Il est facile d'avoir la vision simple que tous les pirates sont des méchants pour provoquer des violations de données et déployer des rançongiciels. Ce n'est pas vrai, cependant. Il y a beaucoup de pirates malveillants. Certains pirates utilisent leurs compétences de manière éthique et légale. Un « hacker éthique » est un hacker qui pirate dans le cadre d'un accord légal avec le propriétaire légitime du système.
Conseil: A l'opposé d'un hacker au chapeau noir, un hacker éthique est souvent appelé un hacker au chapeau blanc.
Le cœur de cela est une compréhension de ce qui rend le piratage illégal. Bien qu'il existe des variations dans le monde, la plupart des lois sur le piratage se résument à "il est illégal d'accéder à un système si vous n'en avez pas la permission". Le concept est simple. Les actions de piratage réelles ne sont pas illégales; c'est juste le faire sans autorisation. Mais cela signifie qu'une autorisation peut être accordée pour vous permettre de faire quelque chose qui serait autrement illégal.
Cette autorisation ne peut pas venir de n'importe quelle personne au hasard dans la rue ou en ligne. Ça ne peut même pas venir du gouvernement (bien que les agences de renseignement opèrent selon des règles légèrement différentes). L'autorisation doit être accordée par le propriétaire légitime du système.
Conseil: Pour être clair, le « propriétaire légitime du système » ne fait pas nécessairement référence à la personne qui a acheté le système. Il fait référence à quelqu'un qui a légitimement la responsabilité légale de dire; c'est bon pour toi. Il s'agira généralement du CISO, du PDG ou du conseil d'administration, bien que la capacité d'accorder une autorisation puisse également être déléguée plus loin dans la chaîne.
Bien que la permission puisse simplement être donnée verbalement, cela n'est jamais fait. Comme la personne ou l'entreprise effectuant le test serait légalement responsable de tester ce qu'elle n'est pas censée faire, un contrat écrit est requis.
Portée des actions
L'importance du contrat ne peut être surestimée. C'est la seule chose qui accorde la légalité aux actions de piratage du pirate éthique. La subvention du contrat accorde une indemnité pour les actions spécifiées et par rapport aux objectifs spécifiés. A ce titre, il est essentiel de comprendre le contrat et ce qu'il recouvre, car sortir du champ du contrat signifie sortir du champ de la garantie légale et enfreindre la loi.
Si un pirate éthique s'éloigne du champ d'application du contrat, il court sur une corde raide légale. Tout ce qu'ils font est techniquement illégal. Dans de nombreux cas, une telle démarche serait accidentelle et vite rattrapée. Lorsqu'il est géré de manière appropriée, cela peut ne pas nécessairement être un problème, mais selon la situation, cela pourrait certainement l'être.
Le contrat proposé ne doit pas nécessairement être spécifiquement adapté. Certaines entreprises proposent un programme de primes aux bogues. Cela implique la publication d'un contrat ouvert, permettant à quiconque d'essayer de pirater son système de manière éthique, tant qu'il respecte les règles spécifiées et signale tout problème identifié. Les problèmes de signalement, dans ce cas, sont généralement récompensés financièrement.
Types de piratage éthique
La forme standard de piratage éthique est le « test de pénétration », ou pentest. C'est là qu'un ou plusieurs pirates éthiques sont engagés pour tenter de pénétrer les défenses de sécurité d'un système. Une fois l'engagement terminé, les hackers éthiques, appelés pentesters dans ce rôle, rapportent leurs découvertes au client. Le client peut utiliser les détails du rapport pour corriger les vulnérabilités identifiées. Alors que le travail individuel et contractuel peut être effectué, de nombreux pentesters sont des ressources internes de l'entreprise, ou des entreprises spécialisées en pentesting sont embauchées.
Conseil: C'est du "pentesting" et non du "pen testing". Un testeur de pénétration ne teste pas les stylos.
