ACCUEIL > Nos actualités >
Architecture cloud, réseaux et Cybersecurité
 > Qu’est-ce qu’un hacker éthique ?
Qu’est-ce qu’un hacker éthique ?

Qu’est-ce qu’un hacker éthique ?

Un hacker qui vous veut du bien, ça existe ! On l’appelle le hackeur éthique, ou le hacker au chapeau blanc, et plus couramment, on lui attribue ce nom en anglais qui donne donc White Hat Hacker

Hacker éthique : définition

Il s’agit d’un expert en sécurité informatique qui utilise ses capacités à des fins honnêtes et éthiques, et qui, de façon un peu caricaturale, est du côté de la justice.

Ce profil de hacker peut être recruté en interne, et peut aussi être mandaté par des entreprises pour tester la sécurité de leur réseau, de leurs applications web ou de tout hardware connecté, plus largement appelé IoT (Internet of Things).

Le rôle d’un hacker éthique est de trouver des vulnérabilités dans les systèmes informatisés d’une organisation qu’un hacker malveillant appelé Black Hat Hacker ou qu’une organisation de hackers malveillants adverse pourrait exploiter pour compromettre le système d’information d’une organisation. 

Le white hat hacker utilise ses connaissances pour compromettre lui-même les systèmes de l’organisation, comme un black hat hacker l’aurait fait, à la différence que le hacker éthique à l’autorisation de l’organisation pour mener ces tests d’intrusion. 

Ce contrat passé entre l’organisation est le hacker éthique s’appelle le mandat d’intrusion. Ce n’est qu’avec ce mandat que le hacker éthique sera autorisé à faire des tests d’intrusion. Sans ce mandat, tout hacker est considéré comme un cyberattaquant, dont le but est donc de nuire à l’organisation.

La dimension éthique réside donc dans le fait que, au lieu d’utiliser ses découvertes pour son propre intérêt et/ou à des fins malveillantes, le white hat hacker proposera à son employeur ou à l’organisation qui l’a mandaté, un plan d’action pour remédier aux failles détectées.

Le pirate éthique peut être interne à une organisation, ou externe à celle-ci, mais il sera mandaté dans les deux cas.

Le hacker éthique interne à l’organisation :

Il peut être tenu d'avoir une connaissance intime d'un seul type de logiciel ou d'actif numérique pour se spécialiser sur un type d’intrusion spécifique, ou bien un seul type de dispositif ou de réseau à pirater.

Le hacker éthique externe à l’organisation :

Il présente une différence majeure de celui en interne, puisqu’il ne connait rien de l’organisation ou presque, et va donc pouvoir se mettre à 100% dans la peau d’un Black Hat Hacker, comme dans une situation réelle.

Quelles sont les compétences d’un hacker éthique ?

Le hacker éthique est un spécialiste des services de cybersécurité offensifs simulés.

  • Il doit maîtriser les systèmes d’exploitation (Windows et Linux),
  • Il doit comprendre les réseaux câblés et sans fils, et leurs infrastructures,
  • Il doit comprendre les pare-feu et les systèmes de fichiers,
  • Il doit savoir comment fonctionnent les autorisations de fichiers,
  • Il doit avoir de solides compétences en codage,
  • Il doit être familiarisé avec les serveurs, les postes de travail et l'informatique en général,
  • Il doit connaître les différentes méthodes d'attaque, automatiques et manuelles
  • Il doit connaître Ies outils d'attaque.

Savoir comment attaquer un système d’information est un prérequis pour accéder à ce type d’emploi. Il est même souvent évoqué le fait que, pour se protéger d’un hacker malveillant, il faut essayer de le comprendre en se mettant dans sa peau, pour mieux simuler les types d’attaques auxquelles il pourrait penser. Pour se mettre au mieux dans sa position, il faut être capable de réfléchir à sa place, et de faire des attaques sur le système à défendre avec le même savoir-faire, les mêmes connaissances des outils et des méthodes d’attaque.

Comme les techniques de piratages informatiques évoluent, le hacker éthique doit être en mesure d’actualiser ses connaissances et ses compétence sur ces nouvelles menaces et ces nouvelles pratiques. Il est essentiel qu’il fasse une veille permanente sur les cybermenaces qui se répandent sur le net, dans le monde entier. Il doit être en mesure de fournir un regard neuf sur les différents types d’intrusion et d’agression en ligne pour pouvoir s’en défendre au mieux.

