Les hackers éthiques évoluent dans cette fine frontière qui sépare les bons des mauvais sur Internet, oscillant parfois entre ces deux mondes. Ils mettent leurs connaissances en hacking au service du bien, généralement pour tester les systèmes de sécurité de leurs clients. Et ils sont aussi redoutables que leurs homologues du côté obscur.
Parce que pénétrer des systèmes est le meilleur moyen de renforcer leur sécurité, les hackers éthiques baignent souvent dans la controverse. Les professionnels du milieu ne sont pas faciles à trouver et si vous tombez sur l’un d’entre eux, vous n’en saurez pas grand-chose. Leur métier l’exige, la discrétion est de rigueur et leurs employeurs seront moins enclins à vous communiquer leur profil et pour cause, leur statut légal est encore dans une zone d’ombre dans certaines régions du monde.
Difficile donc de mettre les pieds dans l’étrier, pourtant nous y sommes parvenus. Nous nous sommes entretenus avec deux experts qui ont accepté de répondre à nos questions et nous ont offert une immersion totale dans leur univers pour le moins complexe. Poursuivez votre lecture et plongez dans le monde du hacking éthique.
En quoi les Hackers éthiques sont-ils si importants ?
La cybercriminalité est le fléau du siècle, nul n’est épargné : les internautes, les entreprises et même les gouvernements, évoluant de manière alarmante. Avec une dépendance accrue aux nouvelles technologies, les cybercriminels redoublent d’inventivité pour exploiter les moindres vulnérabilités réseau.
Le taux de cybercriminalité a augmenté de 600 % durant la pandémie de COVID-19 et connaîtra une croissance fulgurante dans les années à venir. Ata Hakçıl et Jeremiah Fowler nous ont offert un aperçu de leurs vies respectives en tant que hackers éthiques et les exigences en termes de nouvelles technologies et de pratiques cybercriminelles.
Ata Hakçıl est un hacker éthique, pentester et un chasseur de bugs avec plus de 7 ans d’expérience. Il est diplômé en informatique et actuellement en Master en ingénierie informatique. Vous pouvez découvrir ses projets de sécurité open-source sur Github, où il est connu sous le pseudonyme Ignis-sec.
Jeremiah Fowler est un security researcher avec plus de 10 ans d’expérience dans l’industrie de la tech et de la cybersécurité. Co-fondateur de Security Discovery, un groupe de consultants en cybersécurité, il est paru dans de nombreuses publications, parmi lesquelles Forbes, la BBC et Gizmodo.
Ata Hakçıl estime que la récession qui a suivi la crise sanitaire de COVID aura un sérieux impact sur les budgets alloués à la sécurité, car c’est l’un des aspects les plus négligés en entreprise. Ce qui suivra sera une succession de brèches de données engendrées par des systèmes pauvres en sécurité ou peu entretenus.
Les hackers éthiques sont désormais plus que jamais essentiels au sein des organisations pour des raisons sécuritaires. En simulant des attaques de pirates, ils parviennent à détecter les vulnérabilités présentes et engager des actions avant qu’elles ne soient exploitées par les cybercriminels.
Les géants de la tech collectent vos données, leurs conditions de service leur octroient le droit d’accéder à votre microphone, votre caméra, voire à vos trousseaux de clés. Tout ce que vous faites sur votre ordinateur est enregistré. Nous n’avons aucune idée des conséquences d’une utilisation frauduleuse de telles informations. Un commentaire sur les réseaux sociaux peut nuire à votre réputation ou à votre carrière sur 10 ans.
Jeremiah Fowler, hacker éthique & security researcher
Voici quelques raisons pour lesquelles l’intervention de hackers éthiques est le seul antidote face aux défaillances présentes et aux risques de sécurité futurs :
Se mettre dans la peau d’un cybercriminel est le moyen le plus efficace d’anticiper et prévenir ses attaques. C’est exactement ce que fait un hacker éthique lorsqu’il teste vos systèmes de sécurité. Nous pensons que le hacking éthique est l’avenir de la cybersécurité et la demande sera grandissante au fil des ans. Mais avant d’entrer dans le vif du sujet, voici quelques termes qu’il convient de comprendre.
