Hacking éthique
Le hacking éthique, ou piratage éthique, en sécurité informatique, décrit l'activité de hacking lorsqu'elle n'est pas malveillante.
Les mêmes pratiques (tel que le piratage, l'exploitation de faille, le contournement des limitations) peuvent être utilisées par des white hats (français : chapeaux blancs) avec un objectif bienveillant (analyse, information, protection…) ou des black hats (français : chapeaux noirs) avec un objectif malveillant (destruction, prise de contrôle, vol...).
Par exemple, il est plus éthique de pratiquer une divulgation responsable et d'agir dans un cadre légal : mission de test d'intrusion ou bug bounty (chasse aux bugs).
Introduction
[modifier | modifier le code]Dans le contexte actuel où l’introduction massive des nouvelles technologies de l’information et de communication a rapproché le monde, un discours inquiétant a vu le jour et a fait remonter les problèmes que ces mêmes technologies soulèvent en matière de sécurité. La principale raison de cette inquiétude est le piratage des systèmes informatiques, car si les nouvelles technologies sont puissantes, elles sont également vulnérables. Ainsi, la nécessité de protéger les systèmes de la nuisance du piratage (générée par les hackers informatiques) engendre des concepts comme celui du hacking éthique. Il s’agit du domaine de sécurité des réseaux qui connaît la plus forte croissance et tend de plus en plus à s’imposer tout en suscitant beaucoup de débats[1].
Loin de l’image déformée du pirate criminel des réseaux évoquée par le terme hacker, qui correspond très souvent à celle d'un jeune qui tape quelques commandes sur un écran d’ordinateur pour que ce dernier crache des données confidentielles, le hacker éthique se présente plutôt comme un manipulateur émérite des technologies, souvent inconnues de la plupart des professionnels de l'informatique et de la sécurité, qui sont spécialisées pour accéder à l'information.
Les hackers éthiques (anglais : ethical hackers) deviennent rapidement un élément essentiel de l’arsenal de sécurité réseau d’une entreprise et remplissent de plus en plus un rôle au-delà des tests d'intrusion. À mesure que les menaces changent, les compétences des pirates éthiques évoluent elles aussi, englobant l'ingénierie sociale, les réseaux sociaux et les technologies mobiles grand public.
La plupart des hackers éthiques ont pour activité le piratage à but lucratif, une activité connue sous le nom de test d'intrusion (anglais : penetration test or pentest). Cette méthode d’évaluation est généralement effectuée par un professionnel de sécurité, un testeur, afin d'identifier les risques et les vulnérabilités liés à la sécurité des systèmes et des réseaux. Une identification qui servira dans la mise en place d’un plan d'actions permettant d'améliorer la sécurité d’un système d'information plus élaboré que le précédent.
Définition : qu’est-ce que le hacking éthique/test d’intrusion ?
[modifier | modifier le code]Les entreprises et les gouvernements ont finalement compris, dans leur recherche d’un moyen d’aborder le problème de la sécurité informatique (devenu une préoccupation majeure), que l'un des meilleurs moyens d'évaluer la menace qu’un hacker malveillant représente pour leurs intérêts, est de faire en sorte que des professionnels indépendants de la sécurité informatique tentent de s'introduire dans leurs systèmes.
Ces équipes, appelées « hackers éthiques », emploient les mêmes outils et techniques que les attaquants, mais au lieu de causer des dommages aux systèmes cibles et d’exploiter ou voler des informations, ils évaluent la sécurité de ces systèmes et font un rapport aux propriétaires avec les vulnérabilités trouvées et les solutions pour y remédier.
Caractéristiques de base des tests d’intrusion
[modifier | modifier le code]Différents types de hackers
[modifier | modifier le code]On peut distinguer trois types de hackers : les black hats, les grey hats et les white hats (respectivement chapeaux noirs, gris et blancs en français).
Les black hats commettent des attaques d’intrusion non autorisées contre les systèmes d’informations, qui peuvent être illégaux ou non dans le pays où ils sont conduits.