Il doit être éthique dans sa définition la plus stricte et précise.

En vous rendant sur le net, vous trouverez quelques histoires de Black Hat devenus White Hat, lors de l’apparition de ce nouveau rôle bienveillant chez les pirates. Bien que les compétences techniques puissent être similaires, des antécédents de cybercriminel sont éliminatoires pour devenir un hacher éthique.

Parmi ces hackers éthiques, on retrouve donc différents rôles, et mêmes, différentes équipes :

La Red Team, une équipe de testeurs d’intrusion

La Red Team, une équipe de testeurs d’intrusion

L’équipe rouge fournit des services de sécurité offensifs en imitant le rôle d’un cyber attaquant.
Il est courant que cette équipe rouge soit une équipe externe à l’organisation qui les mandate pour imiter au mieux une attaque venue de l’extérieure, sans connaissance préalable du système de sécurité mis en place. Les types d’attaques qui peuvent être mis en place par l’équipe rouge sont nombreux. Ils consistent à exploiter les vulnérabilités « usuelles » et des attaques plus complexes comme l’ingénierie sociale, plus couramment appelé Social Engineering, ou encore piratage psychologique.

La Blue Team, une équipe pour l’amélioration de la défense

L’équipe bleue fournit donc des services de sécurité défensifs. Contrairement à l’équipe rouge, l’équipe bleue est déjà informée du système de défense en place dans l’organisation. Elle analyse en continue les activités inhabituelles dans le système informatisé avec des système d’audit de sécurité, d’analyse de logs ou encore, en élaborant des scénarios à risque.

C’est un travail qui comprend énormément de minutie, pour ne pas passer à côté d’un bout de code inhabituel ou étranger par exemple.

La Purple Team, l’union entre Red Team et Blue Team

Combinaison du rouge et du bleu, l’équipe violette identifie les équipes qui fournissent une partie de chaque type de service de sécurité, rouge et bleu. C’est en réalité un travail conjoint des deux équipes et une coopération visant à renforcer les connaissances en attaques cyber d’une part, et en défense cyber d’une autre.

Comment devenir hacker éthique ?

Historiquement, le hacker éthique était un autodidacte qui agissait seul et sans avoir suivi de formation particulière. Le hacker éthique d’hier était plutôt un Grey Hat Hacker, qui agissait pour le bien d’une ou plusieurs organisation en piratant leur système sans autorisation préalable et sans mandat d’intrusion, mais en informant l’organisation concernée des failles de sécurité existantes dans leur système d’information ou dans leur réseau.

Aux États-Unis, il est courant que des hackers autodidactes qui se revendiquent white hat soient embauchés à la suite de résolution de bugs via des plateformes de bug bounty par les entreprises victimes de ces bugs. C’est par exemple le cas pour des entreprises comme Facebook ou encore Google. 

En France, les hackers éthiques sont pour la plupart d’entre eux déjà experts en systèmes d'information ou des experts en sécurité des réseaux. Ils sont très souvent formés en cybercriminalité dans un second temps. Il s'agit donc dans la grande majeure partie des cas d'une évolution de poste plutôt que d’un changement de fonction.

Le script kiddie, ou la définition d’un hacker amateur

Le script kiddie, ou la définition d’un hacker amateur

N’est pas hacker éthique qui veut ! Le script kiddie (en français gamin à script) appelé aussi lamer (signifiant « faible » ou « boiteux » en anglais), est un terme péjoratif qui désigne des néophytes en informatique qui tentent d'infiltrer des systèmes en étant dépourvus de compétences en sécurité informatique.

Le script kiddie est le type de profil qui se sert de programmes simples, voir déjà conçus par d’autres hackers expérimentés, mais qu'ils ne comprennent pas, et qui revendiquent des attaques d’envergure pour se donner de la légitimité.

Malgré leur faible niveau de qualification, les script kiddies peuvent représenter une menace réelle pour la sécurité des systèmes. D’une part, parce que les script kiddies sont très nombreux, et d'autre part, parce qu’ils sont souvent très obstinés à mener à bien leur action, au point de passer parfois plusieurs jours à tenter plusieurs attaques différentes pour y parvenir.

