Un hacker est un criminel qui effectue plusieurs attaques en lien avec le numérique. Les attaques sont diverses, telles que le phishing, le déni de service, les rançon-logiciels, etc. Le but de ces cyberattaques est d’endommager les données et de soutirer le plus d’argent possible. Ces attaques sont possibles à cause de l’existence de failles informatiques, entraînant l’immersion des cybercriminels dans les infrastructures informatiques.
Cependant, il est désormais possible de pirater un système mais tout en étant dans la légalité, grâce à la position du hacker éthique dit « white hat ».
Qu’est-ce qu’un hacker éthique ?
Afin de faire face à ces failles informatiques et pour que les cybercriminels n’en tirent pas avantage, les hackers éthiques ont fait leur apparition.
Un hacker éthique est une personne spécialisée en sécurité informatique afin de protéger les systèmes d’information d’une entreprise ou d’une organisation publique ou privée. Son objectif principal est de détecter les failles du système d’information et de les réparer en les consolidant pour réduire les cyberattaques.
Pour détecter ces failles de sécurité, le hacker éthique va se comporter comme un cybercriminel dont le but est d’accéder aux réseaux et aux données de l’organisme visé. C’est la raison pour laquelle les hackers éthiques ont la devise « Apprendre l’attaque pour mieux la défendre ».
Le hacker éthique va devancer les cybercriminels en analysant en avance les failles informatiques présentes. Cela va permettre donc aux personnes responsables des réseaux informatiques, de corriger ces failles. Cet exercice d’intrusion permet de garantir la sécurité informatique existante des données sensibles ou corriger les vulnérabilités émanant du système de sécurité informatique.
Le « bug bounty » est souvent utilisé dans le milieu des hackers éthiques. C’est une méthode utilisée par des entreprises auprès des hackers éthiques afin de les solliciter à trouver une faille dans les systèmes informatiques, entraînant l’attribution d’une récompense en cas de découverte. Le « white hat » ne doit profiter de cette faille. Il doit seulement en faire part aux principaux concernés afin d’être dans la légalité et de pouvoir prétendre à ladite récompense.
Comment devenir un hacker éthique ?
Pour devenir un « white hat », il faut disposer de certaines capacités telles que :
- L’intégrité morale
- Une compétence accrue en informatique (logique)
- Être curieux et investigateur
Avec l’expansion du numérique et des cyberattaques, ce métier est en plein essor. Dans notre société, il est primordial de pouvoir s’assurer de la protection et de la sécurité des informations et des données des individus et des entreprises ou organisations. Par ailleurs, il y a une forte demande des hackers éthiques par les entreprises.
Un « white hat » peut avoir une rémunération entre 6 000 à 7500 euros bruts mensuels en fonction de l’expérience.
La législation mise en place
Un lanceur d’alerte est, selon la loi du 9 décembre 2016 à l’article 6, « une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ».
Néanmoins, le lanceur d’alerte pour les systèmes d’information dispose d’un régime juridique spécifique. En effet, la loi du 7 octobre 2018 a renforcé sa protection. Dès lors, le Code de la défense érige dans son article L 2321-4 que « pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données. L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée. L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »
Pour être protégé légalement, le hacker éthique doit obligatoirement mentionner, de manière publique, à l’ANSSI l’existence de la faille du système de sécurité informatique. S’il ne respecte pas cette obligation, il ne pourra pas prétendre à la protection juridique.
Les sociétés spécialisées dans le piratage éthique
Les deux grandes entreprises spécialisées, en France, en tant que hackers éthiques sont Yes we hack et Yogosha. Elles sont de plus en plus sollicitées afin de sécuriser les données détenues autant par les entreprises que les organismes privés ou publics. De plus, depuis le début du premier confinement, le nombre de cyberattaques a augmenté, entraînant la nécessité d’un renforcement des systèmes informatiques.
Yes we hack est une entreprise spécialisée dans le bug bounty. Le ministère des Armées a recours à cette société afin de prévenir des failles de sécurité et d’y remédier.
Alexia RIVAUD
Master 2 Cyberjustice – promotion 2020-2021
Sources :
Qu’est-ce que le hacking éthique ? – Panda Security Mediacenter
Y-a-t-il une place pour les white hats dans la République numérique ? (tribune) | Silicon
Lanceurs d’alerte – Ministère de l’Europe et des Affaires étrangères (diplomatie.gouv.fr)
Devenir hacker éthique : formations, débouchés, salaire… (futura-sciences.com)