli­ca­tions Web. Les premiers testent et analysent les systèmes de serveurs, les réseaux wifi, les accès VPN et les pare-feu, par exemple. Dans le domaine des ap­pli­ca­tions Web, les services de réseau, les sites Web (par exemple les boutiques en ligne), les portails d’ad­mi­nis­tra­tion des clients ou les systèmes de sur­veil­lance des serveurs et des services sont examinés de plus près. Un test de pé­né­tra­tion peut se référer au niveau du réseau et de l’ap­pli­ca­tion. Le gou­ver­ne­ment propose une liste de four­nis­seurs de https://www.ssi.gouv.fr/en­tre­prise/produits-certifies/produits-certifies-cspn/ - external-link-window "Liste sur le site du gou­ver­ne­ment">services de sécurité in­for­ma­tique certifiés.

Il n’existe pas de formation pro­fes­sion­nelle reconnue de plusieurs années pour devenir hacker éthique. Cependant le EC Council, est spé­cia­lisé dans la formation à la sécurité et les services de cy­ber­sé­cu­rité, a mis au point une cer­ti­fi­ca­tion. Les cours de formation in­for­ma­tique associés sont proposés dans le monde entier par divers par­te­naires et or­ga­nismes officiels, et des for­ma­teurs certifiés sont chargés de les dispenser.

En France il existe plusieurs or­ga­nismes proposant des cours d’in­for­ma­tique pour https://fr.vpnmentor.com/blog/les-meilleurs-endroits-pour-apprendre-le-hacking-ethique-en-ligne-en/ - external-link-window "Liste d’or­ga­nismes sur vpnmentor">devenir hackeur éthique et obtenir le cer­ti­fi­cat avec la dé­sig­na­tion of­fi­cielle CEH 312-50 (ECC EXAM), 312-50 (VUE). D’autres qua­li­fi­ca­tions et cer­ti­fi­cats reconnus ont été dé­ve­lop­pés par Offensive Security (Offensive Security Certified Pro­fes­sio­nal, OSCP) et le SANS Institute (Global In­for­ma­tion Assurance Cer­ti­fi­ca­tions, GIAC).

Il est vrai que de nombreux hackers pro­fes­sion­nels rejettent les cer­ti­fi­cats basés sur la formation, souvent con­si­dé­rés comme trop théo­riques. Cependant, ils offrent un point de référence important pour les en­tre­prises, car ils leur per­met­tent de mieux évaluer le sérieux d’un hacker éthique. Les cer­ti­fi­cats sont également le signe d’une pro­fes­sion­na­li­sa­tion crois­sante dans ce domaine. Avec une demande en forte aug­men­ta­tion, les hackeurs éthiques peuvent utiliser les cer­ti­fi­cats pour être plus com­pé­ti­tifs, trouver des emplois plus lucratifs et se présenter comme des pres­ta­taires de services sérieux, par exemple sur leurs propres sites Web.

Les cer­ti­fi­cats peuvent être utiles aux hackeurs éthiques dans le processus d’ac­qui­si­tion, mais ils ne cons­ti­tuent pas (encore) une nécessité absolue. Les pirates in­for­ma­tiques sont ac­tuel­le­ment prin­ci­pa­le­ment des spé­cia­listes qui ont des con­nais­sances ap­pro­fon­dies dans les domaines suivants :

• Sécurité in­for­ma­tique
• Réseaux
• Dif­fé­rents systèmes d’ex­ploi­ta­tion
• Con­nais­sance en pro­gram­ma­tion et hardware
• Bases en in­for­ma­tique et tech­no­lo­gie numérique

En plus de ces qua­li­fi­ca­tions, il est né­ces­saire d’avoir une con­nais­sance plus détaillée du milieu du piratage in­for­ma­tique et de ses modes de pensée et d’action.