Cependant, avec leur manque de connaissances et de compétences, les script kiddies prennent peu de précautions lorsqu’ils agissent. Ils font des erreurs assez basiques qui les rendent faciles à identifier, et donc à pirater.

Aujourd’hui, le point de départ pour devenir hacker éthique est avant tout la formation, et peut être renforcé en obtenant une ou plusieurs certifications.

Quelles certifications pour devenir Hacker Ethique ?

Quelle formation suivre pour devenir hackeur éthique ?

Pour devenir hacker éthique, il faut en toute logique posséder un bon niveau en informatique, et également une spécialisation en cybersécurité.

Pour cela, il est possible de suivre une formation à un niveau Bac +3, ou de poursuivre jusqu’à Bac +5, et au-delà.

Il est possible de suivre ce type de formation à l’université, en école d’ingénieur ou encore en école spécialisée en se positionnant sur une filière en cybersécurité.

Par la suite, il est tout à fait possible de devenir un hacker éthique indépendant, ou de faire partie d’une organisation.

Quelles certifications pour devenir Hacker Ethique ?

En effet, il existe des certifications spécifiques au piratage éthique. Deux des plus célèbres à travers le monde sont la certification CEH - Certified Ethical Hacker et la certification OSCP - Offensive Security Certified Professional. 

  • Le certification Certified Ethical Hacker (CEH)

Cette certification CEH a été revue récemment pour en proposer une 11ème version complète et actualisée.

Reconnue mondialement par les professionnels de la sécurité et conforme la norme ANSI 17024, la certification CEH représente est une réelle valeur ajoutée à votre CV et à votre parcours professionnel dans le monde de la cybersécurité, du test d’intrusion et plus particulièrement dans le monde du piratage éthique.

Cette formation s’achève par un examen qui est un questionnaire à choix multiples d’une durée de 4h.

  • La certification Offensive Security Certified Professional (OSCP)

La certification OSCP est conçue pour démontrer les compétences et les connaissances nécessaires pour être un testeur d'intrusion. Cette certification est donc faite pour vous si vous souhaitez construire votre carrière dans la cybersécurité. 
Si vous désirez en savoir plus sur les techniques défensives et offensives en matière de test d’intrusion, alors vous devriez envisager d’obtenir la certification pour devenir professionnel certifié en sécurité offensive (OSCP). 

Contrairement à la certification CEH, l’OSCP n’est pas un examen de type QCM. Il s’agit ici de mettre en pratique ses connaissances avec un LAB à distance, qui évaluera vos compétences techniques ainsi que la qualité de votre reporting.

Intéressé par une formation ou par une certification en cybersécurité ? 
Rendez-vous sur la rubrique « Cybersécurité » de Numeryx Université pour découvrir 13 formations en Cybersécurité en présentiel ou à distance : cybersécurité

Quelles sont les missions du hacker éthique ?

Le hacker éthique contourne les règles de sécurité de l’organisation qui la mandaté. Il organise une attaque informatique ou une série d’attaques, afin de détecter des brèches dans le système d’information de l’organisation, puis les notifient à l’organisation pour pouvoir ensuite y remédier.

Dans son scope, le hacher éthique ne va pas seulement faire des tests de vulnérabilités (activité du Pentester), mais il va aussi conduire d’autres travaux, dont les principaux sont les suivants :

Les tests d’intrusions et de régression

Il existe en effet une batterie de tests à effectuer, dont ceux mentionnés dans la liste non exhaustive suivante :

  • Les tests d’intrusion du réseau externe,
  • Les tests d’intrusion du réseau interne,
  • Les tests d’intrusion applicatifs web,
  • Les tests d’intrusion applicatifs mobiles,
  • Les tests d’intrusion du réseau sans fil,
  • Les tests de régression,
  • Les tests d’appareils embarqués couramment appelés en anglais « embedded devices »,
L’Identification de mauvaises configurations de sécurité

