programmes bug bounty

Hackers mal ou bien intentionnés : les « Black Hats » et les « White Hats » du piratage informatique

Rémunérer les chasseurs de bugs peut-il encourager les hackers à devenir éthiques ?

Autrefois, le piratage informatique était considéré comme le passe-temps de geeks enfermés dans des sous-sols. Les premiers hackings ont souvent été motivés par des égo-trips, pour montrer au monde qu’un pirate était un programmeur hautement compétent, capable d’esquiver des défenses informatiques. Les premiers hackers ont même formé des clubs, comme le Chaos Computer Club fondé en 1981 en Allemagne

Au fur et à mesure que l’informatique a progressé et qu’Internet a réuni des systèmes disparates, des éléments criminels ont repéré l’opportunité financière qu’offrait le piratage d’ordinateurs et de systèmes IT. Le développement du hacking s’est alors divisé en deux catégories : « Black Hat » et « White Hat », littéralement « Bonnet Noir » et « Bonnet Blanc ».

A VOIR : [INFOGRAPHIE] Comment protéger son SI face à des cyber menaces toujours plus diverses ?

« Black Hat » ou « White Hat », quel est votre camp ?

Voici les deux principales approches de piratage informatique :

Les hackers « Black Hat » : Ce sont les hackers mal intentionnés qui utilisent des techniques de piratage pour pénétrer dans les systèmes informatiques afin de nuire. Leurs motivations vont du gain financier à l’exposition d’information, jusqu’à l’endommagement direct de ressources.

Les hackers « White Hat » : Ce sont les hackers bien intentionnés. Ils utilisent des techniques de hacking pour détecter des failles de sécurité au sein d’un système informatique. En règle générale, un test de pénétration est effectué par un pirate « White Hat ». Les tests de pénétration recherchent les points faibles d’un système, y compris ceux menacés par des méthodes de piratage psychologique. Le hacking d’un « White Hat » présente à bien des égards un défi beaucoup plus poussé que celui d’un « Black Hat », car il tente de devancer les autres hackers et examine la psychologie du piratage ainsi que ses aspects techniques.

Les hackers « Grey Hat » ne sont pas des professionnels comme les hackers « White Hat ». Ils ne sont cependant pas intentionnellement malveillants comme les « Black Hats ». Ils sont généralement motivés par le repérage d’une faille de logiciel, pour attirer l’attention de son fournisseur. Contrairement à un « White Hat », le « Grey Hat » aura tendance à agir publiquement, plutôt qu’en privé, ce qui laisse la faille de sécurité ouverte aux « Black Hats ».

Des chasseurs de prime éthiques des temps modernes

Une version publique du hacker « White Hat » se retrouve sous la forme du chasseur de « Bug Bounty », rémunéré s’il trouve des bugs informatiques. Le piratage étant devenu répandu, les applications Web sont à présent particulièrement omniprésentes et riches en fonctionnalités. Maintenir la sécurité et éviter des problèmes potentiels reste une tâche très exigeante pour de nombreux fournisseurs. D’où le développement de programmes « Bug Bounty », où les membres du grand public sont invités à agir comme des hackers « White Hats », et à trouver des brèches et des failles de sécurité dans les logiciels – souvent en contrepartie de gros avantages financiers.

L’origine de l’initiative « Bounty » revient à l’ingénieur Jarrett Ridlinghafer, de chez Netscape. L’idée, publiée le 10 octobre 1995, était d’offrir des récompenses pour tester Netscape Navigator 2.0 beta. Depuis, il y a eu plusieurs programmes « Bug Bounty », notamment :

  • Google, qui est entré dans la partie en 2010 avec son Vulnerability Rewards Program (Programme de Récompenses des Failles), incluant Google, YouTube et Blogger. Les récompenses pour les bugs éligibles vont de 100 $ à 31 337 $.
  • Facebook a publié en 2011 son Facebook Whitehat Program. Il englobe l’ensemble des nombreux produits sous l’égide de Facebook. Les récompenses varient, mais Facebook a déjà payé plus de 1 million de dollars aux hackers « White Hats ».
  • Microsoft a lancé en 2015 son propre programme Bug Bounty. Il offre des récompenses allant jusqu’à 100 000 $ s’il est également informé sur la manière de se défendre contre la faille détectée.

Beaucoup d’entreprises rémunèrent la détection de leurs brèches de sécurité, et effectuent des essais via des programmes « Bug Bounty ». Hackerone a dressé une liste exhaustive de ces programmes.

Un piratage « Black Hat » rendu plus facile

Jusqu’à récemment, devenir pirate informatique concernait surtout des programmeurs de logiciels qualifiés. Tout cela a changé, puisque le modèle de  « Software-as-a-Service » (SaaS) est passé dans le Dark Net. Aujourd’hui, il suffit de posséder un bon niveau en informatique et d’avoir le sens des affaires pour devenir un hacker « Black Hat ». L’expression « script kiddies » désigne les personnes qui utilisent un code malveillant créé par un « Black Hat ». Les « malwares », ou virus – en particulier les « ransomware », logiciels de rançonnage – sont devenus publics à l’aide du modèle SaaS. Dans un rapport de Malwarebytes, 400 variantes de ransomware ont été répertoriées en 2016, presque toutes propagées à l’aide de « Ransomware-as-a-Service » par des non-codeurs.

Outre les options de « Malware-as-Service », certains outils des hackers « White Hats » facilitent le piratage des « Black Hats ». Ces outils, tels que le « Rubber Ducky » (Canard en Caoutchouc) et le « Wifi Pineapple » (Ananas Wifi), sont faciles à trouver online pour un moindre coût. « Rubber Ducky » est un badge de clé USB en apparence inoffensif mais qui peut enregistrer des informations d’identification de connexion, tandis que « Wifi Pineapple » permet d’intercepter des communications Internet – y compris de saisir des informations d’identification de connexion si une partie du site n’est pas administrée sous HTTPS.

Les programmes « Bug Bounty » encouragent les « White Hats »

Au fur et à mesure que les programmes « Bug Bounty » prolifèrent, ils créent des emplois intéressants et financièrement gratifiants pour les personnes attirées par le piratage informatique. Ce faisant, ces programmes peuvent aussi avoir un effet inattendu : celui d’un plus grand bénéfice sociétal pour tous. En s’ouvrant au public, ils pourraient bien dissuader ceux qui choisiraient d’utiliser des outils facilement accessibles dans le but de devenir des « Black Hats ». Les programmes « Bug Bounty » permettraient alors d’éviter bien plus que des failles dans les applications des fournisseurs connus.

The following two tabs change content below.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *