« Gentil » hacker, « méchant » hacker : le jeu des cinq familles

Publié le 30 Juillet 2013

« Gentil » hacker, « méchant » hacker : le jeu des cinq familles

Barnaby Jack, le 28 juillet 2010 à Las Vegas (Isaac Brekken/AP/SIPA)

Barnaby Jack, l’un des plus célèbres « hackers » de sa génération, est mort jeudi à l’âge de 35 ans. Ce Néo-zélandais s’était illustré pour avoir découvert le « jackpotting », une technique de piratage de distributeurs de billets qui lui avait permis de retirer de l’argent sans toucher à aucun compte.

Le hacker n’était pas un « mauvais garçon » et avait expliqué que sa démonstration (faite publiquement) n’avait été motivée que par le souci de renforcer la sécurité des dispositifs électroniques.

Il appartenait donc au mouvement des « White Hats », des chapeaux blancs, « bons » hackers au service de la communauté. En ces temps de psychose cybernétique, c’est l’occasion de revenir sur les différentes familles qui composent et divisent la communauté du « hacking ».

Le hacker « White Hat »

Alias le « gentil »

Avant que Hollywood ne s’empare du hacker et n’en fasse un expert criminel, le terme désignait simplement des individus avec des connaissances poussées dans le domaine de l’informatique et des réseaux. Les « White Hats » s’inscrivent dans cet héritage.

Ce sont des hackers « éthiques » dont l’expertise consiste notamment à trouver les failles des systèmes de sécurité. Ils se retrouvent donc généralement affiliés à des entreprises de sécurité informatique qui monnayent leurs services pour auditer de grandes entreprises.

Après avoir effectué ses « tests de pénétration » des systèmes, le hacker fait son rapport et décrit le mode opératoire, permettant à l’organisation cliente d’améliorer ses défenses.

La vente de découvertes de failles de système

D’autres font le choix de travailler en freelance et trouver eux-même les failles pour revendre leurs découvertes sur des sites légaux comme Exploit Hub. Les entreprises rémunèrent généralement ces trouvailles entre 300 et 1 500 dollars.

Mais les chiffres peuvent s’envoler selon l’importance de la faille (et le nom de la firme concernée) : un expert en sécurité surnommé The Grugq a réussi à vendre la découverte d’une faille sur le système iOS pour 250 000 dollars. En 2011, WikiLeaks avait révélé que la firme Endgame Systems vendait des « packs » de 25 failles découvertes pour... 2,5 millions de dollars.

Le hacker « Black Hat »

Alias le « méchant »

Le « Black Hat » est le hacker comme Hollywood et les romans aiment le fantasmer : un individu souvent isolé, pénétrant les systèmes des gouvernements ou d’entreprises pour y dérober des informations dont il tirera profit.

Cela peut consister en un vol de données personnelles (cartes bancaires par exemple) ou en une vente d’un « zero-day exploit » (voir encadré) à une entreprise concurrente ou à une organisation criminelle sur le marché noir.

« Le Hannibal Lecter du cybercrime »

Certains « Black Hats » sont devenus célèbres :

  • Kevin Mitnick, connu pour avoir pénétré les systèmes de la défense des Etats-Unis et été considéré « cybercriminel le plus recherché de l’histoire » par la justice américaine. Il s’est rangé après avoir purgé une peine de cinq ans de prison.
  • Albert Gonzalez, qui a été arrêté pour avoir volé les données relatives à 170 millions de cartes bancaires. Il a été envoyé en prison en 2010 pour vingt ans.
  • Kevin Poulsen, alias « Dark Dante » aussi surnommé « le Hannibal Lecter du cybercrime ». Il avait réussi à pirater les lignes téléphoniques d’une station radio et à remporter ainsi le gros lot d’un jeu concours (une Porsche). Après une peine de prison, il s’est rangé et est devenu chef de service au magazine Wired.

Le hacker « Grey Hat »

Alias le « borderline »

N’en déplaise à Hollywood, tout n’est pas blanc ou noir, a fortiori dans l’univers du hacking qui joue avec l’anonymat, le vol et les techniques d’infiltration. Il est donc logique qu’une « zone grise » se soit rapidement développée, peuplée de hackers jonglant avec règles et éthique.