Glossaire du hacking éthique
Pourquoi le terme de hacker éthique est-il controversé
Si un cybercriminel (souvent appelé à tort hacker ou pirate) n’est autre qu’un malfrat souhaitant s’immiscer dans votre domicile pour vous dérober des affaires, un hacker éthique est voisin serviable qui vient à votre secours et vous montre comment le brigand pourrait entrer chez vous par effraction. Vous aurez ainsi toutes les clés pour renforcer la sécurité de votre maison et vous y sentir à nouveau en sécurité.
Imaginez les choses comme suit : un hacker malveillant est celui qui vous fera hurler “Pourquoi moi?”, tandis qu’un hacker éthique est celui qui vous fera dire “Voilà pourquoi je vous ai embauché !”. Mais tous les professionnels du milieu préfèrent l’appellation de hacker éthique à celui de hacker, en raison de la connotation négative du terme. Nous avons justement posé la question à vos experts.
Q: Êtes-vous d’accord avec le terme de Hacker éthique ?
Ata Hakçıl : “Tout à fait. Je préfère personnellement le terme de “security researcher”.
Jeremiah Fowler : “Tout à fait, en tant que Hacker éthique, il y a des choses que je ne ferai jamais, telles que forcer un mot de passe ou pénétrer un quelconque réseau. En tant que security researcher, je m’attarde uniquement sur les données exposées et n’irai jamais au-delà que l’information publiquement partagée. Il ne serait pas éthique d’utiliser les mots de passe découverts parmi les données exposées”.
Certains pensent que le terme est relatif, certains hackers se disent activistes, hacktivistes et ne se décrivent pas comme des criminels. D’autres pensent qu’il est de leur responsabilité d’exposer une entreprise ou un organisme pauvrement sécurisé. Leurs arguments sont-ils suffisamment cohérents pour entrer dans la case éthique ? L’idée selon laquelle les individus qui défient une autorité pour X raison serait éthique, ne tient pas forcément la route.
Qu’est-ce qu’un hacker éthique ? Quelles en sont les origines ?
Par définition, un hacker éthique est “une personne qui pirate un réseau informatique dans le but de tester son degré de sécurité, contrairement à des fins malveillantes ou criminelles”. Bien que la notion semble assez claire de part et d’autre dans le monde, les choses ne sont pas toujours aussi évidentes.
Bien souvent, le hacking éthique est confondu avec le “White hat hacking”, populaire depuis un peu moins d’une décennie. Mais saviez-vous que le hacking éthique est une notion plus vieille que le Black hat hacking, où l’intention de nuire est évidente ?
À l’aube des premiers ordinateurs, le hacking consistait simplement à renforcer les systèmes et les appareils pour augmenter leur robustesse. Bien que le côté malveillant ait pris le terme d’assaut, le hacking est une pratique originellement éthique. Mais combattre les préjugés est une autre paire de manches.
Malheureusement, la frontière entre le hacking éthique et non-éthique est fine et constitue parfois une zone d’ombre qui perdure à ce jour. Difficile de distinguer le bien du mal et la législation a du mal à trancher.
Q: Est-ce que tout est noir ou blanc dans le hacking : les méchants contre les gentils ?
Ata Hakçıl : “La plupart des activistes black hat s’adonnent à des pratiques malveillantes, frauduleuses et usurpatrices. Leur intention première est de vous nuire en s’emparant de vos identifiants ou données bancaires. Mais certains sujets tombent dans le Gray Ethical ou cette zone trouble selon les points de vue”.
Jeremiah Fowler : “Tout dépend s’il s’agit de collaborateurs au sein de grandes entreprises ou de tiers indépendants. Malheureusement, de nombreux black hat hackers viennent de régions économiquement instables et pauvres en régulations”.
Tout n’est donc pas banc ou noir, il y a beaucoup de gris dans tout ceci.
Black, White, And Grey Hat Hacking en clair
Les black hat hackers œuvrent dans le strict but de vous nuire financièrement, matériellement ou personnellement. Cela va de l’usurpation de vos données sur le dark web, aux attaques DDoS en passant par le vol de votre compte Twitter pour atteindre des célébrités et leur envoyer des Bitcoins.
Les White hat hackers ont un esprit de recherche et d’investigation, ils multiplient les tests de pénétration et vont à la chasse aux bugs bounties, des programmes lancés dans le but de récompenser quiconque identifiant des vulnérabilités et des brèches logicielles ou de services. Les White hat hackers suivent des règles éthiques strictes dans ce processus.
