DE | FR
Pirate, protection données

Fonctionnant le plus souvent en équipe, les pirates éthiques vont commencer par collecter un maximum d'informations techniques sur le site à attaquer afin d'y dénicher des failles déjà connues. Image: Shutterstock

Il nous pirate, mais c'est
pour la bonne cause

Berne réfléchit à institutionnaliser le piratage éthique, c'est à dire le fait d'attaquer un site non pas avec de mauvaises intentions mais pour détecter les failles. Témoignage d'un hacker blanc.



Il pirate des sites web et il est payé par ses victimes pour ça. Fondateur d'Hacknowledge à Préverenges (VD), Paul Such est ce qu'on appelle un hacker blanc depuis plus de 20 ans. Mais qu'est-ce qu'un pirate éthique au juste? Et comment procède-t-il? Réponse en cinq questions.

Un pirate éthique,
à quoi ça sert?

Un hacker blanc va utiliser les mêmes armes (ou presque, on y revient) qu'un pirate informatique malveillant pour tenter de trouver les failles d'une plateforme digitale. La différence, c'est qu'il le fera dans un contexte légal et à la demande d'une entreprise qui va volontairement soumettre son système à ses attaques.

«Le but, c'est de faire progresser la sécurité de la société qui nous a mandatés. Ils nous demandent de les attaquer parce qu'ils veulent s'assurer qu'ils n'ont pas laissé une porte grande ouverte. La partie la plus importante pour eux et la moins fun pour nous, c'est le rapport et le conseil. Mais, si on ne leur explique pas comment on a fait pour pénétrer leur système, tout le monde a perdu son temps.»

Paul Such

Paul Such

Paul Such, pirate éthique depuis 20 ans et fondateur de l'entreprise spécialisée Hacknowledge. Image: DR

Notre pirate éthique confie que son métier possède un côté grisant. «On est payé pour faire un truc interdit. On a accès à des choses auxquelles on n'est pas censé avoir accès», raconte-t-il tout en précisant que des clauses de confidentialité drastiques sont appliquées dans les contrats.

Qui paye pour
se faire attaquer?

Toutes sortes d'entreprises, de la PME à la multinationale, font appel aux services d'Hacknowledge. Même si Paul Such observe que les sociétés sont souvent actives dans le domaine financier, il assure que les demandes sont très diverses, allant du secteur de la construction à celui de la banque.

«En 20 ans, j'ai eu l'occasion de m'attaquer à tout, de la machine à café aux infrastructures nucléaires»

Paul Such

Les tarifs varient eux aussi fortement. Il faut compter au minimum quelques milliers de francs mais tout va dépendre de la taille du site à attaquer et du nombre de jours que le client voudra accorder aux pirates éthiques pour trouver une faille. «Depuis dix ans, il y a un vrai boom des demandes, les entreprises et les privés ont commencé à prendre conscience de l'importance des problèmes de sécurité», constate le fondateur d'Hacknowledge.

Comment procèdent
les hackers blancs?

Fonctionnant le plus souvent en équipe, les pirates éthiques vont commencer par collecter un maximum d'informations techniques sur le site à attaquer afin d'y dénicher des failles déjà connues. Parallèlement à cela, ils vont tenter d'interagir avec la plateforme partout où ils le peuvent, par exemple dans un formulaire de mot de passe, pour détourner le système à leur avantage.

«Quand vous menez une attaque, il n'y a pas de limites à part votre imagination»

Paul Such

«Une fois qu'on a identifié une vulnérabilité, cela va nous donner accès à un peu plus. Souvent, c'est une succession de petites failles qui, mises bout à bout, font un gros problème», pointe Paul Such. Il précise que dans plus d'un cas sur deux son équipe parvient à se glisser dans le système.

Black hats vs hackers blancs, qui sont les plus forts?

«On a les mêmes compétences qu'un pirate malintentionné mais les entreprises vont nous imposer des contraintes que lui ne devra pas respecter», rappelle Paul Such. Celle qui revient très souvent, c'est l'interdiction d'utiliser les attaques par déni de service, qui vont surcharger un site afin de le rendre indisponible.

D'autres sociétés demandent également aux pirates éthiques de se concentrer sur l'aspect technique de leur plateforme et de ne pas utiliser l'ingénierie sociale (faux emails, faux sites, etc.) pour soutirer des informations à leurs employés. «Malheureusement, c'est encore trop souvent exclu alors que c'est l'un des vecteurs principaux des attaques», constate l'expert.

Berne se penche sur la question

Pourrait-on encourager le piratage éthique au sein de l'administration fédérale? Voilà la question posée à nos Sept sages, sous la forme d'un postulat, par la Conseillère nationale verte libérale Judith Bellaïche. Soutenu par le Conseil fédéral, le texte doit désormais être débattu au Conseil national.

Comment devenir
pirate éthique?

«Le pirate super doué qui se fait attraper et qui devient gentil, c'est un cliché», prévient d'emblée Paul Such. En effet, en plus de solides connaissances en informatique, un casier judiciaire vierge est très fortement recommandé pour travailler dans le domaine.

«Petit, ça m'amusait plus de contourner les protections d'un jeu pour gagner des vies que d'y jouer»

Paul Such

Mais il est tout à fait possible de se former sans franchir la ligne rouge. Plusieurs écoles proposent désormais des formations pour devenir expert en cybersécurité. Notre spécialiste met également en avant les nombreux concours légaux où des entreprises invitent les pirates à trouver des failles dans leur système en échange d'une récompense. En Suisse, il existe deux plateformes principales: Bug Bounty et Yes We Hack.

«Nous sommes en pleine cyberguerre»

Dossier cybersécurité, la fin demain

Les cyberattaques se multiplient à l'échelle mondiale. La Suisse n'y échappe pas et elle manque de spécialistes pour se défendre, selon Lennig Pedron, experte en cybersécurité.

Plus d'articles sur le thème «Suisse»

Le Conseil fédéral étudie un outil de contrôle des imams

Link zum Artikel

Les requérants d'asile seront davantage vidéosurveillés

Link zum Artikel

Personnaliser les affiches de l'OFSP? Oui, mais interdit d'écrire «Trump»!

Link zum Artikel

Voici comment les villes et les cantons romands agissent pour le climat

Link zum Artikel

En Suisse, un assureur propose aux clients de payer leurs primes... en bitcoin

Le roi des cryptomonnaies compte parmi ses rangs un nouvel adepte inédit. En acceptant que ses clients paient leurs primes en bitcoin, la branche suisse d'Axa devient le premier assureur multirisque du pays à franchir le pas. Qu'est-ce que ça signifie?

Le géant des assurances suisses a annoncé la nouvelle jeudi. Une décision inédite dans le pays, en réaction «à la demande croissante des clientes et des clients souhaitant plus de liberté dans le choix des moyens de paiement».

Le porte-monnaie en bitcoin s'est ainsi vu, pour l'assureur, comme une évidence. Rien d'étonnant. La star des cryptomonnaies n'a jamais autant fait parler d'elle que cette année. L'option est ainsi disponible depuis le début du mois d'avril 2021.

C'est la collaboration …

Lire l’article
Link zum Artikel