Écoutez l’article
Chaque fois que je mentionne mon domaine d’expertise et ma profession, les premières questions que je reçois sont généralement les suivantes: "Pouvez-vous accéder à mon compte Facebook?" "Pouvez-vous lire mes messages Instagram?" Ou autre chose du genre; mélange d’indiscrétion, de curiosité et d’utilisation très probablement illégale des compétences informatiques de quelqu’un. C’est l’effet que la phrase "je suis un hackeur en informatique" a généralement sur les gens. C’est un mélange de mystère, d’incompréhension et de perplexité, teintés d’une perception d’illégalité et de criminalité induite par les médias.
Mais que font réellement les hackeurs en informatique, et qu’est-ce qui explique qu’ils soient devenus, au cours des dernières décennies, parmi les experts les plus prisés et les mieux rémunérés au monde?
Avant d’aller plus loin, permettez-moi de répondre "oui" aux questions citées dans le premier paragraphe de cet article. Un oui sans équivoque. Cependant, il serait illégal de le faire et, malgré ce que vous pourriez en penser, je peux vous assurer que la plupart des hackeurs en informatique n’ont aucun intérêt à enfreindre la loi et n’ont aucune curiosité concernant les données personnelles des autres.
C’est comme un serrurier qui possède les connaissances techniques pour ouvrir la plupart des serrures. Cela ne signifie pas que tous les serruriers passent leur temps à ouvrir des portes et à s’immiscer dans la vie privée des gens. Il en va de même pour les hackeurs en informatique. On fait appel à un serrurier lorsqu’on a un problème avec une serrure, de même, on fait appel à des hackeurs en informatique lorsqu’on a besoin d’évaluer notre sécurité digitale. Mais commençons déjà par nous référer à cette catégorie de hackeurs informatiques comme des "experts en sécurité de l’information". Dans les deux cas, c’est tout simplement une profession.
Il est important de préciser que tous les hackeurs en informatique ne travaillent pas dans le domaine de la sécurité de l’information. Mais tous les experts en sécurité de l’information doivent être des hackeurs en informatique pour être en mesure de bien exécuter leur travail, testant vos réseaux et sécurisant vos applications.
Vous vous demandez peut-être pourquoi, et voici la réponse: dans le domaine de la cybersécurité, les attaquants ont toujours l’avantage, car vous ne pouvez pas vous défendre contre une attaque si vous en ignorez la provenance. C’est pourquoi, pour anticiper les failles et tester les postures de sécurité, les experts en sécurité doivent être constamment à l’écoute de tout ce qui se passe dans les bas-fonds de l’informatique, connaître les dernières méthodes utilisées par les criminels informatiques et surtout être aussi passionnés que ceux qui utiliseront leurs compétences pour semer le chaos. Et ce sont là les caractéristiques distinctives des hackeurs en informatique.
En fait, tout se résume à ceci: si vous voulez tester la solidité de votre système de sécurité à domicile, à qui vous adresserez-vous? À l’entreprise qui vous l’a vendu, qui vous démontrera sa valeur au détriment de toute objectivité? Ou préférerez-vous faire appel à un expert cambrioleur (réformé) pour essayer de le forcer? Il va de soi que la seconde option est la meilleure, car le cambrioleur a fait carrière en contournant les systèmes de sécurité et en trouvant des moyens créatifs de pénétrer dans des endroits sans être détecté. De fait, s’il y a quelque chose de défectueux dans votre dispositif de sécurité, ils le trouveront, l’identifieront et émettront des recommandations solides sur la manière de le réparer. Bien sûr, et je le dis de la manière la plus claire possible, je ne suis pas en train d’avancer que tous les hackeurs en informatique sont des criminels repentis.
Permettez-moi ici de faire une petite digression. Je fais partie de ce qu’on appelle la "génération internet", ce qui signifie que j’ai grandi avec le développement de l’ère numérique. Au début, internet était comme le far west autrefois, sans loi aucune le régissant. De ce fait, pour nous tous qui avions un gène intrinsèque de hackeur, faire des choses considérées illégales aujourd’hui était normal, ou du moins ne semblait pas répréhensible. Nous n’étions pas forcément motivés par une quelconque intention criminelle, mais plutôt par la curiosité, l’appétit d’apprendre et, pour être honnête, peut-être un léger sentiment de puissance en ce sens que nous pouvions naviguer dans les moindres recoins du Web inaccessibles à l’internaute lambda.
Cela a toutefois permis à la première génération d’experts en sécurité de l’information d’acquérir une certaine compréhension et expertise dans le domaine des failles de sécurité informatique, de la même manière qu’un cambrioleur acquiert ses compétences. Et, à mesure que la première génération de hackeurs en informatique mûrissait, la plupart d’entre eux ont utilisé ces compétences au service de l’Internet et de ses utilisateurs, bien que certains aient versé dans le côté obscur.
Aujourd’hui, Internet est réglementé (peut-être un peu trop, diraient certains, et pas assez selon d’autres) et des lois ont étés adoptées, empêchant la nouvelle génération d’experts en sécurité de l’information d’apprendre en pratiquant. Cependant, comme leur valeur ajoutée et la nécessité de leur existence ont été reconnues, il existe désormais des cours dispensés dans les universités, des conférences un peu partout de par le monde, ainsi que des laboratoires virtuels où l’on peut apprendre en pratiquant sans enfreindre les lois.