Les Grey Hat Hackers n’appliquent le code éthique à la lettre et peuvent tomber dans une zone grise entre ce qui est acceptable ou non d’un point de vue éthique. Ata explique ce concept de manière extrêmement claire :
Compromettre un ordinateur portable est objectivement non-éthique. Faire sombrer le site d’un réseau de trafic humain est objectivement une bonne chose. Compromettre l’ordinateur d’un tiers dans le but d’anéantir un réseau de trafic humain entre dans cette fameuse zone éthique grise.
Il est relativement facile de basculer d’un côté comme de l’autre – la conscience de quelqu’un peut le conduire à passer de cette casquette de Black Hat à White hat, les convictions de chacun peuvent conduire à la Grey Hat, tout comme le manque d’empathie peut conduire au Black Hat.
Il est relativement facile de basculer d’un côté comme de l’autre – la conscience de quelqu’un peut le conduire à passer de cette casquette de Black Hat à White hat, les convictions de chacun peuvent conduire à la Grey Hat, tout comme le manque d’empathie peut conduire au Black Hat.
Quel est le rôle d’un hacker éthique ?
Les hackers éthiques ont pour objectif de mettre à mal un système de défense donné pour en tester l’efficacité. Bien que ce soit pour aider à renforcer la sécurité en ligne d’une organisation, sa mission est similaire à celle d’un hacker malveillant.
Ceci étant, les professionnels choisissent des chemins différents. Voici trois types de Hackers éthiques :
Les chasseurs de Bugs Bounty
Au lieu d’être rémunéré par heure, les chasseurs de Bugs Bounty sont récompensés par des organismes en cas de signalement de vulnérabilité effectif. Le programme de Bug Bounty mené par CyberGhost VPN en est le parfait exemple.
Les Security Researchers ou équipes d’évaluation Cybersécurité
Les organisations recrutent des équipes spécialisées dans le contrôle et l’identification de vulnérabilités en utilisant des techniques offensives pour une meilleure défense.
Ces équipes sont formées sur le modèle de la marine avec une équipe rouge qui attaque et une équipe bleue qui défend. Ces experts hautement qualifiés travaillent en étroite collaboration afin de renforcer la sécurité par retour d’informations et transfert de connaissances.
Penesters
Également connus sous le nom de Pentesters, ces professionnels analysent les systèmes de sécurité en simulant des attaques malveillantes tierces. Les pentesters opèrent généralement dans un délai imparti, défini en accord avec le client.
Leur objectif est d’identifier les vecteurs d’attaques, les vulnérabilités éventuelles et suivre les failles systèmes. Cela implique le recours à différentes techniques manuelles s’appuyant sur un certains nombres d’automatismes pour exploiter les vulnérabilités préalablement identifiées.
En dehors de leur mission d’identification des vulnérabilités, chaque motivation est différente. Ata le souligne d’ailleurs : “S’il s’agit d”un pentest, j’ai plaisir à découvrir les différentes vulnérabilités omises lors de précédentes interventions et m’assurer que les prochaines soient n’aboutissent à aucune découverte. Si la recherche est consacrée à une vulnérabilité encore méconnue, mon objectif est de trouver des moyens créatifs pour m’assurer que vous n’en oublierez aucun détail. S’il s’agit d’un Bug Bounty, je suis davantage motivé par l’aspect financier que la quête en tant que telle.”
La fonction de hacker éthique est-elle dangereuse ?
Vous avez tout à fait raison de vous poser la question de la dangerosité du métier. Après tout, il ne s’agit que de hacker des ordinateurs (avec accord préalable), ce n’est pas non plus la feria ! Mais sachez toutefois que le métier de hacker éthique est loin d’être un long fleuve tranquille et les dangers sous-jacents sont bien souvent sous-estimés. Il ne s’agit pas uniquement de risques liés aux autorités. Nous avons demandé à nos hackers éthiques ce qu’ils craignaient le plus.
Q: Quelle est la pire crainte d’un Hacker éthique ?
Jeremiah Fowler : “Si vous êtes hacker éthique et que vous venez en aide aux autres, soyez sans crainte. Si toutefois vous êtes un criminel qui enfreint les lois et s’introduit dans des réseaux pour s’emparer de données, il va sans dire que vous risquez gros légalement”.
Q: Pouvez-vous nous parler de vos hackings ? Avez-vous déjà été poursuivi ou récompensé pour ceux-ci ?
Ata Hakçıl : ”Je n’ai jamais fait l’objet de poursuites, mais j’ai souvent été récompensé. Pendant un certain temps, je me suis entièrement consacré aux programmes de Bug Bounty et je recevais ainsi régulièrement des récompenses.”