D'autre part, les hackers éthiques qui sont appelés white hats effectuent, légalement, des tests de sécurité suivant un accord contractuel. Leur objectif principal est d'améliorer le système avant qu'un véritable hacker criminel pénètre au sein de l'organisation.
Enfin, les grey hats sont ceux qui se situent entre les blancs et les noirs et qui exercent leurs activités dans le cadre des lois et règlements légaux, mais peuvent dépasser légèrement ces limites.
Les tests d’intrusion étant une tentative d’immersion autorisée dans le réseau d’une organisation, l’article portera principalement sur les white hats hackers ou hackers au chapeau blanc.
Red team
[modifier | modifier le code]Généralement, les tests sont menés par un groupe faisant partie des white hats : les red teams[2] (équipes rouges en français). Ce sont des équipes composées d’auditeurs externes ou de sociétés de conseil qui fournissent ce genre de services[3].
L’objectif principal de la red team est de simuler des activités identiques ou similaires aux hackers en exploitant des vulnérabilités de sécurité dans un environnement de test contrôlé. En agissant de la sorte, l'entreprise peut éliminer ses failles de sécurité avant que des utilisateurs non autorisés ne puissent réellement les exploiter.
Le personnel interne ne doit pas faire partie de l’équipe, car cela enfreint le principe fondamental de l’autoévaluation. Ainsi, on s'attend à ce que le personnel externe ait une connaissance très limitée, voire inexistante, du système pour pouvoir effectuer une simulation plus réaliste, en conduisant une attaque similaire à celle d’un hacker malveillant. Néanmoins, une vérification des antécédents, des qualifications, de la bonne réputation et de l'expérience, doit être effectuée car l'équipe traitera des informations confidentielles et sensibles.
Les red teams doivent être supervisées par une personne qui sera tenue responsable de tout échec[4].
Types de tests d’intrusion
[modifier | modifier le code]Automatisé vs. manuel
[modifier | modifier le code]Les tests d’intrusion automatisés et manuels peuvent tous les deux êtres utilisés pour évaluer le système de contrôle de sécurité d’une organisation.
Les tests automatisés ont été la principale approche adoptée par les organisations en raison des changements technologiques rapides puisqu'ils permettent de réaliser des économies d’échelle en comparaison avec les tests manuels[5].
Un test manuel approfondi peut prendre plusieurs semaines avec un investissement de plusieurs milliers d’euros, tandis qu'un test automatisé peut effectuer les tests en quelques heures à un coût réduit[6].
De ce fait, les outils automatisés peuvent être plus rentables et efficaces s'ils sont utilisés correctement.
Un autre avantage de l’automatisation est que les entreprises peuvent effectuer ces tests aussi souvent qu’elles le souhaitent et ne pas se limiter aux heures de travail comme c’est le cas avec les tests manuels conduis par des personnes.
D'autre part, les outils automatisés peuvent donner lieu à de faux sentiments de sécurité. En effet, ils ne garantissent pas la capture à 100 % des failles de sécurité du système et sont en l’occurrence aussi efficace que les personnes qui les ont programmés et exécutés.
En d'autres termes, un employé non formé qui gère les tests automatisés risque de causer davantage de dommages à l'entreprise que les bénéfices attendus. En outre, un test automatisé manque de flexibilité pour substituer différents scénarios par rapport à un test manuel complet effectué par un hacker éthique expérimenté.
Externe vs. Interne
[modifier | modifier le code]Comme indiqué ci-dessus, des tests doivent être effectués pour traiter les menaces internes et externes.
Les tests internes sont effectués dans le système de l’entreprise et simulent comment un utilisateur ou un employé autorisé pourrait potentiellement agir. D'autre part, des tests externes tentent de simuler la façon par laquelle un pirate informatique externe pourrait potentiellement nuire de l'extérieur du système. L’équipe mènerait des attaques par intrusion sur le système réseau de l’organisation en utilisant Internet ou Extranet.
