Vous ne le saviez peut-être pas, mais hackeur* est un métier. Les hackeurs éthiques plus précisément, aussi appelés pentesters ou bounty hunters**, sont en effet recherchés par les entreprises et les institutions pour leur maîtrise du piratage. Mais qui sont ces héros masqués de l’informatique ? En quoi consiste leur activité ? On vous explique.
Les hackeurs et le côté obscur
En tant qu’internautes, nous connaissons tous les pirates informatiques ou hackeurs, ces développeurs malveillants qui nous infligent des millions de virus chaque année, tentant de nous espionner ou de nous escroquer.
Avec leurs compétences très particulières, ces individus sont capables de :
- verrouiller un ordinateur ou n’importe quel appareil connecté à distance,
- prendre le contrôle d’un système,
- voir ou enregistrer tout ce que vous faites sur vos appareils,
- dérober des informations confidentielles (codes bancaires, stratégie d’entreprise, données de sécurité sociale, sites Internet visités…),
- voire de voler de l’argent directement, par exemple en se faisant passer pour des entreprises marchandes ou de recouvrement légitimes.
Et aussi terrifiantes qu’elles soient, toutes ces possibilités bien réelles ne sont que la partie émergée de l’iceberg. Avec un brin d’imagination et de compétences techniques, les hackeurs sont capables d’à peu près n’importe quoi.
Des pirates aux hackeurs éthiques
Tout comme de nombreux pirates sont devenus des corsaires, agissant au service d’États, les hackeurs ne se cantonnent pas aux activités illégales. Beaucoup d’entre eux sont ce qu’on appelle des hackeurs éthiques, c’est-à-dire qu’ils mettent leurs compétences exceptionnelles au service de notre protection plutôt que pour leur intérêt personnel… avec tout de même des rémunérations à la clef pouvant aller de quelques centaines à plusieurs millions d’euros !
Comment font-ils ? Ces hackeurs professionnels tentent par tous les moyens de pénétrer les défenses informatiques de sociétés et de gouvernements pour déterminer où se situent les failles de sécurité que des hackeurs malveillants pourraient utiliser.
Ces tests se déroulent dans des environnements sécurisés et dans un cadre légal. Les résultats sont évidemment transmis aux principaux concernés pour analyse. Sur la base de ce rapport, les pentesters et les ingénieurs cybersécurité de l’entreprise/ institution travaillent enfin ensemble pour fortifier les défenses et combler les brèches éventuelles.
Dans ce contexte professionnel, il faut faire la différence entre les deux grands types de hackeurs éthiques, soit les pentesters et les bounty hunters :
- les pentesters sont des contractuels qui travaillent pour un ou plusieurs organismes identifiés, c’est réellement leur métier,
- les bounty hunters s’apparentent plus à des mercenaires, qui agissent potentiellement même sans demande de la part des entreprises ou institutions. Ou bien en réponse à un programme de bug bounty: la promesse d’une récompense monétaire émise par une société à toute personne extérieure pouvant l’aider à tester ses systèmes de défense informatiques.
Toutes les grandes entreprises de la tech comme Google, Meta ou Apple, sont connues pour recourir aux services de bounty hunters. Toutefois, il n’est pas nécessaire d’être une entreprise internationale ou côté en bourse pour faire appel à un hackeur éthique. En effet, face à la cybersécurité, nous sommes tous concernés et les pentesters jouent le rôle de consultants techniques très… dans l’action.
Cas concret : ce jour où un hackeur a sauvé des milliers de vies
Pour se rendre compte de l’importance de ces métiers, rien de tel que le réel.
En 2017, un hackeur a fait les gros titres en prévenant la société Tesla d’une faille de sécurité majeure sur ses modèles de voitures connectés. La faille en question permettait littéralement de prendre le contrôle du véhicule à distance !
Imaginez, une minute vous roulez tranquillement, la suivante, votre voiture change de route et fonce dans un arbre. Ou vous conduit dans un repère de malfrats voleurs d’autos de luxe…
Un scénario terrifiant qui a pu être évité grâce à un hackeur éthique, hackeur qui a donc potentiellement sauvé des milliers de vies dans le monde. Tous les héros ne portent pas de capes. Pour sa peine, le bounty hunter a bien évidemment reçu une récompense et les ingénieurs de Tesla ont immédiatement corrigé le problème. Ouf !
La formation : comment devenir hackeur éthique ?
Qui dit métier dit formation, et le pentester n’échappe pas à la règle ! Si les compétences techniques peuvent s’acquérir en autodidacte ou dans une école d’informatique classique, il faut ensuite obtenir des certifications, par exemple le CEH (Certified Ethical Hacker) ou OSCP (Offensive Security Certified Professional).
Parmi les compétences essentielles de l’hackeur éthique, on retrouve notamment :
- la maîtrise des différents systèmes informatiques,
- la connaissance de divers langages de programmation,
- la maîtrise des protocoles réseau…
Hackeur éthique Vs ingénieur cybersécurité, qui fait quoi ?
Quelle est la différence entre ces deux métiers ? Si les ingénieurs cybersécurité et les hackeurs partagent un même but – une protection parfaite – leurs méthodes divergent.
Prenons l’image du château fort.
L’ingénieur cybersécurité construit les fortifications, en accord avec les équipes informatiques, tandis que l’hackeur va tenter de créer ou plutôt d’exploiter des brèches (fragilité localisée du mur d’enceinte, bouche d’égout qui conduit derrière les murs, douves trop peu profondes, etc.).
En d’autres termes, l’hackeur cherche les failles dans le travail de son collègue pour lui suggérer des améliorations adaptées. Le but : qu’à la prochaine attaque, simulée ou réelle, le château fort tienne bon. En recommandant l’installation d’une suite de sécurité sur les appareils de chaque collaborateur, en mettant en place la double-authentification, en dispensant des formations… Mille et uns outils et méthodes pour travailler et vivre en toute sécurité.
* de l’anglais « to hack » : entrer par effraction
** ces deux termes signifient respectivement « testeurs d’intrusions » et « chasseurs de primes »