Jeremiah Fowler : ‘Mes connaissances et mon expertise en sécurité informatique notamment en tant que security researcher m’ont conduit à officier en tant que consultant en sécurité. Nous avons contribué à sécuriser les données de millions de personnes à travers le monde et avons collaboré avec des entreprises et des organisations du Fortune 100.’
Si vous opérez dans un cadre strictement éthique, vous n’avez aucune raison de faire l’objet de quelconques poursuites pour vos activités de hacking éthique. Il est arrivé que certains hackers éthiques aient fini devant le juge, mais ceci est étroitement lié à la législation en vigueur, parfois floue. De manière générale, vous serez surtout responsable du chaos occasionné chez votre employeur. Un peu comme chez un hacker malveillant. C’est plutôt fun quand on y pense.
La hacking éthique n’est pas dangereux en soi, mais face à des lois relatives dépassées et la cybercriminalité, vous devez redoubler de vigilance en termes de préservation de votre sécurité et confidentialité en ligne. Les hackers mal intentionnées peuvent cibler les hackers éthiques simplement en raison de leurs opérations barrières, les empêchant de mener leurs cyberattaques à terme.
Le Hacking éthique est-il essentiellement un métier freelance?
Bien que la plupart des hackers éthiques soient des freelances, vous pouvez tout à fait opérer de diverses manières. Vous avez par exemple la possibilité de travailler en CDI à temps plein ou en tant que consultant pour un large éventail d’industries allant de la finance, de la santé, du gouvernement à l’industrie de la tech ou autres.
De nombreuses entreprises embauchent des security researchers à temps plein pour rejoindre leurs équipes de sécurité et les aider à identifier et limiter les vulnérabilités. La tendance actuelle démontre qu’un grand nombre de professionnels penchent vers une carrière freelance en raison de la flexibilité liée à ce statut.
Le hacking éthique est un domaine extrêmement particulier qui requiert des compétences et un savoir particuliers. De fait, les entreprises préfèrent également faire appel aux hackers freelance pour répondre à leurs différentes attentes et besoins, de manière beaucoup plus large.
Les entreprises qui recrutent des hackers éthiques
Les security researchers sont très largement sollicités. De nombreuses marques et enseignes recrutent des hackers éthiques à des salaires généreux. Selon le Bureau of Labor Statistics (BLS), le salaire annuel moyen d’un security researcher oscille entre les 102,600 $ en mai 2021 contre 70 000 euros en moyenne en France.
Voici quelques entreprises leader concernées par ces recrutements :
| Entreprises qui recrutent des Hackers éthiques | Salaire annuel moyen |
| Tesla | 118 000 € / 167 552 $ |
| Bank of America | 73-154 000 € / 158 947 $ |
| Lenovo | 86-155 000 € / 145 745 $ |
| Stellantis | 60-120 000 € / 122 159 $ |
| 103-189 000 € / 120 000 $ | |
| HackerRank | 103 000 € / 116 355 $ |
| IBM | 60-129 000 € / 110 457 $ |
| Little Caesars | 60-112 000 € / 107 861 $ |
| Test | 102,931 $ |
| Armée américaine | 96 000 $ |
| Armée française | À partir de 20 000 € |
Qu’est-ce qu’une journée type de hacking éthique ?
La journée type d’un hacker éthique pourrait s’apparenter à celle d’un développeur, nous confie Ata Hakçıl. Avant d’entrer dans le vif du sujet, voici les principales missions confiées au security researcher :
- Rencontrer des clients pour échanger sur les systèmes de sécurité en place.
- Procéder aux vérifications système, réseau et points d’entrée.
- Effectuer des tests de vulnérabilités.
- Élaborer des rapports de tests de vulnérabilité.
- Identifier et documenter les vulnérabilités.
- Définir les solutions de sécurités adaptées.
- Renouveler les tests de vulnérabilités pour vérifier les solutions proposées.
- Offrir des alternatives face aux solutions de sécurité n’ayant pas porté leurs fruits.
Voici à quoi correspond une journée type dans les baskets d’un hacker éthique en charge d’un projet donné :
- Check de la boîte mail et création des tâches en conséquence.
- Vérifications des découvertes générées par les scripts automatisés ou les rapports fournis par les différents systèmes d’analyse.
- Relever les systèmes d’exploitation et les applications concernés par le prochain pentest.
