Rechercher
Rechercher

Qu’est-ce le hacking éthique ?

Cybersécurité
Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Sophie ILLÈS

Dans le monde du hacking, les inter­ve­nants et acteurs sont en constante crois­sance. Leurs pro­fils peuvent être très dif­fé­rents les uns des autres. Le hacking éthique (ou ethi­cal hacking en anglais) est une démarche de sécu­ri­té infor­ma­tique. Elle consiste pour une socié­té à employer une per­sonne ou une entre­prise spé­cia­li­sée afin de tes­ter l’efficacité de son sys­tème de défense.

Les hackers ne sont pas for­cé­ment des per­sonnes mal­veillantes. Le mot hacker ne signi­fie pas « cri­mi­nel », il peut défi­nir un indi­vi­du qui com­pro­met la sécu­ri­té des ordi­na­teurs ou, à l’inverse, un indi­vi­du qui teste la sécu­ri­té d’un sys­tème infor­ma­tique. Dans les faits, on dis­tingue trois types de hackers : le black hat ou cha­peau noir, le white hat ou cha­peau blanc et le grey hat ou cha­peau gris. Ces termes défi­nissent les dif­fé­rents groupes de pirates en se fon­dant sur leur comportement.

Le black hat hacker 

Le black hat hacker est en règle géné­rale mêlé à des actes de mal­veillance (créa­tion d’un réseau de PC zom­bies en uti­li­sant un bot­net pour effec­tuer des attaques DDoS…) ou lié à des sujets comme la vio­la­tion de la sécu­ri­té des ordi­na­teurs à des fins pro­fi­tant à lui-même (vol de numé­ros de carte de cré­dit, récolte de don­nées per­son­nelles pour vente mas­sive…). L’expression « cha­peau noir » fait réfé­rence aux sté­réo­types lar­ge­ment répan­dus qu’un hacker est un cri­mi­nel qui exerce des acti­vi­tés illé­gales à des fins per­son­nelles et qui attaque d’autres entités.

Un black hat hacker qui trouve une nou­velle faille de sécu­ri­té zero-day la ven­dra à des orga­ni­sa­tions cri­mi­nelles sur le mar­ché noir ou l’utilisera pour com­pro­mettre les sys­tèmes informatiques.

Le white hat hacker 

Le white hat hacker, sou­vent appe­lé pen­tes­teur, ou encore ethi­cal hacker, est l’opposé du black hat hacker. Il s’agit d’experts en sécu­ri­té infor­ma­tique qui uti­lisent leurs capa­ci­tés à des fins hon­nêtes, éthiques et du côté de la jus­tice plu­tôt qu’à des fins mal­hon­nêtes. Ce pro­fil de hackers est man­da­té par des entre­prises pour tes­ter par exemple la sécu­ri­té de leur réseau ou encore de leurs appli­ca­tions web. Le but étant de trou­ver des vul­né­ra­bi­li­tés qu’un atta­quant pour­rait exploi­ter et qui per­met­traient de com­pro­mettre leur sys­tème. Le white hat hacker uti­lise ses connais­sances pour com­pro­mettre les sys­tèmes de l’organisation, comme un black hat hacker l’aurait fait. Cepen­dant, au lieu d’utiliser ses décou­vertes dans son propre inté­rêt à des fins mal­veillantes, il pro­po­se­ra un plan d’action pour remé­dier aux failles recen­sées. Pour ce faire, un man­dat d’intrusion est néces­saire, auto­ri­sant ain­si le hacker à réa­li­ser son test d’intrusion. Sans cela, le white hat hacker serait en infrac­tion avec la loi et consi­dé­ré comme un cybe­rat­ta­quant, réa­li­sant des acti­vi­tés mal­veillantes. Un white hat hacker qui trouve une faille de sécu­ri­té dans une appli­ca­tion la rap­por­te­ra à l’éditeur, lui per­met­tant ain­si de pat­cher et d’améliorer la sécu­ri­té de celle-ci avant qu’elle ne soit exploi­tée par des black hat hackers.

Quelques white hats sont célèbres, comme Bar­na­by Jack, Kevin Mit­nick, Robert Tap­pan Mor­ris ou Kevin Poulsen.

Le grey hat hacker 

Un hacker à cha­peau gris (ou grey hat hacker) se situe entre un black hat hacker et un white hat hacker. Il ne fonc­tionne pas pour son gain per­son­nel mais peut tech­ni­que­ment com­mettre des crimes et mener des actions contraires à la morale. Par exemple, un black hat hacker pour­rait com­pro­mettre un sys­tème infor­ma­tique sans auto­ri­sa­tion, voler les don­nées pour son propre gain per­son­nel ou van­da­li­ser un sys­tème. Un white hat hacker deman­de­rait la per­mis­sion avant de tes­ter la sécu­ri­té du sys­tème et d’alerter l’organisation de ses décou­vertes. Un grey hat hacker pour­rait ten­ter de com­pro­mettre un sys­tème infor­ma­tique sans auto­ri­sa­tion et en infor­mer l’organisation seule­ment après l’avoir fait. Qu’est-ce qui le rend dif­fé­rent d’un white hat hacker ? Même s’il a per­mis à l’organisation de résoudre la faille trou­vée, il a com­pro­mis le sys­tème de sécu­ri­té sans auto­ri­sa­tion, ce qui est illé­gal. Si un grey hat hacker découvre une faille de sécu­ri­té dans un logi­ciel ou sur un site web, il peut la divul­guer publi­que­ment au lieu de la repor­ter en pri­vé à l’organisation et lui don­ner le temps de la cor­ri­ger. Il ne veut pas pro­fi­ter de la faille pour son gain per­son­nel (qui consti­tue­rait un com­por­te­ment de black hat hacker) mais sa divul­ga­tion pour­rait entraî­ner des consé­quences graves. En effet, un black hat hacker pour­rait en pro­fi­ter avant que cette der­nière ne soit corrigée.



Articles similaires :

Bertrand de La Chapelle préside la réunion annuelle du projet « Internet & Jurisdiction » à BerlinGou­ver­nance de l’Internet et gou­ver­nance sur l’Internet Cyber et systèmes d’information de santéCyber et sys­tèmes d’information de san­té : le cas du Ser­vice de san­té des armées Cyber et domotique Hacking voitureCom­ment j’ai hacké votre voiture Matériel du hackerLe hacking au ser­vice de la cybersécurité

Poster un commentaire