L’Identification de mauvaises configurations de sécurité

Pour réduire les risques d’attaques sur leur réseau, les entreprises sont tenues de suivre des règles de sécurité selon leur secteur d’activité, et dans la mesure du possible, de les appliquer. Cependant, il n’est pas rare que ces procédures ne soient pas correctement appliquées, ce qui offre aux hackers malveillants des possibilités de repérer des failles de sécurité, et de les exploiter. En ligne de mire, on retrouve la perte de données sensibles et/ou stratégiques par vol, par effacement ou en la rendant inaccessible via un rançongiciel, et bien d’autres menaces encore. Les hackers éthiques doivent donc vérifier si ces mesures de sécurité sont bien respectées, en faisant un état des lieux : 

  • Est-ce qu’il existe un chiffrement et des documents et des répertoires ?
  • Les applications web mal configurées, les appareils non sécurisés ?
  • La conservation des identifiants par défaut est-elle toujours en place et systématisée ? 
  • L’utilisation de mots de passe faibles est-elle persistante ? 

    Cela peut paraitre basique, et pourtant, ces quelques points cités ci-avant sont des cas très répandus dans le monde de l’entreprise et constituent un grand nombre de brèches de sécurité informatique, toutes aussi simples à résoudre que dangereuses pour une organisation.

    La mise en place de scans de vulnérabilités

    La première étape pour le hacker éthique va être la cartographie de tous les réseaux de l’entreprise, dans l’optique de les classer par importance. Cette cartographie du réseau est une nécessité pour découvrir de nouveaux périphériques et de nouvelles interfaces réseau, pour en visualiser la connectivité du réseau physique et celle du réseau virtuel. 

    La cartographie du réseau offre donc une visibilité complète de l’infrastructure informatique d’une société pour identifier quels sont les parties de ce réseau à sécuriser en priorité, en fonction de la valeur et du volume d’information.

    En ce qui concerne les scans de vulnérabilités, ils permettent aux entreprises de vérifier la conformité de leurs réseaux et systèmes de sécurité. Des outils d’analyse des vulnérabilités localiseront avec précision les failles de sécurité qui peuvent être dangereuses pour les systèmes en cas d’attaque.

    L’empêchement de l’exposition de données sensibles

    En cas de pertes de données sensibles ou confidentielles, les entreprises s’exposent à des sanctions financières pour non-respect de la vie privée en plus des pertes de revenus engendrées par ces pertes de données, en addition des autres préjudices que ça lui occasionne (perte de confiance des clients et des utilisateurs finaux, des actionnaires etc.).

    Pour se protéger de cette éventuelle perte de données sensibles, les hackers éthiques réalisent des tests d’intrusion afin d’identifier ces types de failles pour déterminer les vulnérabilités du système d’information, et de documenter le mode opératoire d’éventuelles attaques.

    La vérification des failles d’authentification

    En compromettant l’authentification du site web d’une organisation, des attaquants peuvent récupérer de nombreuses données comme des mots de passe, des cookies, ou encore des informations liées à des comptes utilisateurs. Ces informations peuvent leur servir ultérieurement à prendre une fausse identité des employés, ou encore, à accéder à des niveaux d’informations plus sensibles voir mêmes confidentielles.

    La mission du hacker éthique dans ce cas, est de vérifier la gestion des systèmes d’authentification, et de suggérer des mesures de sécurité à mettre en place afin de protéger l’organisation.

    Il existe bien entendu de nombreuses autres missions pour le hacker éthique, comme :

    • Les évaluations de systèmes centraux et d’applications centrales appelés couramment en anglais « mainframe systems or applications »,
    • L’évaluation du programme de sécurité applicative,
    • La revue de la sécurité du code.

    Vous vous demanderez peut-être quel est le niveau de rémunération d’un hacker éthique pour tous ces bons et loyaux services ?

    Quel est le salaire d’un hacker éthique ?

    En moyenne, un hacker éthique débutant qui exerce en France touchera 4 000 euros bruts par mois contre 7 500 euros bruts pour un profil sénior. De plus en plus de professionnels sont également rémunérés sous forme de récompenses à la résolution d'un bug grâce aux plateformes de bug bounty.

    Le Pentester

    Quels sont les métiers d’hacking éthique ?

    Il y a peu de temps que le poste d’hacker éthique est un intitulé de poste reconnu. Au sens large, les métiers liés à la Cybersécurité sont affiliés à ce que l’on appelle du hacking ou du piratage éthique, dans le sens où ils visent à protéger les utilisateurs de cyber attaques et de cyber menaces. 

