Hacking éthique : lutte contre les infractions à la sécurité et prévention de la cybercriminalité

Le hacking éthique est devenu de plus en plus important ces dernières années face à l’augmentation rapide de la cybercriminalité. De plus en plus d’entreprises, d’organisations et d’institutions recherchent des experts confirmés en matière de cybersécurité, capables de mettre leur propre concept de sécurité à l’épreuve sans parti pris et d’agir pratiquement comme de « vrais » pirates informatiques.

Nous expliquons dans une définition du hacking éthique ce qui distingue cette forme de piratage et en quoi elle diffère du piratage illégal. En outre, notre aperçu porte sur les domaines d’application du hacking éthique et sur les qualifications spécifiques des « gentils » hackeurs.

Les hackeurs éthiques sont des experts en sécurité informatique qui ne s’introduisent dans les systèmes informatiques qu’après une mission explicite. En raison du consentement de la « victime », cette variante de piratage est considérée comme éthiquement justifiable. L’objectif du piratage éthique est de découvrir les faiblesses des systèmes et infrastructures numériques (par exemple les bogues logiciels), d’évaluer les risques de sécurité et de participer de manière constructive à la correction des failles de sécurité découvertes. Un test de stress pour la sécurité du système peut avoir lieu à tout moment (c’est-à-dire même après un piratage illégal). Dans l’idéal, cependant, les hackeurs éthiques devraient anticiper les actions des cybercriminels, et ainsi prévenir des dommages plus importants.

Le hacking éthique, également appelé « White Hat Hacking » (ce qui signifie « piratage en chapeau blanc), par opposition au piratage « classique » à des fins criminelles, se concentre principalement sur les points faibles de la programmation et de la conception des logiciels (bugs). Les vérifications se concentrent particulièrement sur les applications Web et la sécurité des sites Web. En plus du logiciel, le matériel utilisé peut également être inclus dans le contrôle de sécurité du système.

Pour leurs contrôles de sécurité, les hackeurs éthiques utilisent d’une part des outils disponibles gratuitement sur Internet (par exemple la version gratuite de la suite Burp), d’autre part des logiciels auto-écrits. Ce dernier garantit que les failles de sécurité et la manipulation du code des programmes utilisés peuvent être exclues. Le hacking éthique donne souvent lieu à un code concret malveillant (séquences de commandes individuelles ou programme plus petit), que l’on appelle un exploit. Le code spécial tire parti des erreurs ou des faiblesses constatées dans le système et provoque ensuite un certain comportement des logiciels, du matériel ou d’autres dispositifs électroniques.

La caractéristique d’un hacking éthique est une approche particulière : de la part du contractant, l’exigence de transparence et d’intégrité absolues s’applique, en particulier lorsque des domaines sensibles (secrets d’entreprise et commerciaux, données confidentielles des clients) doivent être protégés par un piratage éthique. Toutes les informations pertinentes provenant de piratages doivent être communiquées au client, il ne doit pas y avoir d’utilisation abusive ou de transmission de secrets d’entreprise.

La transparence comprend généralement une documentation détaillée et aussi complète que possible, qui comprend la procédure exacte, les résultats et d’autres informations pertinentes sur le piratage éthique. Les rapports détaillés peuvent également contenir des recommandations d’action concrètes, par exemple pour la suppression des logiciels malveillants ou la mise en place d’une stratégie Honeypot. Les hackeurs éthiques font également attention à ne pas laisser dans le système des points faibles que les cybercriminels pourraient exploiter plus tard.

Le hacking éthique a mis plusieurs années avant de trouver un cadre juridique, le hacking étant, par définition, illégal. Suite à plusieurs cas qui ont fait jurisprudence, la pratique du hacking éthique est désormais protégée en France grâce à la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Les principales différences avec le hacking « traditionnel » sont le fondement éthique ainsi que les conditions de base et générales d’un piratage. Le piratage motivé par l’éthique vise à protéger les infrastructures numériques et les données confidentielles contre les attaques extérieures et à contribuer de manière constructive à une plus grande sécurité de l’information.

En revanche, le piratage « normal » se concentre sur des objectifs destructeurs, c’est-à-dire l’infiltration et éventuellement la destruction des systèmes de sécurité. Ces attaques sont motivées par l’enrichissement personnel ou la capture et l’espionnage de données confidentielles. Un piratage « normal » s’accompagne souvent de crimes tels que l’extorsion, l’espionnage industriel ou la paralysie systématique des infrastructures critiques du système (même à grande échelle). Aujourd’hui, les piratages malveillants sont de plus en plus souvent le fait d’organisations criminelles opérant à l’échelle mondiale, comme les réseaux qui utilisent les attaques DDo. De plus, l’une des préoccupations fondamentales de nombreux hackeurs dont les objectifs sont illégaux est de rester cachés et non découverts.