- Établissement d’une liste des vulnérabilités à exploiter pour prendre le contrôle du système.
- Scan du système et découverte de nouvelles vulnérabilités pour élaborer une contre-attaque adaptée.
- Recherche dans les forums du dark web ou les réseaux de hackers éthiques pour découvrir de nouvelles vulnérabilités et la manière de les appréhender.
- Définir des scans de vulnérabilités automatiques pour conduire un maximum d’attaques.
- Conduire des recherches additionnelles pour peaufiner la prochaine stratégie à adopter.
- Assister à des meetings, présenter ou simplement fournir des retours sur les rapports de sécurité fournis.
- Découvrir de nouveaux outils, renforcer ses compétences et dénicher de nouvelles informations pour accélérer le processus.
La recherche de failles de sécurité est parfaitement adaptée aux personnes ayant le souci du détail et à même d’anticiper les pires scénarios pour mieux réagir le cas échéant. On retrouvera ces profils chez les responsables Quality Assurance ou Software testing.
Faire preuve de patience est la clé de la réussite. Le hacking éthique peut s’avérer relativement monotone et les chances de découvrir une vulnérabilité peuvent être minces. Il n’est pas rare de déployer des heures de travail quotidiennement sans que cela aboutisse à quelque chose de concret. Toutefois, si vous dénichez une vulnérabilité, la récompense à la clé
Comment devenir Hacker éthique : études et parcours professionnel
Faire carrière dans le hacking éthique est particulièrement enrichissant pour tous les férus de cybersécurité. En plus d’être particulièrement excitant, ce métier est fortement demandé. Découvrons les étapes requises pour devenir hacker éthique et se lancer dans une carrière en sécurité des plus palpitantes.
- 🎓 Diplômes et certifications : bien qu’il n’y ait pas de diplôme spécifique requis en France, l’expérience en informatique étant particulièrement appréciée. Vous pouvez prétendre à ce poste en obtenant un diplôme en informatique, en sécurité des systèmes d’information, en programmation ou équivalent. Autrement vous pouvez accéder à une carrière en hacking éthique à l’aide de certifications telles que la CEH Certified Ethical Hacker, l’OSCP Offensive Security Certified Professional ou encore la CISSP Certified Information Systems Security Professional.
- 🛠️ Développer son expérience : Pour réussir dans le Hacking éthique, il est préconisé d’avoir de solides connaissances en programmation, en systèmes d’exploitation et réseaux, de même qu’en sécurité des systèmes informatiques. Ces connaissances peuvent être acquises lors de vos études, de vos propres recherches et de votre expérience pratique sur le terrain.
- 💪 Expérience pratique : Participer à des programmes de Bug Bounty, des projets Open-Source ou du volontariat auprès d’organisations en quête d’expertise en cybersécurité.
- 📑 Bâtir son portfolio: Ne pas hésiter à lister les différentes vulnérabilités trouvées et résolues pour enrichir son portfolio.
- 🔃 Rester à la page : La cybersécurité est en constante évolution en raison des nouvelles menaces technologies et bonnes pratiques. Pour ne rien manquer des dernières actualités, il est important d’assister à des conférences, de lire des articles et de s’informer auprès de son réseau expert en la matière.
Le parcours d’un hacker éthique n’est pas linéaire, différentes voies s’offrent à vous. Voici quelques-unes des options parmi lesquelles choisir.
- ➡️ Penetration Tester ou testeur d’intrusion : identifier les vulnérabilités présentes au sein d’un système informatique et d’applications et tenter de les exploiter.
- ➡️ Consultant en sécurité : conseiller les organismes sur la manière de renforcer leur cybersécurité et développer des stratégies efficaces contre les différentes menaces en ligne.
- ➡️ Incident Responder ou intervenant en cas d’incident : rechercher et corriger les incidents rencontrés comme les brèches de sécurité et les attaques malwares.
- ➡️ Security Analyst ou Analyste en sécurité : suivre et analyser les réseaux informatiques et les systèmes dans le but de déceler d’éventuelles brèches ou anomalies.
- ➡️ Security Architect: définir et déployer des solutions de sécurité pour les entreprises et organisations telles que les pare-feux, systèmes de détection des intrusions et autres mesures de sécurité.
Q: Tout le monde peut-il devenir hacker ?