    Les métiers les plus connus en matière de Cybersécurité sont donc les suivants : 

    Le Pentester

    En professionnel de la cybersécurité, le pentester contrôle la sécurité des réseaux informatiques en réalisant des tests d’intrusion ou en anglais “penetration test” ce qui a donné naissance à l’abréviation « Pentest » et « Pentester ». 

    Parmi ces tests d’intrusion, le Pentester pourra en effectuer deux types bien distincts qui sont les tests d’intrusion internes et les tests d’intrusion externes.

    Ce double test permettra de vérifier la vulnérabilité du réseau d’une organisation depuis le réseau interne, et aussi depuis une connexion à l’extérieur de ce réseau. Ces tests permettront par la même occasion de tester si les antivirus et firewalls sont suffisamment robustes pour repousser ses tentatives d’intrusion ou non.

    Grâce aux divers tests d’intrusion, le pentester pourra évaluer le degré de la vulnérabilité et la complexité de sa correction, ainsi que l’ordre de priorité qu’il faudra donner à ces corrections.

    Suite à ces tests, le Pentester identifie les vulnérabilités et propose des actions pour les corriger, puis, il efface derrière lui toutes les traces de tests de vulnérabilités pour éviter une exploitation malveillante des failles précédemment identifiées. 

    Il sera aussi en charge d’audits de sécurité du système d’information de l’entreprise tels que les audits de code, les audits de configuration, les audits d’architecture, et même les audits organisationnels. Ces audits lui permettront également de remonter à l’organisation quelles sont les brèches dans la sécurité du SI, sous de multiples aspects.

    Le pentester et le hacker éthique sont étroitement liés par leurs missions. La confusion entre ces deux termes et ces deux fonctions est monnaie courante. Ils ont en commun l’histoire de deux métiers récents, pour lesquels il n’y avait à l’origine aucune formation et uniquement des profils autodidactes. Comme pour un White Hat Hacker, à la mise en lumière de ce type de profil, il était possible de passer du côté au malveillant au côté éthique.

    L’ingénieur cybersécurité

    L’ingénieur cybersécurité, aussi appelé expert Sécurité des Systèmes Informatiques (SSI) est en charge de l’analyse et du traitement des menaces d’intrusion qui visent le système informatique de l’entreprise qui l’a recruté ou de l’entreprise pour laquelle il intervient. Il définit des plans d’actions pour anticiper des menaces informatiques.

    Comme le Pentester, il traque les éventuelles failles sur les réseaux internes et externes, pour empêcher les intrusions et éviter que des pirates informatiques malveillants exploitent une faille de l’architecture réseau de l’entreprise qu’il défend.

    Lui aussi fait un audit du niveau de sécurité des systèmes informatiques, et le fait de manière permanente. Il surveille tous les points d’accès réseau pouvant provoquer une attaque. S’il identifie des sources pouvant représenter une menace pour les intérêts de l’entreprise qui l’a recruté, il peut travailler au blocage préventif de ces sources externes au réseau. 

    Aussi, il rédige des procédures de sécurité à suivre par le personnel de l’entreprise et peut jouer un rôle dans la sensibilisation aux enjeux de la sécurité informatique des collaborateurs de l’entreprise. Il peut créer des supports de formation en fonction des départements de l’entreprise et du niveau de connaissances nécessaire à chacun.

    Il peut être amené à piloter les équipes techniques (IT) pour sécuriser le réseau et les systèmes informatiques de l’entreprise. Il est également amené à faire une veille des menaces qui circulent sur le net, et peut être amené à travailler dans la confidentialité avec d’autres services de cybersécurité comme le Security Operating Center (SOC).

    L’architecte cybersécurité

    L’architecte cybersécurité

    L’architecte cybersécurité des SI s’assure des choix techniques et technologiques des projets IT et métiers afin qu’ils soient conformes aux exigences de sécurité de l’organisation. Il représente l’autorité technique sur les architectures de sécurité. 

    Il est amené à produire une documentation de cette architecture cybersécurité qu’il a lui-même définie, et est en charge de son évolution.

