BLOG | Hacking : dans le jardin du bien et du mal

18/01/2021

Par Renaud Felten

Mot issu de l’anglais « hack » qui peut signifier bidouiller, le terme hacker a fait ses premières apparitions dans le monde informatique dans les années 60 au sein du très renommé MIT(*1) aux Etats-Unis. Il s’agit d’un surnom que se donne un groupe d’étudiants du club de modèles réduits ferroviaires après avoir développé des programmes de commandes ferroviaires qu’ils créent grâce au PDP-1 (premier ordinateur construit par la société Digital Equipment Corporation). La modification d’objets ou d’équipements pour les détourner de leur principal usage afin d’exploiter une vulnérabilité dans un système va inspirer l’un des premiers hackers, ou comme ils se sont surnommés à l’époque, les phreakers (contraction des mots phone et freak), John Draper. Grâce à un sifflet, il a réussi à émettre un signal de 2 600Hz, signal qui lui a permis de passer des appels gratuitement.

Photo_JohnDraper_Hacker_blog_klee_group
Figure 1. John Draper l’un des premiers hackers.

Dans les années 70, à une époque où les mœurs évoluent grandement et où les mouvements libertaires et hippies se développent, les hackers ont le vent en poupe. De brillants informaticiens veulent changer le monde à leur manière et contribueront à forger le monde d’aujourd’hui (Richard Stallman avec la licence GNU/GPL, Steve Jobs avec Apple, Bill Gates avec Microsoft etc.). Ces gens sont perçus alors comme des révolutionnaires.

Le terme hacker évolue auprès du grand public

Pourtant, l’emploi du mot hacking n’est plus nécessairement perçu par l’opinion comme un terme positif. Présenté au grand public par les médias, notamment dans le film Wargames (sorti en 1983, ce film raconte comment un hacker accède à un supercalculateur qui peut prédire les résultats d’une possible guerre nucléaire, et qui, par mégarde, risque de déclencher la Troisième Guerre Mondiale), le hacker est présenté comme un jeune adolescent irresponsable, qui peut même devenir un dangereux criminel.

Au niveau juridique, il faut attendre 1986 pour qu’aux Etats-Unis, le Congrès adopte le Computer Fraud and Abuse Act, qui rend illégal le piratage et le vol ; en France, c’est en 1988 que la loi Godfrain est votée (bien qu’il y ait eu en 1978 la loi informatique et libertés, avec la création de la CNIL(*2).

En outre, cette image est renforcée par les conséquences de la propagation d’un ver informatique – le ver Morris – en 1988 sur le réseau Arpanet (ancêtre d’Internet) par un étudiant du MIT qui a causé à l’époque des pannes et des dégâts matériels importants. Il a ainsi mis en avant des failles de sécurité pouvant mener à la compromission de machines, mais a également provoqué une prise de conscience importante au sein de la communauté informatique. C’est d’ailleurs à cette époque qu’a été créé le tout premier CERT (Computer Emergency Response Team) afin de réagir plus rapidement et efficacement face aux risques cyber.

C’est surtout dans les années 90 qu’une fracture se crée dans la communauté des hackers, notamment avec l’apparition et le développement d’Internet, qui démocratise le monde cyber et voit émerger une nouvelle activité, qui, aujourd’hui représente une grande menace : la cybercriminalité.

Différents types de hackers

Le bon, la brute et le truand.

Avec l’essor d’Internet, conçu avec la même idéologie que son parent Arpanet, c’est-à-dire le partage instantané de connaissances, sans aborder concrètement les problématiques de sécurité, des personnes malintentionnées ont vite compris qu’il était possible de détourner son utilisation principale pour des intérêts criminels. Vol de numéros de cartes de crédit, piratage de comptes de messagerie pour des envois massifs de mail, développement et propagation de virus, voici quelques exemples d’actes malveillants qui ont commencé à s’étendre avant l’an 2000.

Au sein de la communauté des hackers, qui voit le nombre de ses membres augmenter considérablement avec la démocratisation du réseau internet, certaines personnes et des groupuscules commencent de plus en plus à tremper dans des affaires illégales (Kevin Mitnick avec des vols de données dans plusieurs entreprises américaines, Marc Maiffret pour avoir échangé avec une personne liée à Al Qaida etc.).