Un hacker « Grey Hat » fait référence à un pirate qui va utiliser des moyens illégaux à des fins éthiques. Il essaie généralement de compromettre un système informatique sans permission préalable mais sans y rechercher un profit personnel. Il informe après coup l’organisation ciblée, en privé ou publiquement.

« Je ne serai pas aussi tendre la prochaine fois »

Un jeune homme sur son ordinateur (Audrey Cerdan/Rue89)

Cette position d’entre-deux peut parfois s’avérer hasardeuse. En juin 2010, le groupe de hackers Goatse Security a révélé au journal Gawker une faille dans les systèmes de l’opérateur AT&T qui permettait de connaitre les adresses e-mail des utilisateurs d’iPad. Le FBI a alors ouvert une enquête sur les activités du groupe.

Leur leader weev, qui a finalement fini derrière les barreaux, avait vivement condamné l’attitude de l’administration américaine :

« Mon regret est d’avoir été assez sympa pour donner une chance à AT&T de réparer [leur système, ndlr] avant de lâcher les informations à Gawker. Je ne serai pas aussi tendre la prochaine fois. »

Une citation qui sera utilisée par l’administration pour justifier sa condamnation.

L’« hacktiviste »

Alias le croisé

L’« hacktiviste », contraction de hacking et activiste, est l’individu qui met ses compétences en informatique au service d’une cause. Cette notion protéiforme peut donc se décliner autant de fois qu’il y a de causes à défendre.

Parmi elles : la défense des droits de l’homme, de la liberté d’expression, de religions ou d’idéologies, du patriotisme... Les moyens mis en œuvre sont tout aussi variés : attaques par déni de service, prise de contrôle des sites de médias, redirections d’URL, sabotages, vols et publications de données confidentielles...

Snowden ? Un traître selon Le Bouffon

Le célèbre hacker The Jester (le bouffon), est certainement le plus célèbre hacktiviste patriotique aujourd’hui. Il s’est illustré en attaquant ceux qu’il considère « ennemis des Etats-Unis », notion souple comprenant tant des groupuscules islamistes que des sites des gouvernements sud-américains qui ont apporté leur soutien à Edward Snowden (qu’il estime être un traître doublé d’un imbécile narcissique).

Il s’est également opposé au réseau de hackers Anonymous, rangés eux aussi dans la case hacktiviste après leurs attaques au nom de la liberté.

Les Etats ne cautionnent généralement pas les actions de leurs hacktivistes, mais l’inaction à leur encontre n’est certainement pas innocente. Un soutien tacite qui frôle parfois la fierté : l’ordinateur du Jester, qui n’a jamais été inquiété par la justice, s’est même récemment retrouvé au Musée international de l’espionnage à Washington.

Le « Nation-State » hacker

Alias le soldat

Enfin, le « Nation-State » hacker, ou hacker d’Etat, qui utilise les mêmes méthodes qu’un « Black Hat » mais le fait au service d’un Etat qui l’emploie. Ces hackers forment les cyberarmées qui s’affrontent aujourd’hui à des fins de renseignement ou d’espionnage industriel.

Un rapport publié par la société américaine de sécurité Mandiant en début d’année dévoilait le pot-aux-roses – un secret de polichinelle en réalité – en révélant l’existence et l’origine d’un grand nombre de cyberattaques à l’encontre des entreprises, médias et systèmes gouvernementaux américains. La Chine gagnait le trophée, mais la France était également désignée.

Plus récemment, les hackers chinois ont même dévalisé le Pentagone et volé les plans du chasseur ultramoderne F-35. Les Etats-Unis se sont bien entendu insurgés, mais sans mentionner la cybercellule TAO à Fort Meade (Maryland) qui, forte de ses 600 hackers et informaticiens – au moins – espionne la Chine depuis quinze ans.

De l’autre côté du Pacifique, c’est la l’Unité 61398 de l’Armée populaire de libération (2 000 personnes) qui s’occupe de servir les ambitions numériques de Pékin.

  • 20924 visites
  • 31 réactions

En complément, un article paru ce jour sur l’eetimes* et qui discute des différences et similitudes entre un ingénieur et un hacker.

(en english in ze text)
Lien

* pour ceux qui aiment un peu l’électronique, c’est un excellent site.

Rédigé par

Repost 0
Commenter cet article