Un hacker qui vous veut du bien, ça existe ! On l’appelle le hackeur éthique, ou le hacker au chapeau blanc, et plus couramment, on lui attribue ce nom en anglais qui donne donc White Hat Hacker.
Hacker éthique : définition
Il s’agit d’un expert en sécurité informatique qui utilise ses capacités à des fins honnêtes et éthiques, et qui, de façon un peu caricaturale, est du côté de la justice.
Ce profil de hacker peut être recruté en interne, et peut aussi être mandaté par des entreprises pour tester la sécurité de leur réseau, de leurs applications web ou de tout hardware connecté, plus largement appelé IoT (Internet of Things).
Le rôle d’un hacker éthique est de trouver des vulnérabilités dans les systèmes informatisés d’une organisation qu’un hacker malveillant appelé Black Hat Hacker ou qu’une organisation de hackers malveillants adverse pourrait exploiter pour compromettre le système d’information d’une organisation.
Le white hat hacker utilise ses connaissances pour compromettre lui-même les systèmes de l’organisation, comme un black hat hacker l’aurait fait, à la différence que le hacker éthique à l’autorisation de l’organisation pour mener ces tests d’intrusion.
Ce contrat passé entre l’organisation est le hacker éthique s’appelle le mandat d’intrusion. Ce n’est qu’avec ce mandat que le hacker éthique sera autorisé à faire des tests d’intrusion. Sans ce mandat, tout hacker est considéré comme un cyberattaquant, dont le but est donc de nuire à l’organisation.
La dimension éthique réside donc dans le fait que, au lieu d’utiliser ses découvertes pour son propre intérêt et/ou à des fins malveillantes, le white hat hacker proposera à son employeur ou à l’organisation qui l’a mandaté, un plan d’action pour remédier aux failles détectées.
Le pirate éthique peut être interne à une organisation, ou externe à celle-ci, mais il sera mandaté dans les deux cas.
Le hacker éthique interne à l’organisation :
Il peut être tenu d’avoir une connaissance intime d’un seul type de logiciel ou d’actif numérique pour se spécialiser sur un type d’intrusion spécifique, ou bien un seul type de dispositif ou de réseau à pirater.
Le hacker éthique externe à l’organisation :
Il présente une différence majeure de celui en interne, puisqu’il ne connait rien de l’organisation ou presque, et va donc pouvoir se mettre à 100% dans la peau d’un Black Hat Hacker, comme dans une situation réelle.
Quelles sont les compétences d’un hacker éthique ?
Le hacker éthique est un spécialiste des services de cybersécurité offensifs simulés.
- Il doit maîtriser les systèmes d’exploitation (Windows et Linux),
- Il doit comprendre les réseaux câblés et sans fils, et leurs infrastructures,
- Il doit comprendre les pare-feu et les systèmes de fichiers,
- Il doit savoir comment fonctionnent les autorisations de fichiers,
- Il doit avoir de solides compétences en codage,
- Il doit être familiarisé avec les serveurs, les postes de travail et l’informatique en général,
- Il doit connaître les différentes méthodes d’attaque, automatiques et manuelles
- Il doit connaître Ies outils d’attaque.
Savoir comment attaquer un système d’information est un prérequis pour accéder à ce type d’emploi. Il est même souvent évoqué le fait que, pour se protéger d’un hacker malveillant, il faut essayer de le comprendre en se mettant dans sa peau, pour mieux simuler les types d’attaques auxquelles il pourrait penser. Pour se mettre au mieux dans sa position, il faut être capable de réfléchir à sa place, et de faire des attaques sur le système à défendre avec le même savoir-faire, les mêmes connaissances des outils et des méthodes d’attaque.
Comme les techniques de piratages informatiques évoluent, le hacker éthique doit être en mesure d’actualiser ses connaissances et ses compétence sur ces nouvelles menaces et ces nouvelles pratiques. Il est essentiel qu’il fasse une veille permanente sur les cybermenaces qui se répandent sur le net, dans le monde entier. Il doit être en mesure de fournir un regard neuf sur les différents types d’intrusion et d’agression en ligne pour pouvoir s’en défendre au mieux.
Il doit être éthique dans sa définition la plus stricte et précise.
En vous rendant sur le net, vous trouverez quelques histoires de Black Hat devenus White Hat, lors de l’apparition de ce nouveau rôle bienveillant chez les pirates. Bien que les compétences techniques puissent être similaires, des antécédents de cybercriminel sont éliminatoires pour devenir un hacher éthique.
