DE | FR
Fonctionnant le plus souvent en équipe, les pirates éthiques vont commencer par collecter un maximum d'informations techniques sur le site à attaquer, afin d'y dénicher des failles déjà connues.
Fonctionnant le plus souvent en équipe, les pirates éthiques vont commencer par collecter un maximum d'informations techniques sur le site à attaquer, afin d'y dénicher des failles déjà connues.Image: Shutterstock

Il nous pirate, mais c'est
pour la bonne cause

Berne réfléchit à institutionnaliser le piratage éthique, c'est-à-dire le fait d'attaquer un site non pas avec de mauvaises intentions, mais pour détecter les failles. Témoignage d'un hacker blanc.
19.03.2021, 19:3511.10.2021, 18:14
Suivez-moi

Il pirate des sites web et il est payé par ses victimes pour ça. Fondateur d'Hacknowledge à Préverenges (VD), Paul Such est ce qu'on appelle un hacker blanc depuis plus de 20 ans. Mais qu'est-ce qu'un pirate éthique au juste? Et comment procède-t-il? Réponse en cinq questions.

Un pirate éthique,
à quoi ça sert?

Un hacker blanc va utiliser les mêmes armes (ou presque, on y revient) qu'un pirate informatique malveillant pour tenter de trouver les failles d'une plateforme digitale. La différence, c'est qu'il le fera dans un contexte légal et à la demande d'une entreprise, qui va volontairement soumettre son système à ses attaques.

«Le but, c'est de faire progresser la sécurité de la société qui nous a mandatés. Ils nous demandent de les attaquer parce qu'ils veulent s'assurer qu'ils n'ont pas laissé une porte grande ouverte. La partie la plus importante pour eux, et la moins fun pour nous, c'est le rapport et le conseil. Mais, si on ne leur explique pas comment on a fait pour pénétrer leur système, tout le monde a perdu son temps.»
Paul Such
Paul Such, pirate éthique depuis 20 ans et fondateur de l'entreprise spécialisée Hacknowledge.
Paul Such, pirate éthique depuis 20 ans et fondateur de l'entreprise spécialisée Hacknowledge.Image: DR

Notre pirate éthique confie que son métier possède un côté grisant. «On est payé pour faire un truc interdit. On a accès à des choses auxquelles on n'est pas censé avoir accès», raconte-t-il, tout en précisant que des clauses de confidentialité drastiques sont appliquées dans les contrats.

Qui paye pour
se faire attaquer?

Toutes sortes d'entreprises, de la PME à la multinationale, font appel aux services d'Hacknowledge. Même si Paul Such observe que les sociétés sont souvent actives dans le domaine financier, il assure que les demandes sont très diverses, allant du secteur de la construction à celui de la banque.

«En 20 ans, j'ai eu l'occasion de m'attaquer à tout, de la machine à café aux infrastructures nucléaires»
Paul Such

Les tarifs varient eux aussi fortement. Il faut compter au minimum quelques milliers de francs, mais tout va dépendre de la taille du site à attaquer et du nombre de jours que le client voudra accorder aux pirates éthiques pour trouver une faille. «Depuis dix ans, il y a un vrai boom des demandes, les entreprises et les privés ont commencé à prendre conscience de l'importance des problèmes de sécurité», constate le fondateur d'Hacknowledge.

Comment procèdent
les hackers blancs?

Fonctionnant le plus souvent en équipe, les pirates éthiques vont commencer par collecter un maximum d'informations techniques sur le site à attaquer, afin d'y dénicher des failles déjà connues. Parallèlement à cela, ils vont tenter d'interagir avec la plateforme partout où ils le peuvent, par exemple dans un formulaire de mot de passe, pour détourner le système à leur avantage.

«Quand vous menez une attaque, il n'y a pas de limites à part votre imagination»
Paul Such

«Une fois qu'on a identifié une vulnérabilité, cela va nous donner accès à un peu plus. Souvent, c'est une succession de petites failles qui, mises bout à bout, font un gros problème», pointe Paul Such. Il précise que dans plus d'un cas sur deux son équipe parvient à se glisser dans le système.

Black hats vs hackers blancs, qui sont les plus forts?

«On a les mêmes compétences qu'un pirate malintentionné, mais les entreprises vont nous imposer des contraintes que lui ne devra pas respecter», rappelle Paul Such. Celle qui revient très souvent, c'est l'interdiction d'utiliser les attaques par déni de service, qui vont surcharger un site, afin de le rendre indisponible.

D'autres sociétés demandent également aux pirates éthiques de se concentrer sur l'aspect technique de leur plateforme et de ne pas utiliser l'ingénierie sociale (faux emails, faux sites, etc.) pour soutirer des informations à leurs employés. «Malheureusement, c'est encore trop souvent exclu alors que c'est l'un des vecteurs principaux des attaques», constate l'expert.

Berne se penche sur la question

Pourrait-on encourager le piratage éthique au sein de l'administration fédérale? Voilà la question posée à nos Sept sages, sous la forme d'un postulat, par la Conseillère nationale verte libérale Judith Bellaïche. Soutenu par le Conseil fédéral, le texte doit désormais être débattu au Conseil national.

Comment devenir
pirate éthique?

«Le pirate super doué qui se fait attraper et qui devient gentil, c'est un cliché», prévient d'emblée Paul Such. En effet, en plus de solides connaissances en informatique, un casier judiciaire vierge est très fortement recommandé pour travailler dans le domaine.

«Petit, ça m'amusait plus de contourner les protections d'un jeu pour gagner des vies que d'y jouer»
Paul Such

Mais il est tout à fait possible de se former sans franchir la ligne rouge. Plusieurs écoles proposent désormais des formations pour devenir expert en cybersécurité. Notre spécialiste met également en avant les nombreux concours légaux où des entreprises invitent les pirates à trouver des failles dans leur système en échange d'une récompense. En Suisse, il existe deux plateformes principales: Bug Bounty et Yes We Hack.

«Nous sommes en pleine cyberguerre»

Dossier cybersécurité, la fin demain
Les cyberattaques se multiplient à l'échelle mondiale. La Suisse n'y échappe pas et elle manque de spécialistes pour se défendre, selon Lennig Pedron, experte en cybersécurité.

Plus d'articles sur le thème «Suisse»

L’armée suisse irait bien faire sa pub dans les écoles

Link zum Artikel

Mais où sont donc passés les opposants au mariage pour tous?🤔

Link zum Artikel

Cette fois ça y est: le Conseil fédéral donne son OK au F-35 américain

Link zum Artikel

Pourra-t-on vraiment, en Suisse, faire sans les centrales nucléaires?

Link zum Artikel

La Grève pour l'Avenir réunit plus de 30 000 personnes en Suisse

Link zum Artikel

La droite appelle le PS à stopper l'initiative contre les F-35

Link zum Artikel

Le Conseil fédéral étudie un outil de contrôle des imams

Link zum Artikel

Personnaliser les affiches de l'OFSP? Oui, mais interdit d'écrire «Trump»!

Link zum Artikel
Montrer tous les articles
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Que se passe-t-il quand des hackers vous attaquent? Réponse en 3 étapes
Les attaques informatiques font rage en Suisse romande. Mais que sait-on du processus qui se cache derrière? watson a posé la question à trois acteurs de la cybersécurité: la technologie, la police et le droit.

Comment les pirates parviennent-ils à s'infiltrer dans un système informatique? Comment la police enquête-t-elle et que fait la Justice? Voici le déroulement d'une cyberattaque, de l'intrusion sur votre ordinateur au tribunal.

L’article