Ata Hakçıl : “Il m’a fallu près de 2 ans non-stop 24h/24 et 7j/7 en parallèle à mes études en informatique pour devenir security researcher et gagner une certaine stabilité financière. C’est une industrie dans laquelle vous devez rester à la page des dernières actualités, de penser hors des sentiers battus, mais qui demeure accessible à tous si vous cochez ces quelques cases. J’ai rencontré des security researchers brillants encore étudiants, qui participent à des concours et des événements de cybersécurité”.
Jeremiah Fowler : “Le hacking anonyme collectif a prouvé que quelles que soient les compétences acquises, chacun trouve sa place et tient une place déterminante dans une stratégie d’attaque coordonnée. Le groupe formé peut même entraîner des individus et les préparer notamment à lancer une attaque DDoS ou autres moyens de premier niveau. Donc, foncièrement, le hacking est accessible à tous. Tout dépend des objectifs de chacun et de son investissement en temps et en énergie, ainsi que les moyens que l’on se donne pour se former aux différents systèmes, leurs failles et vulnérabilités”.
Déconstruire les stéréotypes du hacker “type”
Stéréotype n°1 : Les hackers sont des criminels. Le hacking éthique n’est qu’un mythe.
Dans un monde où le hacking dans le cinéma, notamment hollywoodien, est romancé de façon relativement sensationnelle; il est difficile de déconstruire tous les stéréotypes ancrés et de démêler le vrai du faux.
Stéréotype n°2 : Les hackers sont des loups solitaires
Les hackers éthiques sont souvent perçus comme des loups solitaires qui travaillent en solo, isolés du monde, un postulat qui est loin d’être vrai. Tandis que certains hackers éthiques préfèrent le travail en solo, de nombreux autres travaillent en équipes ou collaborent avec leurs homologues experts en sécurité.
Stéréotype n°3 : Les hackers sont timides et introvertis.
Jeremiah Fowler : “Ce sont des idées conçues. Dans mon cas, je prends souvent la parole en public. Je suis un performer et j’aime les relations humaines. Il y a évidemment un nombre de personnes qui peuvent se renfermer et vivre dans cet univers numérique. Les hackers malveillants enfreignent les lois, leur comportement relativement discret et introverti peut s’expliquer par ce mécanisme de défense intérieur”.
Stéréotype n°4 : Les hackers éthiques doivent masquer leur identité.
Un autre stéréotype sur les hackers consiste à dire qu’ils doivent absolument masquer leur véritable identité, ce qui n’est pas tout à fait vrai. Tandis que les hackers éthiques prennent toutes les dispositions pour préserver leur sécurité et leur confidentialité lorsqu’ils mènent leurs travaux, cela ne veut pas dire qu’ils doivent impérativement masquer leur identité.
Q: Utilisez-vous un pseudonyme ? Pour quelles raisons ?
Ata Hakçıl : “J’ai de nombreux surnoms (que j’utilise encore aujourd’hui). Utiliser un pseudo est toujours pratique pour éviter de partager mes informations personnelles et continuer de travailler sur certaines plateformes. Nous connaissons les pseudos des uns et des autres, lorsqu’on se croise sur les différents forums ou les concours CFT, nous savons de qui il s’agit.
J’ai de nombreux amis avec qui je discute quotidiennement depuis plus de 5 ans et que je ne reconnaîtrai pourtant pas dans la rue, mais n’auront aucun mal à m’identifier via mon pseudonyme ou sur un scoreboard”.
Jeremiah Fowler : “Je n’ai jamais été joueur, en tant que musicien, je n’ai jamais compris comment les gens pouvaient jouer aussi longtemps aux jeux vidéo. De nombreux joueurs s’attribuent des pseudonymes. Lorsque je vivais en Ukraine, dans l’une des premières entreprises pour laquelle j’ai travaillé, personne n’utilisait son véritable nom et j’ai dû m’y mettre aussi.
Je dois avouer que j’ai compris par la suite tout l’intérêt que cela pouvait avoir en termes de confidentialité et d’anonymat. Oui, j’ai eu mon pseudo, mais en tant que personnalité désormais publique, je suis également très fier de porter mon nom et me sentir libre, indépendant et en parfait accord avec mon travail et mes apparitions publiques”.
Les hackers sont-ils tous des autodidactes ?
La plupart des hackers éthiques ont acquis leur expérience de manière autodidacte, avec beaucoup de pratique. D’autres ont parcouru des chemins plus classiques à travers les études, stages en cybersécurité, expériences en réseau informatique ou autres.
