{"id":13970,"date":"2022-05-02T23:07:10","date_gmt":"2022-05-02T21:07:10","guid":{"rendered":"https:\/\/student.unifr.ch\/spectrum\/?p=13970"},"modified":"2022-05-08T17:05:47","modified_gmt":"2022-05-08T15:05:47","slug":"le-hacking-ethique-en-toute-illegalite","status":"publish","type":"post","link":"https:\/\/student.unifr.ch\/spectrum\/2022\/05\/le-hacking-ethique-en-toute-illegalite\/","title":{"rendered":"Le hacking \u00e9thique : en toute (il)l\u00e9galit\u00e9\u00a0"},"content":{"rendered":"
Le hacking \u00e9thique : en toute (il)l\u00e9galit\u00e9<\/h1>\n
\u00a0<\/strong>Le hacking \u00e9thique, activit\u00e9 l\u00e9gale, est un aspect m\u00e9connu de la s\u00e9curit\u00e9 informatique, qui est souvent confondu \u2013 \u00e0 tort \u2013 avec l\u2019hacktivisme, le plus souvent ill\u00e9gal. \u00c9clairage avec l\u2019anthropologue David Bozzini. Maxime Staedler.<\/strong><\/p>\n
<\/p>\n
Au d\u00e9but des ann\u00e9es 1980 na\u00eet ce qu\u2019on peut appeler le hacking \u00e9thique, dans une \u00e8re pr\u00e9-internet. De jeunes individus dou\u00e9s en informatique s\u2019amusent avec des programmes et syst\u00e8mes d\u2019exploitation, et se plaisent \u00e0 d\u00e9nicher les failles et les vuln\u00e9rabilit\u00e9s qu\u2019ils renferment. Rapidement, il.elle.s se mettent \u00e0 communiquer aux entreprises concern\u00e9es \u2013 on peut penser \u00e0 Microsoft, Lotus\u2026 – pour les informer de ces d\u00e9faillances afin de les faire corriger car elles repr\u00e9sentent un potentiel danger.:\u00ab\u00a0G\u00e9n\u00e9ralement, les entreprises \u00e9taient dans le d\u00e9ni, et le sont parfois encore. La r\u00e9ponse envers les hackers \u00e9thiques a \u00e9t\u00e9 parfois violente, que ce soit en attaquant les personnes l\u00e9galement, en mena\u00e7ant de s\u2019attaquer \u00e0 elles, ou simplement en ne r\u00e9pondant pas\u00a0\u00bb r\u00e9sume David Bozzini, anthropologue int\u00e9ress\u00e9 par la s\u00e9curit\u00e9 informatique.<\/p>\n
Les pr\u00e9mices du hacking \u00e9thique<\/strong><\/h3>\n
\u00ab\u00a0Au bout d\u2019un moment, ces gens en ont eu marre de se faire taper sur les doigts ou d\u2019\u00eatre compl\u00e8tement ignor\u00e9s\u00a0\u00bb, poursuit-il. En 1984, le Chaos Computer Club (CCC), cr\u00e9\u00e9 trois ans plus t\u00f4t, pr\u00e9vient la Deutsche Bundespost que son syst\u00e8me Bildschirmtext (BTX, l\u2019\u00e9quivalent allemand du minitel, ndlr.) comporte une faille de s\u00e9curit\u00e9, mais la mise en garde est ignor\u00e9e par la poste allemande. Peu de temps apr\u00e8s, les hackers se sont rendu compte que la poste avait corrig\u00e9 cette vuln\u00e9rabilit\u00e9 et qu\u2019elle n\u2019existait plus.<\/p>\n
Devant ce manque flagrant de consid\u00e9ration, le CCC a trouv\u00e9 un autre moyen pour se faire entendre\u00a0: Utilisant une autre vuln\u00e9rabilit\u00e9, ils ont d\u00e9tourn\u00e9 134’000 deutschemark sur le compte du CCC, avant de les rendre le lendemain devant la presse. L\u2019affaire fait grand bruit, le Chaos Computer Club se fait conna\u00eetre et r\u00e9v\u00e8le ainsi au grand public l\u2019existence de failles au sein de ce syst\u00e8me de transaction financi\u00e8re r\u00e9put\u00e9 jusque-l\u00e0 s\u00fbr\u00a0: \u00ab\u00a0C\u2019est un des premiers cas de divulgation publique de vuln\u00e9rabilit\u00e9s et qui donne cette image du hacker qui aime bien s\u2019amuser, titiller le pouvoir et se moquer de lui, \u00bb commente l\u2019anthropologue.<\/p>\n
