Trois jours avant, plus près de nous, Pôle emploi a constaté que les données personnelles de millions de demandeurs d’emploi étaient en vente illégale sur le web, suite au piratage d’un de ses fournisseurs.
Le point commun entre ces deux actualités c’est bien évidemment l’importance de la cybersécurité et la menace perpétuelle des hackers pour les entreprises comme les administrations et même les particuliers. Il n’y a certes pas de recette magique pour y faire face. Mais, comme en sport, la meilleure défense c’est parfois l’attaque...
Ces événements soulignent combien la cybercriminalité est devenue une réalité tangible pour toutes les strates de la société. Le sujet n'est plus étranger pour le grand public, les sites d'information couvrant régulièrement des incidents impliquant des attaques informatiques, des logiciels de rançon et des violations de données, qu'elles concernent des individus ou des organisations.
L'émergence du Dark Web couplée à la popularité croissante des monnaies numériques, a ouvert de nouvelles opportunités lucratives pour les acteurs malveillants.
En 2020, l'impact économique de ces activités cybercriminelles a été évalué à près de 1 000 milliards de dollars, soit environ 1 % du produit intérieur brut global.
Il est également important de noter que les victimes ne sont plus uniquement des grandes entreprises ou gouvernements. Les établissements éducatifs, les centres de soins de santé, les administrations, les PME et même les citoyens ordinaires sont désormais dans la ligne de mire.
Les infrastructures industrielles, notamment les systèmes de contrôle et de données acquises (SCADA), ne sont pas épargnées et sont souvent la cible d'attaques ayant des répercussions matérielles graves, telles que des arrêts de production ou des pannes d'électricité.
Les vecteurs d'attaque sont de mieux en mieux compris. Des termes tels que "hameçonnage", "logiciels malveillants" et "logiciels de rançon" sont devenus des éléments du vocabulaire quotidien.
L'avènement du travail à distance, accéléré par la crise sanitaire de la Covid-19, a exacerbé la situation. Le nombre d'incidents cybernétiques a grimpé en flèche, passant de 1 200 en janvier 2020 à 380 000 en avril de la même année, mettant en lumière un déficit flagrant en matière de sensibilisation à la cybersécurité, tant dans le secteur privé que public.
Les outils et services de protection existent et continuent de se multiplier. Mais les cybercriminels ont souvent un temps d’avance. Pour y faire face, certains déploient une stratégie simple mais efficace que l’on pourrait caricaturer par « combattre le feu par le feu ». Ou plutôt combattre le feu AVEC le feu grâce aux... hackers !
Chapeau blanc et noir chapeau
Dévoyé, le terme est connoté négativement. Pourtant, il englobe plusieurs réalités. « Le hacker se définit comme un bidouilleur curieux, et son moteur de réussite reste sa passion, qu’il partage avec les autres membres de la communauté. » peut-on lire dans le livre « Ethical Hacking, Apprendre l’attaque pour mieux se défendre » sorti en 2022 aux Éditions ENI. À l’origine ce n’est donc pas un (cyber)criminel. On trouve d’ailleurs beaucoup de hackers dans les universités à des fins de recherche. Mais depuis, la confusion s’est répandue, pirate et hacker sont des mots souvent considérés comme homonyme.
Pourtant le pirate informatique « chercher à piller un système informatique en détruisant ses protections », alors que le « hacker utilise ses connaissances par envie ou besoin d’en savoir plus ou pour diffuser des informations. Pour les hackers, le savoir et l’information se veulent libres et gratuits. Les hackers se regroupent en communautés basées autour du partage et de l’échange de compétences pour libérer cette culture. Autour de ce concept se sont développés plusieurs mouvements qui, aujourd’hui, ont largement dépassé le stade embryonnaire et se fondent dans notre quotidien » peut-on lire dans l’ouvrage. 
Pour faire face aux nombreuses menaces, les compétences de ces bidouilleurs sont devenues très recherchés, notamment pour se mettre dans la peau de « l’attaquant ». C’est ainsi qu’est apparu ce terme « Ethical Hacking » ou Hacking éthique dans la presque langue de Molière. Ce profil a été nommé White Hat (chapeau blanc) avec l’ambition, ici, d’aider à la sécurisation des systèmes sans en tirer profit illégalement. Challenges type bug bounty ou Capture the flag, plateformes communautaires, les outils pour les repérer ne manquent pas.