De nombreuses formations universitaires offrent des programmes en cybersécurité, il existe également un certain nombre de certifications en hacking éthique. Ces programmes offrent aux étudiants de solides bases, outils et techniques en cybersécurité.
Ceci dit, le terrain occupe une large part dans le métier de hacker éthique. S’agissant d’un domaine où la patience est de mise, les erreurs et leçons apprises sont au cœur du processus d’acquisition des connaissances et des compétences aujourd’hui requises.
Q: Qu’est-ce qui est si attrayant dans le piratage informatique ? Qu’est-ce qui vous a motivé à devenir un Ethical Hacker ?
Ata Hakçıl : “J’ai passé plus de 5 ans dans le codage et le développement, des projets que j’ai adorés. Mais il ne m’a fallu qu’un jour pour réaliser que j’aimais davantage déconstruire que construire. Mon colloc s’entraînait sur un site qui formait bon nombre de hackers. Ce site déployait volontairement des serveurs pour vous encourager à les pirater et obtenir des points. Il m’a fait découvrir ce site et depuis, c’est exactement ce que je continue de faire”.
Jeremiah Fowler : “Je travaille pour une entreprise dont la brèche impliquait de 15 millions de comptes clients. Ce fut un véritable cauchemar et j’avais à cœur de démêler le pourquoi du comment. J’ai pu identifier la quantité de données impactées et appris tellement que cela a suscité mon intérêt. J’ai donc décidé de poursuivre dans cette voie et suis désormais un security researcher éthique”.
Les hackers éthiques vus par l’entourage
Les hackers éthiques sont souvent incompris, pas uniquement par la société, mais également par leurs proches et leur entourage en raison des idées conçues autour du hacking. Il suffit d’aborder leur métier et l’impact positif qu’ils ont sur les organisations et même les individus pour mettre tout le monde d’accord. Il est d’autant plus important d’insister sur le cadre légal qui régit le hacking éthique, encore inexistant.
Q: Votre famille, vos proches, votre cercle d’amis étaient-ils au courant de votre intérêt pour le hacking ?
Ata Hakçıl : “Oui, y compris ma grand-mère, il m’a fallu du temps pour expliquer que je n’étais pas un criminel”.
Jeremiah Fowler : “Oui, malheureusement, en raison de mes découvertes parues dans la presse et des sites d’actualité mondiaux. Toute ma famille me sollicite pour leur venir en aide s’ils ont un problème informatique, sujets à une attaque de malware ou s’ils ont été victimes d’un piratage”.
Le hacking éthique dans la culture
Lorsque nous avons interrogé les hackers sur les représentations faites des hackers dans le milieu audiovisuel, voici ce que nous a livré Ata :
“Je pense qu’aucune série et aucun film ne représente véritablement les hackers à juste titre, mais là encore, s’asseoir devant son ordinateur trois heures d’affilée à regarder un terminal […] n’est pas franchement palpitant. Mr Robot s’en tire pas trop mal ceci dit”.
La manière dont le hacker est dépeint fait partie de l’un des plus grands stéréotypes présents dans l’univers cinématographique. Hollywood n’a pas toujours été tendre avec les experts en cybersécurité. Un nombre incalculable de films et programmes TV ont contribué à inscrire ces idées reçues dans les mœurs.
Les scènes commencent toujours par un jeune homme (toujours un homme) dans la pénombre d’un sous-sol, en sweat capuche et entouré d’écrans sur fond noir et codes verts. Il tape sur son clavier et pirate le système informatique du gouvernement en quelques minutes.
Ce genre de stéréotypes ont donné une image négative et une connotation illégale au hacking.
Voyons ensemble quelques films et leur manière de représenter les hackers.
Galerie images
Quelles sont les choses à faire et à proscrire dans le hacking éthique ?
Les hackers éthiques ne sont peut-être pas des robins des bois, mais ils ont pour mission de faire d’internet un environnement plus sûr. Mais avant de s’intéresser aux seules compétences d’un hacker, il y a encore certains aspects à ne pas négliger. Mais soyons clairs, malgré la plus noble intention, vous n’êtes jamais à l’abri de basculer du côté obscur si vous ne connaissez pas les choses à faire et à proscrire en toutes circonstances.
Ce qu’il faut faire dans le hacking éthique
Obtenir une autorisation avant de hacker un quelconque système
Demandez toujours une autorisation avant d’entamer le moindre test qui pourrait fortement ressembler à une attaque de force brute ou une attaque DDoS. Si vous ne le faites pas, vous risquez de passer pour un attaquant et traité comme tel. Les entreprises peuvent être équipées de logiciels de détection de tests et vous empêcher de travailler avec eux sur des projets futurs.