Parmi ces hackers éthiques, on retrouve donc différents rôles, et mêmes, différentes équipes :
La Red Team, une équipe de testeurs d’intrusion
L’équipe rouge fournit des services de sécurité offensifs en imitant le rôle d’un cyber attaquant.
Il est courant que cette équipe rouge soit une équipe externe à l’organisation qui les mandate pour imiter au mieux une attaque venue de l’extérieure, sans connaissance préalable du système de sécurité mis en place. Les types d’attaques qui peuvent être mis en place par l’équipe rouge sont nombreux. Ils consistent à exploiter les vulnérabilités « usuelles » et des attaques plus complexes comme l’ingénierie sociale, plus couramment appelé Social Engineering, ou encore piratage psychologique.
La Blue Team, une équipe pour l’amélioration de la défense
L’équipe bleue fournit donc des services de sécurité défensifs. Contrairement à l’équipe rouge, l’équipe bleue est déjà informée du système de défense en place dans l’organisation. Elle analyse en continue les activités inhabituelles dans le système informatisé avec des système d’audit de sécurité, d’analyse de logs ou encore, en élaborant des scénarios à risque.
C’est un travail qui comprend énormément de minutie, pour ne pas passer à côté d’un bout de code inhabituel ou étranger par exemple.
La Purple Team, l’union entre Red Team et Blue Team
Combinaison du rouge et du bleu, l’équipe violette identifie les équipes qui fournissent une partie de chaque type de service de sécurité, rouge et bleu. C’est en réalité un travail conjoint des deux équipes et une coopération visant à renforcer les connaissances en attaques cyber d’une part, et en défense cyber d’une autre.
Comment devenir hacker éthique ?
Historiquement, le hacker éthique était un autodidacte qui agissait seul et sans avoir suivi de formation particulière. Le hacker éthique d’hier était plutôt un Grey Hat Hacker, qui agissait pour le bien d’une ou plusieurs organisation en piratant leur système sans autorisation préalable et sans mandat d’intrusion, mais en informant l’organisation concernée des failles de sécurité existantes dans leur système d’information ou dans leur réseau.
Aux États-Unis, il est courant que des hackers autodidactes qui se revendiquent White Hat soient embauchés à la suite de résolution de bugs via des plateformes de bug bounty par les entreprises victimes de ces « bugs » qui présentent des failles de sécurité dans leur système informatisé. C’est par exemple le cas pour des entreprises comme Facebook ou encore Google.
En France, les hackers éthiques sont pour la plupart d’entre eux déjà experts en systèmes d’information ou des experts en sécurité des réseaux. Ils sont très souvent formés en cybersécurité et sensibilisés en cybercriminalité dans un second temps. Il s’agit donc dans la grande majeure partie des cas d’une évolution de poste plutôt que d’un changement de fonction.
Le script kiddie, ou la définition d’un hacker amateur
N’est pas hacker éthique qui veut ! Le script kiddie (en français gamin à script) appelé aussi lamer (signifiant « faible » ou « boiteux » en anglais), est un terme péjoratif qui désigne des néophytes en informatique, qui tentent par n’importe quel moyen d’infiltrer des systèmes, en étant dépourvus de compétences en sécurité informatique.
Le script kiddie est le type de profil qui se sert de programmes simples, voir déjà conçus par d’autres hackers expérimentés, mais qu’ils ne comprennent pas, et qui revendiquent des attaques d’envergure pour se donner de la légitimité.
Malgré leur faible niveau de qualification, les script kiddies peuvent représenter une menace réelle pour la sécurité des systèmes. D’une part, parce que les script kiddies sont très nombreux, et d’autre part, parce qu’ils sont souvent très obstinés à mener à bien leur action, au point de passer parfois plusieurs jours à tenter plusieurs attaques différentes pour y parvenir.
Cependant, avec leur manque de connaissances et de compétences, les script kiddies prennent peu de précautions lorsqu’ils agissent. Ils font des erreurs assez basiques qui les rendent faciles à identifier, et donc à pirater.
Aujourd’hui, le point de départ pour devenir hacker éthique est avant tout la formation, et peut être renforcé en obtenant une ou plusieurs certifications.
Quelle formation suivre pour devenir hackeur éthique ?