Cet exemple illustre bien la pens\u00e9e des hackers \u00e9thiques\u00a0: Leur recherche de vuln\u00e9rabilit\u00e9 s\u2019inscrit dans une volont\u00e9 de contribuer \u00e0 la s\u00e9curit\u00e9 informatique. Il.elle.s ne cherchent pas l\u2019enrichissement personnel et ne poursuivent pas d\u2019activit\u00e9s criminelles.<\/p>\n
Internet change la donne<\/strong><\/h3>\n
Avec la d\u00e9mocratisation d\u2019internet dans le courant des ann\u00e9es 1990 et au d\u00e9but des ann\u00e9es 2000, ces probl\u00e8mes de s\u00e9curit\u00e9 informatique deviennent de plus en plus pr\u00e9gnants, avec des personnes malintentionn\u00e9es qui cr\u00e9ent des virus en exploitant les failles r\u00e9v\u00e9l\u00e9es par les hackers \u00e9thiques. Il faut pr\u00e9ciser que les hackers \u00e9thiques contactent syst\u00e9matiquement les entreprises et ne divulguent les failles sur des forums sp\u00e9cialis\u00e9s qu\u2019en absence de r\u00e9ponse de la part de celles-ci : \u00ab\u00a0Il y a toujours un d\u00e9ni des entreprises \u00bb, rel\u00e8ve David Bozzini.\u00a0De larges pans d\u2019internet sont ainsi bloqu\u00e9s \u00e0 plusieurs reprises, \u00e0 cause de virus et autres worms<\/em> cr\u00e9\u00e9s par des personnes malintentionn\u00e9es.<\/p>\n\u00a9Gwendoline Schenck<\/figcaption><\/figure>\n
Les entreprises se sentent donc oblig\u00e9es de r\u00e9pondre. Petit \u00e0 petit se met en place une collaboration difficile entre ces hackers \u00e9thiques, qui re\u00e7oivent enfin une part de reconnaissance, et les entreprises actives dans l\u2019informatique. David Bozzini constate\u00a0: \u00ab\u00a0Ce n\u2019est que depuis tr\u00e8s r\u00e9cemment qu\u2019existe un syst\u00e8me qui permet des r\u00e9tributions pour ce travail-l\u00e0. Il y a un march\u00e9 des vuln\u00e9rabilit\u00e9s, un march\u00e9 d\u00e9fensif qui s\u2019est mis en place il y a une dizaine d\u2019ann\u00e9es.\u00a0Auparavant, tout cela \u00e9tait compl\u00e8tement b\u00e9n\u00e9vole\u00a0\u00bb.<\/p>\n
De nos jours, les g\u00e9ants du net proposent \u00e0 n\u2019importe qui d\u2019attaquer leur syst\u00e8me contre r\u00e9tribution s\u2019il.elle.s trouvent une vuln\u00e9rabilit\u00e9 qui correspond \u00e0 leurs attentes. C\u2019est donc une nouvelle mani\u00e8re de faire de la s\u00e9curit\u00e9 informatique, qui permet de recevoir des bugs et des vuln\u00e9rabilit\u00e9s de l\u2019ext\u00e9rieur et de la part de n\u2019importe qui, et que les entreprises promeuvent m\u00eame par le biais de r\u00e9mun\u00e9rations.<\/p>\n
Des chasses aux bugs, ou\u00a0bug bounties<\/em>, sont r\u00e9guli\u00e8rement organis\u00e9es \u00e0 cette fin, et offrent des primes cons\u00e9quentes aux hackers inventif.ve.s. Ces bug bounties<\/em> existent notamment dans le domaine de la blockchain<\/em> (syst\u00e8me permettant notamment aux crypto-monnaies comme le Bitcoin ou les contrats intelligents d\u2019Ethereum de fonctionner, ndlr.) : \u00ab\u00a0La blockchain<\/em> est une technologie qui devrait assurer la d\u00e9centralisation et la s\u00e9curit\u00e9 de l\u2019information, mais qui n\u2019est \u00e9videmment pas invuln\u00e9rable. Et comme il y a des enjeux financiers \u00e9normes, si un bug est dans la blockchain<\/em>, en quelques secondes des personnes peuvent d\u00e9tourner des milliards en tout anonymat. \u00bb explique l\u2019anthropologue.<\/p>\n