La red team cible généralement les serveurs ou les périphériques de l’entreprise, tels que le serveur du domaine, le serveur de messagerie, le serveur Web ou le pare-feu.
Boite noire vs. boite blanche vs. boite grise
[modifier | modifier le code]Test de la boîte noire
[modifier | modifier le code]Dans cette technique, le testeur n’a aucune connaissance préalable de l’architecture de réseau ou des systèmes du réseau de test. Généralement, le test de la boîte noire est effectué à partir d'un réseau externe vers un réseau interne. Le testeur doit utiliser son expertise et ses compétences pour effectuer les tests.
Test de la boîte blanche
[modifier | modifier le code]Les testeurs ont une connaissance complète de la configuration de test et de la configuration système du réseau/système de test. Habituellement, ces tests sont effectués à partir du réseau interne. Les tests de la boîte blanche nécessitent une compréhension approfondie du réseau ou du système de test et donnent de meilleurs résultats.
Test de la boîte grise
[modifier | modifier le code]Lors de cette méthode, le testeur a une connaissance partielle du réseau de test. Le testeur ne connaît pas l’architecture complète du réseau, mais il connaît quelques informations de base sur les tests de configuration du réseau et du système.
En somme, le test de la boîte grise est la combinaison des deux autres techniques. Cela peut être effectué à partir d'un réseau interne ou externe
Techniques de test d’intrusion
[modifier | modifier le code]Diverses technologies, techniques et non techniques, peuvent être utilisées dans le cadre du processus de test d'intrusion pour faire face aux menaces internes et externes. La liste suivante répertorie les outils les plus couramment utilisés dans les tests d'intrusion.
Logiciels d’applications Web
[modifier | modifier le code]Dans la mesure où plusieurs entreprises vendent un nombre considérable d’applications professionnelles sur Internet, les tests peuvent être adoptées pour évaluer le niveau de cryptage utilisé pour le traitement des informations confidentielles et sensibles (128 ou 256 bits), les pare-feu et l’utilisation de cookies stockés sur les ordinateurs des clients[7], la longueur et la force des mots de passe et la sécurité des configurations logicielles[8]. Par exemple, un message ne doit pas indiquer clairement qu'il n'y a un mot de passe incorrect, et aucun problème avec le nom d'utilisateur de connexion.
Déni de service
[modifier | modifier le code]Ces tests dépendent de l’engagement de l’organisation à assurer la disponibilité continue du système d’information. La red team évalue la vulnérabilité du système face à des attaques qui le rendent indisponible, du fait qu’il est incapable de gérer un volume de trafic élevé, et empêchent les utilisateurs légitimes d'un service de l'utiliser.
Il peut s'agir de :
- l’inondation d’un réseau afin d'empêcher son fonctionnement ;
- la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;
- l'obstruction d'accès à un service pour une personne en particulier ;
- l’envoi de milliards d'octets à une box internet.
War dialing
[modifier | modifier le code]Ce test consiste à appeler systématiquement de nombreux numéros de téléphone afin d’identifier les modems, dispositifs d’accès à distance et connexions de maintenance, présents sur le réseau d’une entreprise.
Une fois identifiés, des techniques d'exploitation, telles que des tentatives stratégiques pour deviner le nom d'utilisateur et le mot de passe, sont effectuées pour déterminer si la connexion peut être utilisée comme moyen de pénétrer le système de sécurité des informations[7].
Réseau sans fil
[modifier | modifier le code]L'idée même d'un réseau sans fil introduit de nombreux lieux d'attaque et d'intrusion qui sont soit beaucoup plus difficiles, soit totalement impossibles à exploiter avec un réseau câblé standard.
Les testeurs d'intrusion contournent les bureaux pour identifier les réseaux sans fil ouverts de l'organisation qui n'ont pas lieu d’être.
L’objectif est d’identifier les failles et les erreurs de sécurité dans la conception, la mise en œuvre et le fonctionnement du système de réseau sans fil d’une entreprise.
