IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Ethical hacking : apprendre l'attaque pour mieux se défendre
Alors que l'impact économique des activités cybercriminelles a été évalué annuellement à 1 000 milliards $

Le , par Sandra Coret

62PARTAGES

6  0 
« Des mesures de sécurité ont été prises… à la suite de ce rapport ». Le communiqué de la police métropolitaine de Londres, piratée au mois d’août 2023 a de quoi interroger.

Trois jours avant, plus près de nous, Pôle emploi a constaté que les données personnelles de millions de demandeurs d’emploi étaient en vente illégale sur le web, suite au piratage d’un de ses fournisseurs.

Le point commun entre ces deux actualités c’est bien évidemment l’importance de la cybersécurité et la menace perpétuelle des hackers pour les entreprises comme les administrations et même les particuliers. Il n’y a certes pas de recette magique pour y faire face. Mais, comme en sport, la meilleure défense c’est parfois l’attaque...

Ces événements soulignent combien la cybercriminalité est devenue une réalité tangible pour toutes les strates de la société. Le sujet n'est plus étranger pour le grand public, les sites d'information couvrant régulièrement des incidents impliquant des attaques informatiques, des logiciels de rançon et des violations de données, qu'elles concernent des individus ou des organisations.

L'émergence du Dark Web couplée à la popularité croissante des monnaies numériques, a ouvert de nouvelles opportunités lucratives pour les acteurs malveillants.

En 2020, l'impact économique de ces activités cybercriminelles a été évalué à près de 1 000 milliards de dollars, soit environ 1 % du produit intérieur brut global.

Il est également important de noter que les victimes ne sont plus uniquement des grandes entreprises ou gouvernements. Les établissements éducatifs, les centres de soins de santé, les administrations, les PME et même les citoyens ordinaires sont désormais dans la ligne de mire.

Les infrastructures industrielles, notamment les systèmes de contrôle et de données acquises (SCADA), ne sont pas épargnées et sont souvent la cible d'attaques ayant des répercussions matérielles graves, telles que des arrêts de production ou des pannes d'électricité.

Les vecteurs d'attaque sont de mieux en mieux compris. Des termes tels que "hameçonnage", "logiciels malveillants" et "logiciels de rançon" sont devenus des éléments du vocabulaire quotidien.

L'avènement du travail à distance, accéléré par la crise sanitaire de la Covid-19, a exacerbé la situation. Le nombre d'incidents cybernétiques a grimpé en flèche, passant de 1 200 en janvier 2020 à 380 000 en avril de la même année, mettant en lumière un déficit flagrant en matière de sensibilisation à la cybersécurité, tant dans le secteur privé que public.

Les outils et services de protection existent et continuent de se multiplier. Mais les cybercriminels ont souvent un temps d’avance. Pour y faire face, certains déploient une stratégie simple mais efficace que l’on pourrait caricaturer par « combattre le feu par le feu ». Ou plutôt combattre le feu AVEC le feu grâce aux... hackers !

Chapeau blanc et noir chapeau

Dévoyé, le terme est connoté négativement. Pourtant, il englobe plusieurs réalités. « Le hacker se définit comme un bidouilleur curieux, et son moteur de réussite reste sa passion, qu’il partage avec les autres membres de la communauté. » peut-on lire dans le livre « Ethical Hacking, Apprendre l’attaque pour mieux se défendre » sorti en 2022 aux Éditions ENI. À l’origine ce n’est donc pas un (cyber)criminel. On trouve d’ailleurs beaucoup de hackers dans les universités à des fins de recherche. Mais depuis, la confusion s’est répandue, pirate et hacker sont des mots souvent considérés comme homonyme.

Pourtant le pirate informatique « chercher à piller un système informatique en détruisant ses protections », alors que le « hacker utilise ses connaissances par envie ou besoin d’en savoir plus ou pour diffuser des informations. Pour les hackers, le savoir et l’information se veulent libres et gratuits. Les hackers se regroupent en communautés basées autour du partage et de l’échange de compétences pour libérer cette culture. Autour de ce concept se sont développés plusieurs mouvements qui, aujourd’hui, ont largement dépassé le stade embryonnaire et se fondent dans notre quotidien » peut-on lire dans l’ouvrage. 

Pour faire face aux nombreuses menaces, les compétences de ces bidouilleurs sont devenues très recherchés, notamment pour se mettre dans la peau de « l’attaquant ». C’est ainsi qu’est apparu ce terme « Ethical Hacking » ou Hacking éthique dans la presque langue de Molière. Ce profil a été nommé White Hat (chapeau blanc) avec l’ambition, ici, d’aider à la sécurisation des systèmes sans en tirer profit illégalement. Challenges type bug bounty ou Capture the flag, plateformes communautaires, les outils pour les repérer ne manquent pas.

Ce terme est en opposition avec celui de Black Hat (chapeau noir) qui correspond à la caricature médiatique du hacker.

Mais si notre société aime les opposés, ce panorama manichéen n’est pas tout à fait exact puisque l’on compte également d’autres catégories, comme les Grey Hats (chapeau gris), qui n’ont pas forcément de mauvaises intentions mais parfois des méthodes au-delà des limites.