À première vue, cette distinction est évidente et sélective. Toutefois, à y regarder de plus près, il existe des cas limites. Par exemple, les hackeurs à motivation politique peuvent poursuivre des objectifs éthiques constructifs, mais aussi destructeurs. Selon les intérêts et le point de vue personnel ou politique, une évaluation différente peut être faite et un piratage peut être considéré comme « éthique » ou « contraire à l’éthique ». Par exemple, l’intrusion secrète des autorités d’investigation de l’État et des services secrets dans les systèmes informatiques de particuliers, d’autorités publiques ou d’autres États fait l’objet de discussions critiques depuis plusieurs années.

Traverser les frontières entre les pôles est aussi un hacking éthique, qui vise manifestement le bien commun et l’amélioration de la cybersécurité mais en même temps non sollicité et sans la connaissance de « l’objet cible ». Même si ces organisations ne veulent pas nuire à leurs « victimes », divulguer les résultats d’un piratage et s’adresser explicitement à l’opinion publique dans leurs efforts d’éducation du public, elles évoluent toujours dans des zones d’ombre juridiques lorsqu’il s’agit d’activités secrètes dans le cyberespace.

Si l’on considère le piratage classique et éthique d’un point de vue purement technique, il est encore plus difficile de les distinguer. Le White Hat Hacking utilise généralement le même savoir-faire et les mêmes techniques et outils que le piratage « non éthique » pour détecter les faiblesses du matériel et des logiciels le plus près possible du monde réel.

La frontière entre le hacking « normal » et le hacking éthique est donc assez floue, et ce n’est certainement pas une coïncidence si les jeunes délinquants informatiques deviennent souvent des consultants en sécurité respectés et des leaders d’opinion dans le secteur au cours des années suivantes. Il existe donc aussi des positions qui rejettent fondamentalement les motivations éthiques comme critère de distinction et qui estiment que le piratage en soi doit être condamné. Par conséquent, il n’y a pas de distinction justifiable entre un piratage « bon » (= éthique) et un piratage « mauvais » (= non éthique).

Cependant, cette position ignore les effets positifs et la pratique souvent utile et nécessaire du hacking éthique. La communauté de la plateforme de cybersécurité internationalement reconnue HackerOne, par exemple, a éliminé plus de 72 000 failles de sécurité dans plus de 1000 entreprises en mai 2018. Selon le Hacker Powered Security Report de 2018, le nombre total de vulnérabilités critiques signalées ont augmenté de 26 % en 2017. Ces chiffres montrent que le piratage informatique est aujourd’hui un outil important et éprouvé dans la lutte contre la cybercriminalité.

Les pirates éthiques sont généralement mandatés par des organisations, des gouvernements et des entreprises (par exemple des entreprises technologiques et industrielles, des banques, des compagnies d’assurance) pour rechercher des failles de sécurité et des erreurs de programmation (bugs). Ils utilisent l’expertise des white hats particulièrement fréquemment pour les tests de pénétration.

Pour les pentests, le hacking éthique pénètre de manière ciblée dans un système informatique et montre les solutions possibles pour améliorer la sécurité informatique. Une distinction est souvent faite entre l’infrastructure informatique et les tests de pénétration des applications Web. Les premiers testent et analysent les systèmes de serveurs, les réseaux wifi, les accès VPN et les pare-feu, par exemple. Dans le domaine des applications Web, les services de réseau, les sites Web (par exemple les boutiques en ligne), les portails d’administration des clients ou les systèmes de surveillance des serveurs et des services sont examinés de plus près. Un test de pénétration peut se référer au niveau du réseau et de l’application. Le gouvernement propose une liste de fournisseurs de https://www.ssi.gouv.fr/entreprise/produits-certifies/produits-certifies-cspn/ - external-link-window "Liste sur le site du gouvernement">services de sécurité informatique certifiés.

Il n’existe pas de formation professionnelle reconnue de plusieurs années pour devenir hacker éthique. Cependant le EC Council, est spécialisé dans la formation à la sécurité et les services de cybersécurité, a mis au point une certification. Les cours de formation informatique associés sont proposés dans le monde entier par divers partenaires et organismes officiels, et des formateurs certifiés sont chargés de les dispenser.

En France il existe plusieurs organismes proposant des cours d’informatique pour https://fr.vpnmentor.com/blog/les-meilleurs-endroits-pour-apprendre-le-hacking-ethique-en-ligne-en/ - external-link-window "Liste d’organismes sur vpnmentor">devenir hackeur éthique et obtenir le certificat avec la désignation officielle CEH 312-50 (ECC EXAM), 312-50 (VUE). D’autres qualifications et certificats reconnus ont été développés par Offensive Security (Offensive Security Certified Professional, OSCP) et le SANS Institute (Global Information Assurance Certifications, GIAC).