Ingénierie sociale
[modifier | modifier le code]Grâce à l’ingénierie sociale, plus communément appelé social engineering, les testeurs tentent de tromper les employés et les fournisseurs d’une organisation afin de collecter des informations sensibles et de pénétrer dans leurs systèmes. Par exemple, ils vont prétendre être un responsable informatique et demander le nom d’utilisateur et les mots de passe correspondants.
Bien qu'il s'agisse d'un test non technique impliquant des fonctionnalités humaines, il est considéré comme tout aussi important de déterminer si des utilisateurs non autorisés peuvent accéder au système d'information par le biais de personnes.
Piratage Google
[modifier | modifier le code]Étant l'un des moteurs de recherche les plus utilisés par les organisations, les testeurs d'intrusion envisagent le piratage via Google comme une pratique efficace de la sécurité Web. Ils utilisent le moteur de recherche pour localiser des informations personnelles ou sensibles en exploitant la fonction d’optimisation des résultats de recherche de Google, n’importe où sur les sites web.
Par exemple, des tests ont permis de trouver un répertoire avec le numéro d’assurance sociale de plus de 70 millions de personnes décédées et des documents de passeport[5].
Les phases d’un test d’intrusion
[modifier | modifier le code]Le processus du test d’intrusion peut être décomposé en une série d'étapes ou de phases. Lorsqu'elles sont regroupées, ces étapes constituent une méthodologie complète pour effectuer un test d'intrusion[9],[10].
Un examen attentif des rapports de réponse aux incidents non classifiés confirme l’idée que la plupart des hackers black hats suivent également un processus lorsqu’ils attaquent une cible.
L’utilisation d’une approche organisée est importante car elle permet non seulement au testeur de se concentrer et de progresser, mais également d’utiliser les résultats ou les sorties de chaque étape au cours des étapes suivantes.
Bien que les noms globaux ou le nombre d'étapes puissent varier d'une méthodologie à l'autre, l'important est que le processus fournisse une vue d'ensemble complète du processus de test d'intrusion.
Le processus se découpe donc en 5 phases : la reconnaissance, le scanning, l’exploitation, le maintien de l’accès et enfin la couverture des traces.
Phase 1 : Reconnaissance
[modifier | modifier le code]Au cours de la phase de reconnaissance, un attaquant tente de rassembler le plus d'informations possible sur une cible avant de lancer son attaque. La plage cible de reconnaissance peut inclure des employés, des réseaux, des systèmes et même des tiers. Parfois, les informations disponibles en ligne sur une cible peuvent révéler des points d’entrée faibles, en fonction de ce que l’attaquant trouve. Un attaquant peut utiliser deux techniques de reconnaissance différentes : la reconnaissance passive et la reconnaissance active.
La reconnaissance passive impliquerait de récupérer des informations sans interagir directement avec la cible. Par exemple, la recherche dans les archives publiques (piratage Google), le trashing (la plongée dans une benne à ordures), les communiqués de presse et les offres d'emploi.
En revanche, la reconnaissance active implique une interaction directe avec la cible. Par exemple, contacter un employé et poser des questions sur l'entreprise ou utiliser des techniques d'analyse de réseau non intrusives.
Phase 2 : Scanning
[modifier | modifier le code]Le scanning, ou analyse, correspond à la phase de préattaque, lorsque l’attaquant analyse le réseau de l’entreprise. Il s’agit d’approfondir la recherche sur les systèmes détectés en recherchant des données et des services utiles. L'analyse comprend l'utilisation d'outils tels que des scanners de ports, des outils ping, des scanners de vulnérabilités et des mappeurs de réseau. Fondamentalement, on cherche des vulnérabilités qui pourraient être exploitées afin d’accéder au système. Une organisation peut avoir une détection d'intrusion en place sur son réseau, il est donc important d'apprendre et d’utiliser des techniques d'évasion pour éviter toute alerte.
Phase 3 : Obtention d’accès/Exploitation
[modifier | modifier le code]À ce stade, l’attaquant réussi à accéder à un système ou à une application, et continue de sa tentative d’extirpation du plus d'informations possibles (un compte administrateur afin d'élever les privilèges).