Dans la m\u00eame veine que les bug bounties<\/em>, des hacking events<\/em> sont organis\u00e9s. Il s\u2019agit d\u2019inviter les hackers \u00e0 travailler sur de nouvelles technologies afin de d\u00e9nicher des bugs, \u00e0 nouveau contre esp\u00e8ces sonnantes et tr\u00e9buchantes. De m\u00eame, il y a de plus en plus d\u2019entreprises sp\u00e9cialis\u00e9es dans la s\u00e9curit\u00e9 informatique. Pour n\u2019en citer qu\u2019une, Hackerone prot\u00e8ge Nintendo, PayPal, Toyota, le d\u00e9partement de la d\u00e9fense des \u00c9tats-Unis\u2026<\/p>\n
La place de l\u2019hacktivisme<\/strong><\/h3>\n
Par comparaison, des groupements tels qu\u2019Anonymous se d\u00e9signent eux.elles-m\u00eames comme des hacktivistes, et agissent avec des motifs politiques. \u00ab\u00a0Dans le cas de ce collectif, ce sont des attaques qui n\u2019impliquent pas la d\u00e9couverte de nouvelles vuln\u00e9rabilit\u00e9s, mais l\u2019utilisation de vuln\u00e9rabilit\u00e9s existantes et d\u2019outils qui sont en libre acc\u00e8s afin d\u2019exercer des activit\u00e9s plus ou moins l\u00e9gales.\u00a0\u00bb, analyse l\u2019anthropologue. \u00c9tant donn\u00e9 son arsenal de comp\u00e9tences journalistiques et techniques, Anonymous est un des groupements d\u2019hacktivistes les plus m\u00e9diatis\u00e9s. Leur image, dont l\u2019utilisation comme symbole du masque de V<\/em>, issu du film V pour Vendetta<\/em>, y est sans doute pour beaucoup.<\/p>\n
La question de l\u2019hacktivisme se d\u00e9cline de plusieurs mani\u00e8res. Outre Anonymous, Wikileaks est un embl\u00e8me majeur de la libert\u00e9 de la presse et de la libert\u00e9 d\u2019informer. Sa raison d’\u00eatre est de donner une audience aux lanceurs d’alertes et aux fuites d’information, tout en prot\u00e9geant leurs sources. Plusieurs millions de documents relatifs \u00e0 des scandales de corruption, d’espionnage et de violations de droits de l’Homme concernant des dizaines de pays \u00e0 travers le monde ont \u00e9t\u00e9 publi\u00e9s sur le site depuis sa cr\u00e9ation en 2006. Rappelons que Julian Assange, son repr\u00e9sentant le plus c\u00e9l\u00e8bre, est sur le point d\u2019\u00eatre extrad\u00e9 aux USA au moment de la r\u00e9daction de cet article<\/p>\n
Citons \u00e9galement Aaron Swartz, fervent partisan de la libert\u00e9 num\u00e9rique qui aura, entre autres, contribu\u00e9 au libre acc\u00e8s d\u2019articles scientifiques, avant de se suicider \u00e0 l\u2019\u00e2ge de 26 ans, sous la pression d\u2019un proc\u00e8s imminent. Enfin, il existe pl\u00e9thore de fondations et d\u2019organisations qui militent pour la libert\u00e9 sur internet et pour le droit \u00e0 la protection des donn\u00e9es\u00a0: Access Now, Electronic Frontier Foundation ou encore la Quadrature du Net ne sont que quelques exemples pioch\u00e9s dans la multitude. Bien entendu, des individus peuvent \u00eatre \u00e0 la fois hacktiviste et hacker \u00e9thique.<\/p>\n
Rappelons-nous qu\u2019internet reste un univers assez jeune et en constante mutation. Il y a fort \u00e0 parier que le hacking \u00e9thique et l\u2019hacktivisme ont encore de beaux jours devant eux\u00a0!<\/p>\n
![\"\"](\"https:\/\/student.unifr.ch\/spectrum\/wp-content\/uploads\/2022\/05\/Hacking-\u00e9thique-424x600.jpg\")