Ce terme est en opposition avec celui de Black Hat (chapeau noir) qui correspond à la caricature médiatique du hacker.
Mais si notre société aime les opposés, ce panorama manichéen n’est pas tout à fait exact puisque l’on compte également d’autres catégories, comme les Grey Hats (chapeau gris), qui n’ont pas forcément de mauvaises intentions mais parfois des méthodes au-delà des limites.
« Beaucoup de hackers qui se disent white hats s’apparentent en réalité plus à des grey hats, dans le sens où ils divulguent des failles aussitôt qu’elles ont été découvertes, sans prévenir ou laisser le temps nécessaire au responsable pour corriger le problème, ce qui peut nuire gravement au système ciblé indirectement » expliquent les auteurs du livre.
Ils n’en oublient pas les « script kiddies », qui profitent des failles découvertes et disponibles (parfois contre de l’argent sur le Darknet) sur le Web pour provoquer des attaques sans souvent guère d’autre but que la simple vantardise. Souvent jeunes et très peu techniques, ces profils inquiètent car ils se multiplient. Évidemment, leurs méthodes font qu’ils sont rejetés par la « communauté » des hackers.
Dans le webinaire proposé ci-dessous, les auteurs du livre « Ethical Hacking : Apprendre l'attaque pour mieux se défendre », publié chez Editions ENI, abordent le sujet du hacking éthique.
Qui sont les acteurs de la cybersécurité ? Quels sont les principaux types d’attaque ? Comment se défendre ? À travers des exemples concrets, ils nous livrent leurs conseils & bonnes pratiques.
C’est dans ce monde plus complexe des hackers, et particulièrement dans celui de l’Ethical Hacking que se trouve une partie des solutions pour faire face au piratage.
Même si une organisation dispose d'un Responsable de la Sécurité des Systèmes d'Information (RSSI) compétent, l'engagement d'un expert externe en cybersécurité pour évaluer le réseau et l'infrastructure informatique dans un contexte d'attaque simulée peut s'avérer judicieux. Cette démarche permet d'identifier les points forts et les vulnérabilités qui nécessitent des ajustements. Dans ce scénario, l'expert externe peut collaborer étroitement avec le RSSI pour une évaluation complète.
Ces experts sont souvent des hackers éthiques certifiés, habilités à effectuer des tests d'intrusion. Ils ont la capacité d'évaluer la robustesse d'une architecture informatique à un moment donné. En tant que spécialistes aguerris en matière de cybersécurité, ils maîtrisent les techniques pour contourner et stresser les mécanismes de sécurité d'un système.
Un expert externe fiable peut simuler les actions d'un acteur malveillant doté de compétences avancées, en mettant le système à l'épreuve dans des conditions hostiles. Ce processus permet de vérifier si les données sont effectivement sécurisées. Si des vulnérabilités ou des erreurs de configuration sont découvertes, l'expert aidera non seulement à les identifier mais aussi à apporter les corrections nécessaires.
Rien ne prouve que la police londonienne ou encore Pôle Emploi n’ont pas testé cette méthode. Légitimement, peu d’entités communiquent sur le sujet. Pourtant, diffuser la pratique au plus grand nombre est primordial pour ne pas rester à quai... Des hackers éthiques aux ingénieurs, en passant par les avocats et les journalistes, la collaboration entre les experts est essentielle.
Consulter gratuitement des extraits en ligne et commander
Et vous ?
Quel est votre avis sur l'Ethical hacking ?
Voir aussi :
La Belgique adopte une loi qui autorise les hackeurs éthiques à pirater les entreprises belges pour détecter des vulnérabilités, et met en place des règles strictes pour encadrer leurs actions
Les hackers éthiques détectent une vulnérabilité logicielle toutes les 2,5 minutes, selon HackerOne
55 % des hackers estiment que l'IA sera meilleure que le hacker moyen d'ici cinq ans, alors que 72 % pensent que l'IA générative ne sera pas en mesure de reproduire la créativité des hackers humains