Bien sûr, de nom­breuses personnes qui changent de carrière ac­quiè­rent les con­nais­sances né­ces­saires au hacking éthique en au­to­di­dacte (par exemple par le biais de re­cherches en ligne). Les pro­fes­sion­nels de l’in­for­ma­tique qui ont acquis les con­nais­sances de base par une formation d’ingénieur en élec­tro­nique des systèmes in­for­ma­tiques ou par un diplôme classique en in­for­ma­tique sont également par­ti­cu­liè­re­ment adaptés à ce travail exigeant. Dans le Hacker Powered Security Report de 2018, 1698 hackeurs éthiques ont été in­ter­ro­gés sur leur formation. Au moment de l’enquête, près de 50 % des personnes in­ter­ro­gées tra­vail­laient à temps plein dans le domaine des tech­no­lo­gies de l’in­for­ma­tion. L’accent a été mis sur le dé­ve­lop­pe­ment du matériel et surtout des logiciels. Plus de 40 % des pro­fes­sion­nels de l’in­for­ma­tique s’étaient spé­cia­li­sés dans la recherche sur la sécurité. Un pour­cen­tage élevé des personnes in­ter­ro­gées (25 %) étaient encore aux études. En 2019 également, le piratage in­for­ma­tique était prin­ci­pa­le­ment une activité se­con­daire. Selon le rapport 2020 Hacker Report de HackerOne, seuls 18 % des personnes in­ter­ro­gées pra­ti­quaient le hacking éthique à plein temps cette année-là.

Les pirates éthiques ne tra­vail­lent pas seulement en tant qu’experts in­for­ma­tiques externes. Il existe également des en­tre­prises qui forment en interne des spé­cia­listes in­for­ma­tiques per­ma­nents en tant que hackers éthiques et veillent à ce qu’ils suivent en per­ma­nence des cours de formation et d’éducation sur le hacking éthique et la cy­ber­sé­cu­rité.

Les pirates in­for­ma­tiques trouvent souvent des commandes concrètes grâce à une procédure d’appel d’offres spéciale. Des en­tre­prises telles que Facebook, Google et Microsoft utilisent des pro­grammes de primes dans lesquels elles dé­fi­nis­sent pré­ci­sé­ment les con­di­tions et les exigences des cy­be­rat­taques et de la recherche de bugs et offrent aux pirates in­for­ma­tiques qui réus­sis­sent la pers­pec­tive de ré­com­penses fi­nan­cières parfois con­si­dé­rables pour les problèmes de sécurité qu’ils trouvent. Les pro­grammes de primes sont souvent menés en com­plé­ment des tests de pé­né­tra­tion.

En ces temps de cy­ber­cri­mi­na­lité crois­sante, le hacking éthique est une stratégie de pré­ven­tion re­com­man­dée. Des attaques ciblées et des tests de pé­né­tra­tion pratiques peuvent ma­ni­fes­te­ment optimiser la sécurité d’une in­fras­truc­ture in­for­ma­tique et ainsi prévenir le piratage à un stade précoce. Les clients du hacking éthique peuvent éviter le danger d’un aveu­gle­ment opé­ra­tion­nel, car les experts ex­té­rieurs abordent les piratages dif­fé­rem­ment, peuvent avoir des con­nais­sances spéciales et préa­lables dif­fé­rentes et une com­pré­hen­sion dif­fé­rente de la question.

Les petites et moyennes en­tre­prises, en par­ti­cu­lier, peuvent avoir accès à un savoir-faire en matière de tech­no­lo­gie de la sécurité qui n’est pas dis­po­nible au sein de l’en­tre­prise. Cependant, les clients doivent toujours être cons­cients que le hacking éthique comporte des risques. Même si toutes les exigences d’un hacking « propre » sont res­pec­tées, des effets négatifs ne peuvent pas toujours être exclus d’emblée. Il peut arriver que les systèmes soient in­vo­lon­tai­re­ment affectés ou même qu’ils s’ef­fondrent.

Les pirates in­for­ma­tiques peuvent également avoir accès à des données con­fi­den­tielles et privées de tiers. Le risque augmente si aucune condition de base et générale claire n’est définie ou si les piratages ne sont pas effectués avec com­pé­tence et soin. Avant d’être affectés à une mission, les pirates éthiques doivent donc être examinés de manière par­ti­cu­liè­re­ment ap­pro­fon­die et soig­neu­se­ment sé­lec­tion­nés sur la base d’une expertise avérée (par exemple un cer­ti­fi­cat).