Il y a dans le monde du piratage informatique, comme dans chaque microcosme, deux catégories de joueurs: le gentil et le méchant. Appelé white hat & black hat dans le milieu du hacking, ce binôme indissociable se livre un combat de longue haleine qui nécessite d’être démystifié afin d’éviter tout amalgame.
Alors que beaucoup de médias et de “légendes urbaines” nous poussent à croire que derrière chaque hacker se cache un vilain personnage, la réalité, elle, est bien différente. Le stéréotype du pirate informatique tel qu’il est fabulé par la société contemporaine est un cliché très réducteur qui mérite d’être démantelé. Non, il n’est pas forcément le geek mal intentionné, perfusé au Red Bull et qui développe ses stratégies et ses malwares reclu dans la pénombre de son appartement.
Si aujourd’hui personne n’a encore réussi à piocher grassement dans votre compte bancaire, c’est peut-être justement parce que des hackers bienveillants assurent la protection de vos données personnelles ainsi que celles de nombreuses compagnies à travers le monde. De même pour votre ordinateur. S’il n’a pas été pris en otage par un ransomware, c’est encore peut-être grâce à ces white hats, des experts en sécurité informatique qui ont opté pour une utilisation éthique du piratage. Bref, des gens bien sous toutes les coutures à qui l’on a confié la mission de contrecarrer les fantasmes un peu trop intrusifs des black hats, leurs semblables en version pas sympa, et dont l’une des finalités absolues serait d’établir un nouveau modèle économique.
Blanc comme noir, les deux s’adonnent à de l’intrusion : comment faire la distinction entre le bon et le mauvais?
Qu’ils opèrent d’un côté comme de l’autre de la barrière, ces soit-disant pirates enfoncent des portes (virtuelles) pour arriver à leurs fins.
Dans le cas du Black hat, son activité favorite est de “bidouiller” programmes, systèmes et serveurs tous ouverts par effraction et d'en extraire des données qu’il ne serait pas censé pouvoir manipuler et dont il va probablement pouvoir tirer profit. Dans le cas du hacker éthique, on voit les choses différemment.
Malgré le fait qu’il subsiste des zones grises lorsque ses actions et intrusions frôlent les limites de la légalité, ses “raids”, toujours autorisés en amont, ont pour but de rendre service à la société et non pas lui nuire. Souvent contractés par une entreprise, certains White hats n’en restent pas là et n’hésitent pas à contribuer à la paix dans le monde via des plateformes de « Bug Bounty ». Ces genres de chasses à la faille système encadrées de A à Z, donc 100% légales, permettent aux entreprises et plateformes (dont Google, Yahoo!, Facebook etc…) de crowdsourcer ou centraliser la recherche de vulnérabilités en échange d’une récompense qui peut être assez conséquente dépendamment de la découverte.
Contrairement au black hat, toujours avide d’exploits illégaux, le white hat combat la “cybercriminalité”. Il aide les victimes en sécurisant leurs systèmes informatiques afin d’éviter, ou du moins de minimiser autant que possible les dégâts causés. La méthodologie appliquée, «apprendre l’attaque pour mieux se défendre», également définie comme «sécurité offensive», consiste à:
- identifier les secteurs de vulnérabilité et les failles possibles,
- parfois laisser agir pour mieux observer,
- et enfin mettre en place la stratégie de protection la plus adaptée.
Ne porte pas ce chapeau blanc qui le souhaite!
Ce statut, approuvé en amont par la communauté, demande cependant une certaine maturité, des qualifications élevées et une expertise collatérale en termes de hacking. En effet, les méthodes et tactiques qui sont utilisées requièrent un niveau de compétences informatiques poussées, notamment lors de l’utilisation d’outils spécifiques, de Frameworks tels que Metasploit, de scanners de vulnérabilité et d’utilisation d’attaque par déni de service.
Dans d’autres cas, le white hat doit être un bon médiateur au sein de son groupe ou de l’entreprise pour laquelle il est mandaté. Il doit agir en tant que conseiller pour aider à contrer des assauts d’ingénierie sociale, une pratique de manipulation psychologique qui a pour but de soutirer à ses victimes des informations sensibles et/ou confidentielles.
Comme vu à la télévision dans la série Mr. Robot par exemple (disponible sur Club illico), des outils comme Social Engineer Toolkit permettent de lancer des attaques d' hameçonnage, à base de faux courriels, de sites Web contrefaits ou de points d’accès sans fils piratés, une véritable plaie.
Comme il est souvent répété dans le domaine, le maillon faible de la sécurité est l’humain en tant que tel. En effet, plus de la moitié des cas d’attaques réussies est liée au facteur social donc soyez vigilant avec les courriels douteux que vous recevez !
Ne donnez jamais, au grand jamais, le numéro de votre carte bancaire ou quelconques autres informations sans avoir préalablement valider l'authenticité de son envoyeur même si l’on vous promet que la survie du monde dépend de vous. Dans 99.67% des cas, ça sera pur mensonge !