Dans certains cas, tester si une ou plusieurs applications ou réseaux sont sécurisés ne suffit pas. Dans ce cas, des tests plus approfondis peuvent être effectués. Un engagement d'équipe rouge implique généralement de tester une gamme beaucoup plus large de mesures de sécurité. Les actions peuvent inclure la réalisation d'exercices de phishing contre les employés, la tentative d'ingénierie sociale pour pénétrer dans un bâtiment ou même l'effraction physique. Bien que chaque exercice de l'équipe rouge varie, le concept est généralement beaucoup plus un test du pire des cas « et si ». Dans le sens de "cette application Web est sécurisée, mais que se passe-t-il si quelqu'un entre dans la salle des serveurs et prend le disque dur avec toutes les données qu'il contient".
Pratiquement tous les problèmes de sécurité qui pourraient être utilisés pour nuire à une entreprise ou à un système sont théoriquement ouverts au piratage éthique. Cela suppose cependant que le propriétaire du système accorde l'autorisation et qu'il soit prêt à payer pour cela.
Donner des choses aux méchants ?
Les hackers éthiques écrivent, utilisent et partagent des outils de piratage pour se simplifier la vie. Il est juste de remettre en question l'éthique de cela, car les chapeaux noirs pourraient coopter ces outils pour faire plus de ravages. De manière réaliste cependant, il est parfaitement raisonnable de supposer que les attaquants disposent déjà de ces outils, ou du moins quelque chose comme eux, alors qu'ils tentent de se simplifier la vie. Ne pas avoir d'outils et essayer de compliquer la tâche des black hats, c'est s'appuyer sur la sécurité par l'obscurité. Ce concept est profondément mal vu dans la cryptographie et dans la plupart du monde de la sécurité en général.
Divulgation responsable
Un pirate éthique peut parfois tomber sur une vulnérabilité lorsqu'il navigue sur un site Web ou utilise un produit. Dans ce cas, ils essaient généralement de le signaler de manière responsable au propriétaire légitime du système. L'essentiel après cela est de savoir comment la situation est gérée. La chose éthique à faire est de le divulguer en privé au propriétaire légitime du système pour lui permettre de résoudre le problème et de distribuer un correctif logiciel.
Bien sûr, tout pirate éthique est également responsable d'informer les utilisateurs concernés par une telle vulnérabilité afin qu'ils puissent choisir de prendre leurs propres décisions soucieuses de la sécurité. En règle générale, un délai de 90 jours à compter de la divulgation privée est considéré comme un délai approprié pour développer et publier un correctif. Bien que des prolongations puissent être accordées si un peu plus de temps est nécessaire, cela n'est pas nécessairement fait.
Même si un correctif n'est pas disponible, il peut être éthique pour détailler le problème publiquement. Ceci, cependant, suppose que le pirate éthique a essayé de divulguer le problème de manière responsable et, généralement, qu'il essaie d'informer les utilisateurs normaux afin qu'ils puissent se protéger. Bien que certaines vulnérabilités puissent être détaillées avec des exploits de preuve de concept fonctionnels, cela n'est souvent pas fait si un correctif n'est pas encore disponible.
Bien que cela puisse ne pas sembler complètement éthique, en fin de compte, cela profite à l'utilisateur. Dans un scénario, l'entreprise subit suffisamment de pression pour fournir une solution en temps opportun. Les utilisateurs peuvent mettre à jour vers une version fixe ou au moins mettre en œuvre une solution de contournement. L'alternative est que l'entreprise ne peut pas déployer rapidement un correctif pour un problème de sécurité grave. Dans ce cas, l'utilisateur peut décider en connaissance de cause de continuer à utiliser le produit.
Conclusion
Un hacker éthique est un hacker qui agit dans les limites de la loi. Généralement, ils sont sous contrat ou autrement autorisés par le propriétaire légitime du système à pirater un système. Cela se fait à condition que le pirate éthique signale les problèmes identifiés de manière responsable au propriétaire légitime du système afin qu'ils puissent être résolus. Le piratage éthique est construit sur « placer un voleur pour attraper un voleur ». En utilisant les connaissances des hackers éthiques, vous pouvez résoudre les problèmes que les hackers black hat auraient pu exploiter. Les hackers éthiques sont également appelés hackers chapeau blanc. D'autres termes peuvent également être utilisés dans certaines circonstances, tels que "pentesters" pour embaucher des professionnels.