Documenter le processus de recherche des vulnérabilités
Fournissez le plus d’informations possible de vos interventions, y compris les vulnérabilités découvertes. Cela vous permettra de mieux préparer votre rapport et les correctifs.
Signaler les faille de manière confidentielle
Soyez respectueux de la confidentialité des systèmes, des utilisateurs et des données. Signalez les problématiques à l’entreprise ou le fournisseur concerné, dans le secret et la confidentialité et accordez-leur le temps nécessaire pour se retourner.
Prêter attention à la communication des rapports de vulnérabilité
Informez toujours l’entreprise en question dès lors que vous trouvez une vulnérabilité et fournissez la marche à suivre. Avant de signaler la moindre chose, vérifiez comment l’entreprise ou l’organisme souhaite recevoir ces rapports. Les entreprises disposent parfois de systèmes dédiés au signalement des bugs pour les partager en toute confidentialité. D’autres préfèrent le recours classique au mail.
Toujours investiguer
Certaines failles demandent une investigation poussée avant quelconque signalement. Si vous signalez quelque chose sans en avoir le cœur net, vous risquez de perdre votre temps et celui de votre client.
Si vous signalez des failles trot tôt, le client pourrait être contrarié et voir vos signalements d’un mauvais œil. Il pourrait également ne pas vous récompenser lorsque vous trouvez finalement une faille exploitable et aurez perdu un temps précieux.
Les entreprises proposent des programmes de Bug Bounty comprenant leur politique de sécurité. Si vous n’êtes là que pour l’argent, lisez bien entre les lignes avant de procéder à quelconque test système ou réseau.
Ce qu’il ne faut pas faire dans le hacking éthique
Ne jamais demander de l’argent trop tôt
Ne demandez pas à être rémunéré avant d’avoir révélé l’information. Ne jamais demander de récompense pécuniaire dès le premier mail est l’une des bases de la négociation. Cette pratique pourrait davantage faire penser à une sorte d’extorsion que du hacking éthique et s’apparente à de la cybercriminalité.
Ne tirez pas de conclusions hâtives
Si un outil vous indique une quelconque information, ne partez pas du principe qu’elle est nécessairement exploitable. C’est d’ailleurs rarement le cas, les outils servent essentiellement d’alertes sur des failles possibles, que vous ne pouvez exploiter que dans certains cas bien précis.
Ne divulguez pas de vulnérabilités trop tôt
Quoi qu’il arrive, ne signalez jamais les problèmes rencontrés publiquement sur des sites tels que Twitter, Facebook, Reddit ou sur les forums. Le seul moyen de la faire est de contacter l’entreprise concernée, de lui exposer la faille de sécurité détectée et de leur indiquer le meilleur moyen de vous contacter en privé.
N’outrepassez jamais le cadre légal
Le hacking éthique et les criminels ne sont pas toujours appréhendés de manière distincte au regard de la loi. Il convient de toujours obtenir une autorisation d’un site ou d’un fournisseur avant de tester leur sécurité.
Le Hacking éthique est-il le futur de la cybersécurité ?
Dans un monde où les cyberattaques et les brèches de données ne cessent d’augmenter, les hackers éthiques jouent un rôle crucial dans l’identification des vulnérabilités et la prévention des menaces futures
Grâce à leurs compétences et de leur expérience en évaluation des systèmes de sécurité informatiques, les security researchers contribuent de manière significative dans la protection des individus et des entreprises des différentes menaces en ligne.
Les entreprises sont souvent la cible de cyberattaques. Ata Hakçıl estime que “les tests de vulnérabilités fréquents et un audit des codes source” sont la clé pour toute entreprise souhaitant préserver la sécurité de ses données. D’où l’importance du rôle de hacker éthique dans le futur de la cybersécurité.
Les individus ont également besoin d’être particulièrement vigilants et d’adopter une certaine cyberhygiène afin de protéger leur présence en ligne. Jeremiah Fowler conseille l’utilisation de VPN. Un VPN c’est quoi ? C’est tout simplement l’outil de sécurité et de confidentialité désormais indispensable en ligne, particulièrement sur les réseaux Wifi publics où il est relativement facile de mettre la main sur vos données et extraire toutes sortes d’informations.
Laisser un commentaire