Ainsi, les experts en sécurité de l’information testent tous les éléments liés à la technologie (logiciels, équipement, applications, sites Web, réseaux, etc.) et cherchent des failles ou des vulnérabilités dans leur sécurité; ils les répertorient, puis proposent des recommandations sur la manière d’y remédier. Ils peuvent également aider comme consultants lors des phases de développement pour s’assurer que la sécurité est prise en compte par les développeurs ou les constructeurs dès le départ. Notons cependant que cet aspect, bien que vital, est trop souvent négligé en raison du manque de ressources, de budget ou d’expertise, ou de contraintes de délais de mise sur le marché.
Mais en quoi cette expertise diffère-t-elle de celle des opérateurs informatiques normaux, et comment les experts en sécurité informatique procèdent-ils pour tester vos environnements?
Tout d’abord, permettez-moi de préciser que je ne souhaite nullement dénigrer la valeur ou le besoin fondamental des personnes travaillant dans les technologies de l’information. Qu’il s’agisse d’administrateurs réseau, de développeurs Web, de codeurs, de développeurs d’applications, d’équipes de sécurité informatique interne, etc., leur travail est essentiel. Ils font fonctionner les rouages d’Internet et du monde informatique au quotidien et ils méritent des éloges.
Cependant, la plupart d’entre eux, bien qu’experts dans leur propre champ, ont suffisamment de responsabilités pour se préoccuper des problèmes de sécurité profonde. Et avoir une équipe de sécurité interne – ce qui est logique si une entreprise est suffisamment grande et en possède les moyens – ne dispense pas celle-ci d’avoir recours à des experts externes pour tester ses systèmes de sécurité avec plus d’objectivité. Au risque de me répéter, les experts externes peuvent avoir une meilleure compréhension des nouvelles vulnérabilités en circulation, et n’auront certainement pas la subjectivité d’une équipe testant la sécurité qu’elle a mise en place elle-même.
Passons maintenant à la partie où je vais essayer d’expliquer, en des termes simples, comment les experts en sécurité informatique évaluent la sécurité. Et c’est là qu’intervient l’action au nom ambigu de "test de pénétration". Même si c’est vraiment ce que cela signifie.
Les experts feront des essais dans un environnement en temps réel (comme s’il s’agissait de criminels, sans que les départements informatiques de l’entreprise n’en soient informés), en utilisant toutes les méthodes disponibles de leur arsenal afin de contourner votre sécurité et de pénétrer votre réseau. Le fait que le service informatique de l’entreprise ignore le moment de l’attaque simulée est important, car, si quelqu’un prévoyait de cambrioler votre maison, il ne vous donnerait pas l’heure et la date à l’avance, n’est-ce pas?
Les méthodes utilisées varieront de l’exploitation des vulnérabilités connues et, surtout, encore inconnues des équipements ou des logiciels utilisés par l’entreprise ciblée, à la rédaction de code spécifiques qui contourneront les pare-feu, à l’utilisation de logiciels existants conçus pour contourner la sécurité, ou même à l’entrée physique dans les locaux sous de faux prétextes pour implanter directement un virus dans l’un des ordinateurs de l’entreprise.
Vous seriez vraiment étonné de voir à quel point il est facile de pénétrer dans un établissement sous de faux prétextes et de réussir à accéder à un ordinateur, ne serait-ce que pour un court laps de temps. Pour les hackeurs en informatique chevronnés, il n’en faut pas davantage pour prendre en otage toute une entreprise.
Mais la méthode la plus courante pour obtenir un accès, et de loin la plus facile pour l’attaquant, consiste à tromper les utilisateurs de l’entreprise de sorte qu’ils lui fournissent ce dont il a besoin pour pénétrer le réseau. Ces méthodes portent de nombreux noms: ingénierie sociale, hameçonnage (phishing, avec ‘ph’), escroquerie, mais elles tournent toutes autour du même principe: profiter du manque de préparation ou de l’ignorance d’un utilisateur quant aux principes fondamentaux de prévention de la sécurité.
Je peux affirmer avec une grande confiance qu’un pourcentage élevé des violations dont vous avez déjà entendu parler ont été initiées en utilisant l’une de ces méthodes, et non l’un des procédés hautement techniques que nous voyons généralement dans les films ou les séries (même si je conviens qu’au niveau cinématographique, ils offrent des images bien plus divertissantes).
Le maillon faible de tout système est, et sera toujours, l’élément humain. Vous pouvez dépenser des centaines de millions en sécurité de l’information (certaines des plus grandes entreprises le font), tout cela peut être rendu caduc par un employé insérant la mauvaise clé USB au mauvais endroit, en cliquant sur le mauvais lien, ou en divulguant des identifiants personnels à la mauvaise personne.
Dans mon prochain article, je discuterai de ce qui rend si facile aux criminels d’accéder à vos données et les voler, mais si vous ne voulez pas attendre, en voici la version courte: ils obtiennent toute l’aide dont ils ont besoin de notre part, nous, les utilisateurs! Cependant, pour être honnête, le blâme est également partagé par deux autres entités, et nous en parlerons également.
Lire Aussi
