Le hacking éthique : en toute (il)légalité
Le hacking éthique, activité légale, est un aspect méconnu de la sécurité informatique, qui est souvent confondu – à tort – avec l’hacktivisme, le plus souvent illégal. Éclairage avec l’anthropologue David Bozzini. Maxime Staedler.
Au début des années 1980 naît ce qu’on peut appeler le hacking éthique, dans une ère pré-internet. De jeunes individus doués en informatique s’amusent avec des programmes et systèmes d’exploitation, et se plaisent à dénicher les failles et les vulnérabilités qu’ils renferment. Rapidement, il.elle.s se mettent à communiquer aux entreprises concernées – on peut penser à Microsoft, Lotus… – pour les informer de ces défaillances afin de les faire corriger car elles représentent un potentiel danger.:« Généralement, les entreprises étaient dans le déni, et le sont parfois encore. La réponse envers les hackers éthiques a été parfois violente, que ce soit en attaquant les personnes légalement, en menaçant de s’attaquer à elles, ou simplement en ne répondant pas » résume David Bozzini, anthropologue intéressé par la sécurité informatique.
Les prémices du hacking éthique
« Au bout d’un moment, ces gens en ont eu marre de se faire taper sur les doigts ou d’être complètement ignorés », poursuit-il. En 1984, le Chaos Computer Club (CCC), créé trois ans plus tôt, prévient la Deutsche Bundespost que son système Bildschirmtext (BTX, l’équivalent allemand du minitel, ndlr.) comporte une faille de sécurité, mais la mise en garde est ignorée par la poste allemande. Peu de temps après, les hackers se sont rendu compte que la poste avait corrigé cette vulnérabilité et qu’elle n’existait plus.
Devant ce manque flagrant de considération, le CCC a trouvé un autre moyen pour se faire entendre : Utilisant une autre vulnérabilité, ils ont détourné 134’000 deutschemark sur le compte du CCC, avant de les rendre le lendemain devant la presse. L’affaire fait grand bruit, le Chaos Computer Club se fait connaître et révèle ainsi au grand public l’existence de failles au sein de ce système de transaction financière réputé jusque-là sûr : « C’est un des premiers cas de divulgation publique de vulnérabilités et qui donne cette image du hacker qui aime bien s’amuser, titiller le pouvoir et se moquer de lui, » commente l’anthropologue.
Cet exemple illustre bien la pensée des hackers éthiques : Leur recherche de vulnérabilité s’inscrit dans une volonté de contribuer à la sécurité informatique. Il.elle.s ne cherchent pas l’enrichissement personnel et ne poursuivent pas d’activités criminelles.
Internet change la donne
Avec la démocratisation d’internet dans le courant des années 1990 et au début des années 2000, ces problèmes de sécurité informatique deviennent de plus en plus prégnants, avec des personnes malintentionnées qui créent des virus en exploitant les failles révélées par les hackers éthiques. Il faut préciser que les hackers éthiques contactent systématiquement les entreprises et ne divulguent les failles sur des forums spécialisés qu’en absence de réponse de la part de celles-ci : « Il y a toujours un déni des entreprises », relève David Bozzini. De larges pans d’internet sont ainsi bloqués à plusieurs reprises, à cause de virus et autres worms créés par des personnes malintentionnées.
Les entreprises se sentent donc obligées de répondre. Petit à petit se met en place une collaboration difficile entre ces hackers éthiques, qui reçoivent enfin une part de reconnaissance, et les entreprises actives dans l’informatique. David Bozzini constate : « Ce n’est que depuis très récemment qu’existe un système qui permet des rétributions pour ce travail-là. Il y a un marché des vulnérabilités, un marché défensif qui s’est mis en place il y a une dizaine d’années. Auparavant, tout cela était complètement bénévole ».
De nos jours, les géants du net proposent à n’importe qui d’attaquer leur système contre rétribution s’il.elle.s trouvent une vulnérabilité qui correspond à leurs attentes. C’est donc une nouvelle manière de faire de la sécurité informatique, qui permet de recevoir des bugs et des vulnérabilités de l’extérieur et de la part de n’importe qui, et que les entreprises promeuvent même par le biais de rémunérations.
Des chasses aux bugs, ou bug bounties, sont régulièrement organisées à cette fin, et offrent des primes conséquentes aux hackers inventif.ve.s. Ces bug bounties existent notamment dans le domaine de la blockchain (système permettant notamment aux crypto-monnaies comme le Bitcoin ou les contrats intelligents d’Ethereum de fonctionner, ndlr.) : « La blockchain est une technologie qui devrait assurer la décentralisation et la sécurité de l’information, mais qui n’est évidemment pas invulnérable. Et comme il y a des enjeux financiers énormes, si un bug est dans la blockchain, en quelques secondes des personnes peuvent détourner des milliards en tout anonymat. » explique l’anthropologue.
Dans la même veine que les bug bounties, des hacking events sont organisés. Il s’agit d’inviter les hackers à travailler sur de nouvelles technologies afin de dénicher des bugs, à nouveau contre espèces sonnantes et trébuchantes. De même, il y a de plus en plus d’entreprises spécialisées dans la sécurité informatique. Pour n’en citer qu’une, Hackerone protège Nintendo, PayPal, Toyota, le département de la défense des États-Unis…
La place de l’hacktivisme
Par comparaison, des groupements tels qu’Anonymous se désignent eux.elles-mêmes comme des hacktivistes, et agissent avec des motifs politiques. « Dans le cas de ce collectif, ce sont des attaques qui n’impliquent pas la découverte de nouvelles vulnérabilités, mais l’utilisation de vulnérabilités existantes et d’outils qui sont en libre accès afin d’exercer des activités plus ou moins légales. », analyse l’anthropologue. Étant donné son arsenal de compétences journalistiques et techniques, Anonymous est un des groupements d’hacktivistes les plus médiatisés. Leur image, dont l’utilisation comme symbole du masque de V, issu du film V pour Vendetta, y est sans doute pour beaucoup.
La question de l’hacktivisme se décline de plusieurs manières. Outre Anonymous, Wikileaks est un emblème majeur de la liberté de la presse et de la liberté d’informer. Sa raison d’être est de donner une audience aux lanceurs d’alertes et aux fuites d’information, tout en protégeant leurs sources. Plusieurs millions de documents relatifs à des scandales de corruption, d’espionnage et de violations de droits de l’Homme concernant des dizaines de pays à travers le monde ont été publiés sur le site depuis sa création en 2006. Rappelons que Julian Assange, son représentant le plus célèbre, est sur le point d’être extradé aux USA au moment de la rédaction de cet article
Citons également Aaron Swartz, fervent partisan de la liberté numérique qui aura, entre autres, contribué au libre accès d’articles scientifiques, avant de se suicider à l’âge de 26 ans, sous la pression d’un procès imminent. Enfin, il existe pléthore de fondations et d’organisations qui militent pour la liberté sur internet et pour le droit à la protection des données : Access Now, Electronic Frontier Foundation ou encore la Quadrature du Net ne sont que quelques exemples piochés dans la multitude. Bien entendu, des individus peuvent être à la fois hacktiviste et hacker éthique.
Rappelons-nous qu’internet reste un univers assez jeune et en constante mutation. Il y a fort à parier que le hacking éthique et l’hacktivisme ont encore de beaux jours devant eux !