Un hacker pourrait avoir accès à un système ou à une application par le biais d'une faille du mot de passe, d'un piratage de session, d'une ingénierie sociale, , etc.
Les systèmes du réseau pourraient être compromis. Toutefois, un attaquant pourrait néanmoins endommager un système sans privilèges d’administrateur, car certains outils peuvent s’exécuter sans en avoir besoin.
Phase 4 : Maintien de l'accès
[modifier | modifier le code]Le maintien de l'accès fait référence à la phase dans laquelle un attaquant tente de conserver un contrôle complet du système. Cela pourrait être fait en installant des rootkits, des chevaux de Troie, en créant un compte administrateur ou en utilisant d'autres outils de porte dérobée.
Quelle que soit la voie choisie par l’attaquant, celle-ci serait en mesure de télécharger et de manipuler des fichiers à tout moment. Le système étant en ligne, la plupart de ces opérations sont effectuées à distance. Il serait très difficile pour un administrateur système ou un utilisateur normal de détecter ces outils car ils sont connus pour fonctionner en mode furtif.
L’attaquant pourrait également ajouter le système compromis à un réseau de robots afin d’avoir encore plus de contrôle sur le système Ce dernier pourrait ensuite être utilisé pour des attaques sur une autre cible.
Phase 5 : Couverture des traces
[modifier | modifier le code]La phase finale de l'attaquant est de couvrir ses traces. Il est important que l'attaquant manipule ou supprime tous les historiques. Ainsi, il évite toute détection et, surtout, toute poursuite. Par exemple, certains outils peuvent être utilisés pour effacer les historiques du système et de ses applications, sinon, le hacker peut choisir de le faire manuellement.
Un attaquant s'assurera que les chevaux de Troie et les rootkits restent masqués et cachent des données à l'aide de techniques de sténographie afin d'éviter la détection par un logiciel antivirus. L'espionnage des adresses IP est une autre technique d'évasion utilisée par un attaquant pour envoyer une équipe de sécurité dans la mauvaise direction.
Bien entendu, la dernière chose que tout attaquant souhaite est de se faire prendre et de perdre le contrôle du système.
En tant que hacker éthique, il est important de connaître et suivre les mêmes étapes que celles utilisées par un hacker malveillant pour jouer un rôle important dans la défense contre les cyberattaques.
Avantages des tests d’intrusion
[modifier | modifier le code]Les tests d’intrusion peuvent aider à réduire l’écart entre la protection, ou safeguarding, du système de sécurité d’une organisation et l’exposition de ses risques en matière de sécurité. Ceci en évaluant si les contrôles de sécurité sont adéquats et fonctionnent efficacement.
Core Security Technologies, le leader des solutions de mesure et de sécurité informatique, déclare que « si [une entreprise] ne procède pas à des tests d'intrusion […] elle est à la traîne »[11]. Les attaques informatiques évoluant constamment dans leurs nature, complexité et méthode, les tests d'intrusion peuvent être considérés comme une solution à l'environnement de menace de sécurité qui est en constante évolution. Aussi, elles aident le système informatique de l'entreprise à rester constamment à jour et à l'écoute, toujours dans le cadre de sa stratégie de sécurité globale.
Selon PCI et ISO 27001, la gestion des risques et des menaces pour la sécurité est un processus essentiel en informatique. La raison en est que les organisations doivent comprendre parfaitement leurs faiblesses afin de pouvoir se défendre efficacement et se protéger contre les accès non autorisés.
Les principales statistiques de Core Security Technologies indiquent qu'en 2004, 80 % des principales vulnérabilités de sécurité ont été attaquées dans un délai de 60 jours, alors qu'en 2008, 85 % avaient eu une attaque dans les 10 jours. Ceci démontre clairement que les possibilités pour les pirates informatiques malveillants deviennent de plus en plus large à mesure que les opportunités et le temps à exploiter se développent simultanément. Au lieu d’avoir la mauvaise approche envers la sécurité dans l'espoir de ne pas être piratés, les organisations devraient prendre les mesures appropriées pour atténuer et contrôler les risques.