« Beaucoup de hackers qui se disent white hats s’apparentent en réalité plus à des grey hats, dans le sens où ils divulguent des failles aussitôt qu’elles ont été découvertes, sans prévenir ou laisser le temps nécessaire au responsable pour corriger le problème, ce qui peut nuire gravement au système ciblé indirectement » expliquent les auteurs du livre.

Ils n’en oublient pas les « script kiddies », qui profitent des failles découvertes et disponibles (parfois contre de l’argent sur le Darknet) sur le Web pour provoquer des attaques sans souvent guère d’autre but que la simple vantardise. Souvent jeunes et très peu techniques, ces profils inquiètent car ils se multiplient. Évidemment, leurs méthodes font qu’ils sont rejetés par la « communauté » des hackers.

Dans le webinaire proposé ci-dessous, les auteurs du livre « Ethical Hacking : Apprendre l'attaque pour mieux se défendre », publié chez Editions ENI, abordent le sujet du hacking éthique.

Qui sont les acteurs de la cybersécurité ? Quels sont les principaux types d’attaque ? Comment se défendre ? À travers des exemples concrets, ils nous livrent leurs conseils & bonnes pratiques.


C’est dans ce monde plus complexe des hackers, et particulièrement dans celui de l’Ethical Hacking que se trouve une partie des solutions pour faire face au piratage.

Même si une organisation dispose d'un Responsable de la Sécurité des Systèmes d'Information (RSSI) compétent, l'engagement d'un expert externe en cybersécurité pour évaluer le réseau et l'infrastructure informatique dans un contexte d'attaque simulée peut s'avérer judicieux. Cette démarche permet d'identifier les points forts et les vulnérabilités qui nécessitent des ajustements. Dans ce scénario, l'expert externe peut collaborer étroitement avec le RSSI pour une évaluation complète.

Ces experts sont souvent des hackers éthiques certifiés, habilités à effectuer des tests d'intrusion. Ils ont la capacité d'évaluer la robustesse d'une architecture informatique à un moment donné. En tant que spécialistes aguerris en matière de cybersécurité, ils maîtrisent les techniques pour contourner et stresser les mécanismes de sécurité d'un système.

Un expert externe fiable peut simuler les actions d'un acteur malveillant doté de compétences avancées, en mettant le système à l'épreuve dans des conditions hostiles. Ce processus permet de vérifier si les données sont effectivement sécurisées. Si des vulnérabilités ou des erreurs de configuration sont découvertes, l'expert aidera non seulement à les identifier mais aussi à apporter les corrections nécessaires.

Rien ne prouve que la police londonienne ou encore Pôle Emploi n’ont pas testé cette méthode. Légitimement, peu d’entités communiquent sur le sujet. Pourtant, diffuser la pratique au plus grand nombre est primordial pour ne pas rester à quai... Des hackers éthiques aux ingénieurs, en passant par les avocats et les journalistes, la collaboration entre les experts est essentielle.


Consulter gratuitement des extraits en ligne et commander

Et vous ?

Quel est votre avis sur l'Ethical hacking ?

Voir aussi :

La Belgique adopte une loi qui autorise les hackeurs éthiques à pirater les entreprises belges pour détecter des vulnérabilités, et met en place des règles strictes pour encadrer leurs actions

Les hackers éthiques détectent une vulnérabilité logicielle toutes les 2,5 minutes, selon HackerOne

55 % des hackers estiment que l'IA sera meilleure que le hacker moyen d'ici cinq ans, alors que 72 % pensent que l'IA générative ne sera pas en mesure de reproduire la créativité des hackers humains

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de marsupial
Expert éminent https://www.developpez.com
Le 12/09/2023 à 12:05
Quel est votre avis sur l'Ethical hacking ?
Activité éminemment névralgique au temps de la transformation numérique, l'ethical hacking a un domaine étendu qui va de la découverte de failles au rapport d'attaque.

Les tchèques sont les meilleurs en défense au sein de l'OTAN. Ils n'ont été détrônés qu'une seule fois par les français en 2018.

A date, chinois comme américains ou encore israéliens, mais certainement russes ou encore plus nord-coréens ou iraniens, font de la découverte de failles à des fins de cyberguerre ou d'espionnage. Le hacker éthique devient alors encore plus important pour éviter cette situation où les états mènent des actions de plus en plus négatives en mettant au jour les brèches dans les systèmes avant les nations. Le hacker éthique devient alors l'ange gardien par excellence de nos libertés.

Cela demande un état d'esprit différent pouvant tout remettre en cause techniquement parlant. Il n'est malheureusement généralement pas suivi dans ses directives. Très écouté mais pas suivi dans l'action. Lors de ma carrière, j'ai pu évaluer les plus attentifs en défense, et je mettrai sur un pied d'égalité dans le degré de volonté de se défendre les chinois, les américains et les russes, impliqués qu'ils sont dans la cyberguerre. Mais ceux qui investissent le plus de moyens relativement récemment sont les américains.
6  0 
Avatar de oniriabot
Futur Membre du Club https://www.developpez.com
Le 12/10/2023 à 15:55
Je l'ai acheté, il est vraiment très bien car il présente de manière claire différents aspects du hacking. Par contre, pour débuter, je conseille plus Webgoat qui permet d'apprendre les techniques web de manière progressive...
2  0