Il est vrai que de nombreux hackers professionnels rejettent les certificats basés sur la formation, souvent considérés comme trop théoriques. Cependant, ils offrent un point de référence important pour les entreprises, car ils leur permettent de mieux évaluer le sérieux d’un hacker éthique. Les certificats sont également le signe d’une professionnalisation croissante dans ce domaine. Avec une demande en forte augmentation, les hackeurs éthiques peuvent utiliser les certificats pour être plus compétitifs, trouver des emplois plus lucratifs et se présenter comme des prestataires de services sérieux, par exemple sur leurs propres sites Web.

Les certificats peuvent être utiles aux hackeurs éthiques dans le processus d’acquisition, mais ils ne constituent pas (encore) une nécessité absolue. Les pirates informatiques sont actuellement principalement des spécialistes qui ont des connaissances approfondies dans les domaines suivants :

• Sécurité informatique
• Réseaux
• Différents systèmes d’exploitation
• Connaissance en programmation et hardware
• Bases en informatique et technologie numérique

En plus de ces qualifications, il est nécessaire d’avoir une connaissance plus détaillée du milieu du piratage informatique et de ses modes de pensée et d’action.

Bien sûr, de nombreuses personnes qui changent de carrière acquièrent les connaissances nécessaires au hacking éthique en autodidacte (par exemple par le biais de recherches en ligne). Les professionnels de l’informatique qui ont acquis les connaissances de base par une formation d’ingénieur en électronique des systèmes informatiques ou par un diplôme classique en informatique sont également particulièrement adaptés à ce travail exigeant. Dans le Hacker Powered Security Report de 2018, 1698 hackeurs éthiques ont été interrogés sur leur formation. Au moment de l’enquête, près de 50 % des personnes interrogées travaillaient à temps plein dans le domaine des technologies de l’information. L’accent a été mis sur le développement du matériel et surtout des logiciels. Plus de 40 % des professionnels de l’informatique s’étaient spécialisés dans la recherche sur la sécurité. Un pourcentage élevé des personnes interrogées (25 %) étaient encore aux études. En 2019 également, le piratage informatique était principalement une activité secondaire. Selon le rapport 2020 Hacker Report de HackerOne, seuls 18 % des personnes interrogées pratiquaient le hacking éthique à plein temps cette année-là.

Les pirates éthiques ne travaillent pas seulement en tant qu’experts informatiques externes. Il existe également des entreprises qui forment en interne des spécialistes informatiques permanents en tant que hackers éthiques et veillent à ce qu’ils suivent en permanence des cours de formation et d’éducation sur le hacking éthique et la cybersécurité.

Les pirates informatiques trouvent souvent des commandes concrètes grâce à une procédure d’appel d’offres spéciale. Des entreprises telles que Facebook, Google et Microsoft utilisent des programmes de primes dans lesquels elles définissent précisément les conditions et les exigences des cyberattaques et de la recherche de bugs et offrent aux pirates informatiques qui réussissent la perspective de récompenses financières parfois considérables pour les problèmes de sécurité qu’ils trouvent. Les programmes de primes sont souvent menés en complément des tests de pénétration.

En ces temps de cybercriminalité croissante, le hacking éthique est une stratégie de prévention recommandée. Des attaques ciblées et des tests de pénétration pratiques peuvent manifestement optimiser la sécurité d’une infrastructure informatique et ainsi prévenir le piratage à un stade précoce. Les clients du hacking éthique peuvent éviter le danger d’un aveuglement opérationnel, car les experts extérieurs abordent les piratages différemment, peuvent avoir des connaissances spéciales et préalables différentes et une compréhension différente de la question.

Les petites et moyennes entreprises, en particulier, peuvent avoir accès à un savoir-faire en matière de technologie de la sécurité qui n’est pas disponible au sein de l’entreprise. Cependant, les clients doivent toujours être conscients que le hacking éthique comporte des risques. Même si toutes les exigences d’un hacking « propre » sont respectées, des effets négatifs ne peuvent pas toujours être exclus d’emblée. Il peut arriver que les systèmes soient involontairement affectés ou même qu’ils s’effondrent.

Les pirates informatiques peuvent également avoir accès à des données confidentielles et privées de tiers. Le risque augmente si aucune condition de base et générale claire n’est définie ou si les piratages ne sont pas effectués avec compétence et soin. Avant d’être affectés à une mission, les pirates éthiques doivent donc être examinés de manière particulièrement approfondie et soigneusement sélectionnés sur la base d’une expertise avérée (par exemple un certificat).