Les tests d’intrusion permettent de renforcer les procédures de sécurité d’une organisation, ainsi que d’améliorer davantage l'efficacité de sa gestion des risques. Cela peut également consister à augmenter le degré de transparence en évaluant le type de données sensibles, pouvant être potentiellement exposées, et la manière dont le réseau peut être compromis par des éléments humains.
En fin de compte, le principal avantage est que les organisations peuvent tirer profit de l'expérience des tests d'intrusion. En effet, cela leur permet d’améliorer leurs systèmes de sécurité en analysant en profondeur leurs faiblesses, en appliquant correctement les modifications et en informant toutes les parties en temps voulu.
Limite des tests d’intrusion
[modifier | modifier le code]On ne peut s'attendre à ce que les tests d'intrusion identifient toutes les faiblesses possibles en matière de sécurité ou à ce qu’ils garantissent une sécurité à 100 %.
Les nouvelles technologies et méthodes de piratage peuvent créer de nouvelles expositions non anticipées lors de ces tests. Ainsi, il est certainement possible qu'après des tests d'intrusion, des incidents de hacking se produisent par la suite. Il est impossible d'obtenir une protection complète, mais uniquement une bonne protection du système de sécurité d'une organisation.
Les tests d'intrusion impliquent la prise des captures d'écran d'un ordinateur ou de copier des informations sensibles comme preuve que le système présente des failles de sécurité essentielles. Cependant, il existe de nombreuses restrictions quant à l'étendue des informations qui seront disponibles et légitimement accessibles au pirate informatique. Cela empêche les tests d'intrusion de simuler le plus fidèlement possible les activités des hackers malveillants, car celles-ci ne sont soumises à aucune limitation.
Premièrement, les tests d’intrusion peuvent être régis par les lois et les obligations contractuelles du système de l’organisation. En effet, si le test récupère involontairement des informations hautement confidentielles, il peut en résulter une violation des lois et des accords contractuels. De plus, si les données sont localisées et sécurisées dans un pays, les lois de ce dernier peuvent interdire ce qu'un hacker éthique peut effectuer. Par exemple, l'article 25 de l'Union européenne indique clairement que les données à caractère personnel ne peuvent pas être extraites de l'Espace économique européen (EEE), à moins que le pays n'offre une protection « adéquate », or les États-Unis ne sont pas considérés comme tels. Enfin, les entreprises qui externalisent leur infrastructure informatique peuvent restreindre l'utilisation de techniques similaires en raison des contrats de licence.
Toutes ces restrictions impliquent que les organisations et les pirates éthiques prennent des mesures supplémentaires pour réduire les risques de responsabilité non désirées. Pour ce faire, il convient de conclure des accords écrits détaillés entre l'entreprise et le pirate éthique afin de définir la portée, l'objectif, les conditions et les limitations éventuelles de la mission.
En outre, un test d'intrusion est généralement effectué avec des ressources limitées sur une période donnée. Par conséquent, une fois qu'un pirate informatique responsable a identifié le risque actuel et les menaces qui pèsent sur le système, l'organisation doit immédiatement prendre des mesures correctives pour atténuer ces failles de sécurité et réduire une exposition potentielle aux pirates malveillants.
Questions d'actualité
[modifier | modifier le code]Avec l'utilisation croissante d'Internet par les organisations, il y a une modification de la façon dont les organisations conduisent les relations avec leurs clients. En conséquence, les risques et les menaces liés à l’environnement de sécurité évoluent parallèlement.
En , les jeux vidéo PlayStation de Sony ont été piratés et ont entraîné une perte de données à caractère personnel d'environ 77 millions d'utilisateurs[12]. Même si Sony a pris les mesures appropriées en renforçant son réseau contre les attaques potentielles à venir, ces mesures de sécurité ont été appliquées après coup. Si un test d'intrusion avait été effectué à titre préventif, Sony n'aurait pas violé le contrat de confidentialité avec ses clients. Aussi, la disponibilité de PlayStation Network aurait été maintenue, aucune poursuite en justice n'aurait été intentée contre la société pour dommages et intérêts, aucun téléchargement gratuit pendant 30 jours n’aurait été instauré et aucune excuse n’aurait dû être faite par Sony.
Canada eShop[13] de Sony Ericsson s'est également heurté à une faille de sécurité dans laquelle 2 000 comptes clients (noms et prénoms, adresses e-mail et hachage des mots de passe cryptés) ont été piratés. Il y a eu au moins 10 activités de piratage que Sony a connu depuis , soulignant que Sony est une cible importante pour les pirates. Cela renforce le fait que les tests d'intrusion constituent un investissement rentable, car ils peuvent potentiellement aider à atténuer toutes les pertes financières de sociétés multimilliardaires telles que Sony.
Grâce à ces différentes attaques, les entreprises ont compris que leurs systèmes de sécurité étaient inadéquats et ne pouvaient pas protéger correctement leur base de données confidentielle. Cela témoigne d’un besoin accru en tests d’intrusion, en particulier pour les grandes entreprises, en raison de la fréquence et de la grandeur de l’impact que les pirates informatiques peuvent influer négativement sur la situation générale d’une société.
Recommandations
[modifier | modifier le code]Dans le cadre de sa stratégie de sécurité globale, une organisation doit envisager les tests d'intrusion en fonction de deux facteurs : l'importance et la probabilité d'exploitation de la sécurité par des hackers malveillants[7]. Les contrôles de sécurité sont le fondement de la confiance [7] placée par les parties prenantes de l’organisation. Ainsi, l’importance est liée au degré de rupture de confiance des clients, des employés et des autres parties prenantes.
La probabilité d'occurrence est liée à la cible de choix[7] et à la cible d'opportunité[7]. Si une organisation est de grande taille et a une grande visibilité, telle que le gouvernement ou les banques, elle devient une cible privilégiée. Si une organisation manque de contrôles de sécurité, elle est plus exposée à la fréquence accrue d'attaques en raison de la facilité d'accès relative.
Par conséquent, si une entreprise estime que les failles de sécurité engendreront une forte probabilité d’attaque, il peut être rentable de réaliser des tests d’intrusion combinés, automatiques et manuels, avec diverses techniques internes et externes.
Enseigner le hacking éthique, est-ce éthique ?
[modifier | modifier le code]La technologie ne cesse de progresser et nous rencontrons de plus en plus d’outils bénéfiques pour le grand public. Mais entre de mauvaises mains, cela peut créer une grande controverse, enfreignant notre droit fondamental au respect à la vie privée et au libre arbitre.
Le hacking éthique est-il enfin venu à la rescousse pour résoudre les problèmes ou va-t-il en créer de nouveaux ?
En effet, enseigner aux élèves à pirater est toujours un problème très grave auquel nous sommes confrontés aujourd'hui. Les responsables de cours estiment qu’ils apprendront aux étudiants comment améliorer l'intrusion. Seulement, il est très difficile de comprendre les véritables intentions des étudiants. C’est pourquoi la raison pour laquelle le piratage éthique devrait être utilisé est très controversée.
Enseigner à un étudiant devenir un hacker et découvrir plus tard que la connaissance a été utilisée pour commettre des crimes aura certainement un impact sur la société en ce qui concerne le pourquoi il a été autorisé à comprendre comment pirater en premier lieu. Cependant, nous ne pouvons pas simplement dire que c'est la faute de ceux qui lui ont permis de suivre le cours[14].
Une fois qu'un étudiant acquiert de nouvelles compétences qu’il peut utiliser de manière positive comme de manière malveillante, certaines politiques, qui doivent adresser le problème des étudiants qui se livrent à des actes malveillants, ne sont pas appliquées.
Toutefois, elles peuvent être corrigées en appliquant des contrôles de sécurité aux personnes, comme c’est le cas pour certains cours tels que le hacking éthique. Une vérification des antécédents criminels, l'exigence d'une sorte de certification professionnelle et des entretiens avec les étudiants sont quelques-unes des mesures qui pourraient éventuellement éliminer plusieurs, voire tous les étudiants ayant des intentions potentiellement malveillantes[15].
Avec un éventail de formations disponibles dans le monde entier, il serait difficile de comprendre la raison de leur intérêt pour ce cours. Une des motivations qui ne peut pas être ignorée est le fait que les hackers éthiques sont des personnes très bien payées.
Conclusion
[modifier | modifier le code]Les tests d’intrusion constituent un élément important de la stratégie de sécurité globale d’une entreprise. Ils peuvent indéniablement apporter une valeur ajoutée si les contrôles système de la société présentent des faiblesses majeures en matière de sécurité, et un risque élevé d’accès non autorisé en raison de la nature et des activités de l’entreprise.
Grâce à des tentatives contrôlées d’immersion dans le système informatique, une combinaison de techniques et de stratégies de test d’intrusion peut être développée pour répondre aux besoins d’une entreprise en fonctions de la nature de ses activités, la taille et la complexité de ces opérations. Cela renforcera à son tour l’assurance fournie par les auditeurs lors de l’évaluation simultanée des contrôles internes et du système de sécurité d’une entreprise.
Dans l’ensemble, malgré la controverse autour de ce sujet, le hacking éthique et les tests d’intrusion devraient être considérés comme un moyen efficace de réduire et de combler les lacunes en matière de sécurité afin que des pirates malveillants ne puissent les exploiter.
Réglementations
[modifier | modifier le code]En France, les « hackers blancs » sont protégés par la loi du pour une République numérique[16]. Ils peuvent en effet, d'une part, signaler à l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) afin de mieux se protéger, et d'autre part conserver leur anonymat[17].
Références
[modifier | modifier le code]- Laurent Simon, PhD, « Ethique Hacker et Management », Cahier de recherche n°05-19, (ISSN 0846-0647)
- (en) Frederick Gallegos, Red Teams : An Audit Tool, Technique and Methodology for Information Assurance
- (en) Thomas Wilhelm, Professional penetration testing : creating and operating a formal hacking lab, Burlington, Mass., Syngress Pub., , 504 p. (ISBN 978-1-59749-425-0)
- Ronald Raether, Data Security and Ethical Hacking: Points to Consider for Eliminating Avoidable Exposure[réf. incomplète]
- (en) Emily Chow, « Ethical Hacking & Penetration Testing », ACC 626 : IT Research Paper,
- (en) Pulley John, « Are there perils in penetration testing? », FCW,
- (en) Baker Gary et Simon Tang, CICA ITAC : Using an Ethical Hacking Technique to Assess Information Security Risk
- (en) Basta Alfred et Wolf Halton, Computer Security and Penetration Testing
- (en) Patrick Engebretson, The basics of hacking and penetration testing, Chapiter 1 What Is Penetration Testing ?
- (en-US) Aakanchha Keshri, « A Brief Look into Penetration Testing Methodology - Astra », sur www.getastra.com, (consulté le )
- Dr. Chenxi Wang, dans la webdiffusion “Optimizing Vulnerability Management”, le 9 mars 2011
- (en) Pallavi Gogoi, « In latest attack, hackers steal Citibank card data », Associated Press,
- (en) Sara Yin, « Sony Hackers Take Canada », PCMag UK,
- RD. Hartley, Ethical Hacking: Teaching Students to Hack, EastCarolina University[réf. incomplète]
- Logan and Clarkson, Is it Safe? Information Security Education: Are We Teaching a Dangerous Subject?, Proceedings of the 8th Colloquium for Information Systems Security Education, West Point, 2004.
- « Une récompense d'1 million de dollars pour qui réussira à hacker un iPhone », sur Slate,
- « Cybersécurité et « hackers blancs », vers le retour des chasseurs de primes ? », sur Presse Citron,