Tout le monde, y compris les néophytes en sécurité informatique, a déjà entendu parler des hackers. Ce terme, par le passé, a souvent été associé à des actes illégaux, terroristes ou destructeurs et malheureusement continue de le demeurer. Ces « hackers » se distinguent, d’une manière simpliste, suivant deux principaux types:
- Les white hats : Ils pénètrent dans un système informatique dans le seul but d’aider le propriétaire à le sécuriser, par passion et une volonté d’apporter une petite pierre à l’édifice de la sécurité au sens large.
- Les black hats : Ils s’introduisent dans un système informatique avec l’idée de nuire, d’exploiter, de tirer profit financièrement, d’accroître un certain pouvoir de contrôle ou encore pour réaliser de la propagande. On parle de piratage informatique.
Les white hats sont ainsi considérés comme des hackers éthiques, responsables et avec une morale. Ces « bons » hackers sont très prisés par les entreprises et les gouvernements. En effet, la cybercriminalité a évolué au cours de ces dix dernières années pour devenir aujourd’hui l’activité criminelle la plus rentable.
A l’aube des années 2000, avertir un administrateur ou une entreprise en tout bien tout honneur qu’elle présentait des faiblesses de sécurité, avec démonstration non-intrusive à l’appui et préconisation de sécurisation, engendrait régulièrement des réponses agressives, menaces de plaintes et une non-reconnaissance de la contribution.
Au jour d’aujourd’hui, les mœurs ont considérablement évolué. La plupart des majors de l’Internet tout comme les grandes entreprises ont compris que profiter de l’intelligence globale des white-hats de par le monde est bien plus rentable que de se forger une équipe onéreuse de 5 experts sécurité en interne. C’est de ce constat qu’est né la notion de « bug bounty », la reconnaissance (via des ackowledgement, cadeaux & goodies ou encore des primes) des contributions des « security researchers » indépendants. Certains groupes de white-hats en font même leur activité principale. SYNETIS prône cette approche et encourage cette activité auprès de ses consultants : contributions, conception d’exploit, rédaction d’articles, d’advisory…
Vous admettrez qu’un distinguo « white-hats » / « black-hats» tel « les méchants » et « les gentils » ou encore « le bien » et « le mal » est une vision primaire et élémentaire de ces acteurs de la sécurité. Sans parler des sous-classifications bien souvent utilisée telles les carder, phisher, spammer, cracker, etc.
Pour lutter contre ce fléau qu’est la cybercriminalité, les entreprises et les gouvernements cherchent à renforcer leur sécurité informatique en recrutant des chapeaux blancs ou encore des pentesters. De manière préventive ou suite à un incident majeur de sécurité, ces profils restent particulièrement prisés. Des plateformes de recrutement ont vu le jour, dédiées à cette activité. On peut citer des groupes LinkedIn orientés pentest par exemple, ou encore la plateforme francophone « YesWeHack.com ».
Certains proposent même des « challenges » pour cibler les profils atypiques. Cela consiste à évaluer les compétences des candidats en les mettant en situation, via un défi de sécurité informatique en ligne, ouvert à tous.
C’est ce qu’a fait l’ANSSI. Après 6 mois de conception, le challenge du logo de l’ANSSI a été lancé dans le seul et unique but de confronter les hackers et trouver des profils de candidats intéressants et correspondants à leurs besoins en termes de sécurité informatique. Le challenge a été résolu au bout de 23 mois.
D’autres suivent les profils des membres de plateforme d’apprentissage de l’Art du hacking tels « canyouhack.it », « newbiecontest » ou l’excellent « root-me.org » pour repérer ceux qui se distinguent par leur curiosité, leur créativité et leur ingéniosité.
C’est en effet par ces qualités qu’un informaticien adopte l’approche white-hats du pentesting. SYNETIS encourage vivement ses collaborateurs à étendre leurs connaissances en participant à ces types de challenges tout en assurant une veille technologique pointue dans le milieu de la sécurité.
Autre exemple plus récent, le gouvernement Japonais a annoncé début 2015 vouloir recruter une équipe de white hats. L’objectif étant d’identifier les menaces de sécurité potentielles et de protéger le pays contre celles-ci.
Ces profils sont très demandés mais rares. Ils existent des formations axées autour des cyberattaques telles que la licence professionnelle « Cyber défense, anti-intrusion des systèmes d’information » de l’IUT de Maubeuge mais la plupart des formations proposées en France dans le domaine de l’informatique restent encore trop conventionnelles et ne correspondent pas à la réalité du terrain à laquelle sont confrontées les entreprises en termes de sécurité du SI. Il est toujours compliqué d’enseigner l’Art de la sécurité sans détailler ni expliquer les techniques de l’insécurité. Ce sont d’ailleurs bien souvent ceux qui ont connaissance des pratiques des « black-hats », sachant mêmes les employer, qui deviennent des pentesteurs particulièrement qualifiés.
Beaucoup de white-hats dans l’esprit n’ont pas suivi un cursus traditionnel. La plupart d’entre eux ne sont pas issus d’une grande école. Certains n’ont même pas le baccalauréat et pourtant, ce sont souvent ces profils qui font la différence avec leur autodidactie, leur curiosité et leur adaptabilité. Nous nous efforçons de dénicher ces passionnés contrairement à certaines politiques de recrutement trop rigides, dénigrant des profils ne disposant pas d’une BAC+5.
Les white hats ont, certes, de bonnes intentions, mais leur activité peu connue est souvent considéré comme illégale. Ceux qui hack dans le cadre de leur activité professionnelle sont généralement protégés contrairement à ceux qui le font par passion, sans but lucratif.
Leila
Directrice de projets