Quelle formation suivre pour devenir hackeur éthique ?
Pour devenir hacker éthique, il faut en toute logique posséder un bon niveau en informatique, et également une spécialisation en cybersécurité.
Pour cela, il est possible de suivre une formation à un niveau Bac +3, ou de poursuivre jusqu’à Bac +5, et au-delà.
Il est possible de suivre ce type de formation à l’université, en école d’ingénieur ou encore en école spécialisée en se positionnant sur une filière en cybersécurité.
Par la suite, il est tout à fait possible de devenir un hacker éthique indépendant, ou de faire partie d’une organisation.
Quelles certifications pour devenir Hacker Ethique ?
En effet, il existe des certifications spécifiques au piratage éthique. Deux des plus célèbres à travers le monde sont la certification CEH – Certified Ethical Hacker et la certification OSCP – Offensive Security Certified Professional.
- Le certification Certified Ethical Hacker (CEH)
Cette certification CEH a été revue récemment pour en proposer une 11ème version complète et actualisée.
Reconnue mondialement par les professionnels de la sécurité et conforme la norme ANSI 17024, la certification CEH représente est une réelle valeur ajoutée à votre CV et à votre parcours professionnel dans le monde de la cybersécurité, du test d’intrusion et plus particulièrement dans le monde du piratage éthique.
Cette formation s’achève par un examen qui est un questionnaire à choix multiples d’une durée de 4h.
- La certification Offensive Security Certified Professional (OSCP)
La certification OSCP est conçue pour démontrer les compétences et les connaissances nécessaires pour être un testeur d’intrusion. Cette certification est donc faite pour vous si vous souhaitez construire votre carrière dans la cybersécurité.
Si vous désirez en savoir plus sur les techniques défensives et offensives en matière de test d’intrusion, alors vous devriez envisager d’obtenir la certification pour devenir professionnel certifié en sécurité offensive (OSCP).
Contrairement à la certification CEH, l’OSCP n’est pas un examen de type QCM. Il s’agit ici de mettre en pratique ses connaissances avec un LAB à distance, qui évaluera vos compétences techniques ainsi que la qualité de votre reporting.
Intéressé par une formation ou par une certification en cybersécurité ?
Rendez-vous sur la rubrique « Cybersécurité » de Numeryx Université pour découvrir 13 formations en Cybersécurité, en présentiel ou à distance
Quelles sont les missions du hacker éthique ?
Le hacker éthique contourne les règles de sécurité de l’organisation qui la mandaté. Il organise une attaque informatique ou une série d’attaques, afin de détecter des brèches dans le système d’information de l’organisation, puis les notifient à l’organisation pour pouvoir ensuite y remédier.
Dans son scope, le hacher éthique ne va pas seulement faire des tests de vulnérabilités (activité du Pentester), mais il va aussi conduire d’autres travaux, dont les principaux sont les suivants :
Les tests d’intrusions et de régression
Il existe en effet une batterie de tests à effectuer, dont ceux mentionnés dans la liste non exhaustive suivante :
- Les tests d’intrusion du réseau externe,
- Les tests d’intrusion du réseau interne,
- Les tests d’intrusion applicatifs web,
- Les tests d’intrusion applicatifs mobiles,
- Les tests d’intrusion du réseau sans fil,
- Les tests de régression,
- Les tests d’appareils embarqués couramment appelés en anglais « embedded devices »,
L’Identification de mauvaises configurations de sécurité
Pour réduire les risques d’attaques sur leur réseau, les entreprises sont tenues de suivre des règles de sécurité selon leur secteur d’activité, et dans la mesure du possible, de les appliquer.
Cependant, il n’est pas rare que ces procédures ne soient pas correctement appliquées, ce qui offre aux hackers malveillants des possibilités de repérer des failles de sécurité, et de les exploiter. En ligne de mire, on retrouve la perte de données sensibles et/ou stratégiques par vol, par effacement ou en la rendant inaccessible via un rançongiciel, et bien d’autres menaces encore. Les hackers éthiques doivent donc vérifier si ces mesures de sécurité sont bien respectées, en faisant un état des lieux :
- Est-ce qu’il existe un chiffrement et des documents et des répertoires ?
- Les applications web mal configurées, les appareils non sécurisés ?
- La conservation des identifiants par défaut est-elle toujours en place et systématisée ?
- L’utilisation de mots de passe faibles est-elle persistante ?
Cela peut paraitre basique, et pourtant, ces quelques points cités ci-avant sont des cas très répandus dans le monde de l’entreprise et constituent un grand nombre de brèches de sécurité informatique, toutes aussi simples à résoudre que dangereuses pour une organisation.
La mise en place de scans de vulnérabilités
La première étape pour le hacker éthique va être la cartographie de tous les réseaux de l’entreprise, dans l’optique de les classer par importance. Cette cartographie du réseau est une nécessité pour découvrir de nouveaux périphériques et de nouvelles interfaces réseau, pour en visualiser la connectivité du réseau physique et celle du réseau virtuel.
La cartographie du réseau offre donc une visibilité complète de l’infrastructure informatique d’une société pour identifier quels sont les parties de ce réseau à sécuriser en priorité, en fonction de la valeur et du volume d’information.
En ce qui concerne les scans de vulnérabilités, ils permettent aux entreprises de vérifier la conformité de leurs réseaux et systèmes de sécurité. Des outils d’analyse des vulnérabilités localiseront avec précision les failles de sécurité qui peuvent être dangereuses pour les systèmes en cas d’attaque.
L’empêchement de l’exposition de données sensibles
En cas de pertes de données sensibles ou confidentielles, les entreprises s’exposent à des sanctions financières pour non-respect de la vie privée en plus des pertes de revenus engendrées par ces pertes de données, en addition des autres préjudices que ça lui occasionne (perte de confiance des clients et des utilisateurs finaux, des actionnaires etc.).
Pour se protéger de cette éventuelle perte de données sensibles, les hackers éthiques réalisent des tests d’intrusion afin d’identifier ces types de failles pour déterminer les vulnérabilités du système d’information, et de documenter le mode opératoire d’éventuelles attaques.
La vérification des failles d’authentification
En compromettant l’authentification du site web d’une organisation, des attaquants peuvent récupérer de nombreuses données comme des mots de passe, des cookies, ou encore des informations liées à des comptes utilisateurs. Ces informations peuvent leur servir ultérieurement à prendre une fausse identité des employés, ou encore, à accéder à des niveaux d’informations plus sensibles voir mêmes confidentielles.
La mission du hacker éthique dans ce cas, est de vérifier la gestion des systèmes d’authentification, et de suggérer des mesures de sécurité à mettre en place afin de protéger l’organisation.
Il existe bien entendu de nombreuses autres missions pour le hacker éthique, comme :
- Les évaluations de systèmes centraux et d’applications centrales appelés couramment en anglais « mainframe systems or applications »,
- L’évaluation du programme de sécurité applicative,
- La revue de la sécurité du code.
Vous vous demanderez peut-être quel est le niveau de rémunération d’un hacker éthique pour tous ces bons et loyaux services ?
Quel est le salaire d’un hacker éthique ?
En moyenne, un hacker éthique débutant qui exerce en France touchera 4 000 euros bruts par mois contre 7 500 euros bruts pour un profil sénior. De plus en plus de professionnels sont également rémunérés sous forme de récompenses à la résolution d’un bug grâce aux plateformes de bug bounty.
Quelle différence entre Black Hat Hacker et White Hat Hacker ?
Si la frontière peut être mince sur le plan technique, elle est immense sur le plan moral !
Le white hat hacker dit Hacker éthique est comme son nom l’indique, du bon côté de la barrière.
Il agit uniquement en connaissance de cause d’une organisation qui la mandaté pour tester la vulnérabilité de son système informatique, afin d’en faire un compte rendu et de prendre des mesures efficaces pour renforcer ce système informatisé et pallier aux failles qui auront été détectées. Ces tests d’intrusion et ces méthodes n’auront donc pas pour but de nuire à l’organisation, mais uniquement pour le renforcer.
Le Black Hat Hacker ne demande pas l’autorisation à qui que ce soit pour introduire un système informatisé. Il a l’intention de nuire, de détruire ou de voler des données.
Enfin, comme tout n’est pas tout blanc ou tout noir, il y existe un profil à cheval entre ces deux mondes que l’on appelle Grey Hat Hacker. Il peut s’introduire sans prévenir dans un système et en chercher des failles sans en avoir reçu la permission au préalable, comme un black hat, mais à la différence qu’il pourra ensuite remonter à l’organisation hackée les défauts de sécurité (contre une certaine somme d’argent, ou pas).