    Il en produit également les spécifications nécessaires à son bon fonctionnement, et à sa bonne compréhension par les autres ressources qui sont amenées à se documenter, à s’informer ou à se former à ce sujet.

    Il réalise et met à jour les politiques et standards de sécurité applicables à toute l’entreprise, et rédige également les stratégies de tests sécurité & d’audits sécurité, ainsi que toute la documentation de sécurité nécessaires aux certifications et aux homologations. 

    Il réalise et met à jour les analyses de risques, ce qui étend entre autres d’étendre les exigences de cybersécurité de l’entreprise à ses différents fournisseurs.
    C’est un véritable chef d’orchestre de la cybersécurité. Il vérifie quotidiennement le niveau de sécurité atteint par des campagnes de tests de conformité et d’intrusion. Il prend en compte et analyse les incidents et problèmes identifiés par les diverses ressources affectées à la sécurité du système d’information, et propose des plans d’action pour lutter plus efficacement contre ces menaces. 

    C’est également l’architecte cybersécurité qui assure la coordination des travaux de l’équipe technique en matière de sécurité informatique, tout comme la sensibilisation et la formation continue du personnel à ce sujet, et gère aussi tout ce qui concerne le transfert de connaissances et l’accompagnement des collaborateurs dans le but de maintenir le niveau de connaissance acquis.

    L’analyste SOC 

    Le SOC (Security Operation Center), correspond à l’équipe en charge d’assurer la sécurité de l’information dans une entreprise. Cette équipe souvent qualifiée de plateforme, permet de superviser et de gérer la sécurité du SI avec divers outils de collecte, permettant d’établir des liens entre divers événements comme des tentatives d’intrusion, ou des piratages avérés.
    Le SOC veille à ce que les failles et que les incidents de sécurité soient identifiés et analysés, compris et contrôlés. 

    Les différents membres de l’équipe SOC surveillent et analysent l’activité sur les différents réseaux de l’entreprise, sur les serveurs, les terminaux, les bases de données, les applications, les sites Web et autres systèmes, à la recherche de comportements anormaux qui pourraient annoncer ou expliquer un incident en matière de sécurité.
    Comme le SOC doit permettre de répondre à différentes missions, il s’organise de manière générale en 3 niveaux :

    • Le niveau 1 – l’opérateur : il relève les alertes et fait un premier diagnostic. Il peut éventuellement résoudre des incidents qu’il a identifié si c’est dans ses cordes.
    • Le niveau 2 - l’analyste sécurité : il analyse en détail les alertes remontées et qui n’ont pu être traités par le l’opérateur du niveau 1 pour une étude plus approfondie, et si possible une résolution des incidents. Pour cela, il communique vers les équipes concernées par ces typologies d’incidents et les accompagne dans le traitement de ces derniers. S’il le peut, l’analyste met en place des remédiations.
    • Le niveau 3 – l’expert sécurité : c’est le dernier échelon après le niveau 2 en cas de non-résolution des incidents par l’analyste sécurité. L’expert intervient donc pour des analyses approfondies ou nécessitant une compétence particulière ou plus poussée. En s’appuyant sur l’analyse de risques, le responsable du SOC va proposer et implémenter des uses-cases couvrant de nombreuses menaces. Si le use-case n’est pas déjà présent dans le catalogue, il est chargé de le développer pour répondre à ce besoin spécifique

    Quelle différence entre Black Hat Hacker et White Hat Hacker ?

    Si la frontière peut est mince sur le plan technique, elle est immense sur le plan moral !

    Le white hat hacker dit Hacker éthique est comme son nom l’indique, du bon côté de la barrière.
    Il agit uniquement en connaissance de cause d’une organisation qui la mandaté pour tester la vulnérabilité de son système informatique, afin d’en faire un compte rendu et de prendre des mesures efficaces pour renforcer ce système informatisé et pallier aux failles qui auront été détectées. Ces tests d’intrusion et ces méthodes n’auront donc pas pour but de nuire à l’organisation, mais uniquement pour le renforcer.

    Le Black Hat Hacker ne demande pas l’autorisation à qui que ce soit pour introduire un système informatisé. Il a l’intention de nuire, de détruire ou de voler des données

    Auteur

    Rami Ch
    Rami Ch.
    Consultant Expert cyber sécurité

    Articles associés

    Contactez-Nous