Il pirate des sites web et il est payé par ses victimes pour ça. Fondateur d'Hacknowledge à Préverenges (VD), Paul Such est ce qu'on appelle un hacker blanc depuis plus de 20 ans. Mais qu'est-ce qu'un pirate éthique au juste? Et comment procède-t-il? Réponse en cinq questions.
Un hacker blanc va utiliser les mêmes armes (ou presque, on y revient) qu'un pirate informatique malveillant pour tenter de trouver les failles d'une plateforme digitale. La différence, c'est qu'il le fera dans un contexte légal et à la demande d'une entreprise, qui va volontairement soumettre son système à ses attaques.
Notre pirate éthique confie que son métier possède un côté grisant. «On est payé pour faire un truc interdit. On a accès à des choses auxquelles on n'est pas censé avoir accès», raconte-t-il, tout en précisant que des clauses de confidentialité drastiques sont appliquées dans les contrats.
Toutes sortes d'entreprises, de la PME à la multinationale, font appel aux services d'Hacknowledge. Même si Paul Such observe que les sociétés sont souvent actives dans le domaine financier, il assure que les demandes sont très diverses, allant du secteur de la construction à celui de la banque.
Les tarifs varient eux aussi fortement. Il faut compter au minimum quelques milliers de francs, mais tout va dépendre de la taille du site à attaquer et du nombre de jours que le client voudra accorder aux pirates éthiques pour trouver une faille. «Depuis dix ans, il y a un vrai boom des demandes, les entreprises et les privés ont commencé à prendre conscience de l'importance des problèmes de sécurité», constate le fondateur d'Hacknowledge.
Fonctionnant le plus souvent en équipe, les pirates éthiques vont commencer par collecter un maximum d'informations techniques sur le site à attaquer, afin d'y dénicher des failles déjà connues. Parallèlement à cela, ils vont tenter d'interagir avec la plateforme partout où ils le peuvent, par exemple dans un formulaire de mot de passe, pour détourner le système à leur avantage.
«Une fois qu'on a identifié une vulnérabilité, cela va nous donner accès à un peu plus. Souvent, c'est une succession de petites failles qui, mises bout à bout, font un gros problème», pointe Paul Such. Il précise que dans plus d'un cas sur deux son équipe parvient à se glisser dans le système.
«On a les mêmes compétences qu'un pirate malintentionné, mais les entreprises vont nous imposer des contraintes que lui ne devra pas respecter», rappelle Paul Such. Celle qui revient très souvent, c'est l'interdiction d'utiliser les attaques par déni de service, qui vont surcharger un site, afin de le rendre indisponible.
D'autres sociétés demandent également aux pirates éthiques de se concentrer sur l'aspect technique de leur plateforme et de ne pas utiliser l'ingénierie sociale (faux emails, faux sites, etc.) pour soutirer des informations à leurs employés. «Malheureusement, c'est encore trop souvent exclu alors que c'est l'un des vecteurs principaux des attaques», constate l'expert.
«Le pirate super doué qui se fait attraper et qui devient gentil, c'est un cliché», prévient d'emblée Paul Such. En effet, en plus de solides connaissances en informatique, un casier judiciaire vierge est très fortement recommandé pour travailler dans le domaine.
Mais il est tout à fait possible de se former sans franchir la ligne rouge. Plusieurs écoles proposent désormais des formations pour devenir expert en cybersécurité. Notre spécialiste met également en avant les nombreux concours légaux où des entreprises invitent les pirates à trouver des failles dans leur système en échange d'une récompense. En Suisse, il existe deux plateformes principales: Bug Bounty et Yes We Hack.