Les motivations des hackers se faisant parfois plus floues et divergentes, des distinctions commencent à se faire entre les membres. Ainsi, ceux qui trempent dans des actions illégales ou ont un but malintentionné sont qualifiés de black hats, tandis que ceux qui luttent pour renforcer la sécurité des systèmes d’information de façon éthique sont qualifiés de white hats. La légende raconte que ces termes viendraient des chapeaux que portaient les shérifs (blancs) et les brigands (noirs) dans les westerns hollywoodiens. Tandis que certains commettent des crimes cyber pour leur intérêt personnel ou des actions nuisibles, d’autres tentent d’exploiter des failles de sécurité sur des équipements informatiques ou des applications pour ensuite alerter les acteurs pour qu’ils les corrigent. Il existe, également, d’autres sous-catégories de hackers comme les script-kiddies, des personnes qui utilisent des codes d’autres hackers sans savoir vraiment comment ils fonctionnent, n’étant intéressé que par la finalité, ou encore, des hacktivistes, des hackers qui agissent pour une cause (souvent politique).

Figure 2. Kevin Mitnick, ancien black hat reconverti en tant que consultant sécurité pour les plus grosses entreprises aux USA
Figure 2. Kevin Mitnick, ancien black hat reconverti en tant que consultant sécurité pour les plus
grosses entreprises aux USA

Cependant, le monde n’étant pas manichéen, certains qui se revendiquent être du bon côté ont parfois commis des crimes, et inversement (ils sont qualifiés, alors, de grey hats). C’est le cas des Etats-Unis qui ont créé secrètement le virus Stuxnet pour ralentir le développement du programme nucléaire iranien. Sauf que ce virus s’est propagé sur Internet et a infecté de nombreuses machines, révélant ainsi au grand jour ce projet.

Encore aujourd’hui, la plupart des menaces dans le monde cyber se propage de manière incontrôlée et non-ciblée. Cependant, des attaques sur des entités identifiées ont également lieu et peuvent coûter très cher.

Les entreprises menacées par la cybercriminalité

Avez-vous déjà entendu parler du piratage de TV5Monde en 2015 ? Du ransomware NotPetya qui a infecté le site de Saint-Gobain à Pont-à-Mousson en 2017, ou encore de Mirai qui, en 2016, a infecté des milliers de caméras connectées ? Avec une utilisation quotidienne et devenue essentielle d’Internet, le monde numérique a connu ces dernières années des attaques retentissantes. En effet, avec un manque d’acculturation à la cyber sécurité (et aussi, nous l’avons dit, avec le fait qu’Internet n’a pas été pensé au départ en prenant en compte les problématiques de sécurité) et de moyens pour se protéger ou limiter la prolifération d’une attaque, les personnes, entreprises ou entités infectées ont subi de lourdes conséquences, tant d’un point de vue économique que médiatique, et pour certaines d’entre elles, d’un point de vue pénal (par exemple, un vol de données clientèle suite à l’exploitation d’une brèche connue par l’entreprise mais non corrigée peut entrainer des sanctions judiciaires ; l’exemple le plus récent est celui d’Uber et s’élève à une peine de plus d’un million d’euros). L’attaque sur TV5Monde a coûté plus de 5 Millions d’euros pour changer l’ensemble du matériel informatique infecté, et a causé l’arrêt pendant plusieurs heures de la diffusion de la chaine. NotPetya, ayant provoqué l’arrêt complet des installations pendant plusieurs jours a provoqué plus de 220 Millions d’euros de perte.

Au-delà de pénaliser financièrement les victimes, c’est également leur réputation qui se trouve entachée. En effet, cela brise la confiance que peuvent accorder les actionnaires ou les clients sur la capacité à se protéger contre les attaques. Cela entraine à court terme une chute non négligeable de la valeur de l’entreprise sur les marchés financiers, une perte de clients et peut, à long terme, impacter leur activité.

Nous sommes donc face à une situation où les différents acteurs sur le marché doivent aujourd’hui prendre en compte les problématiques de sécurité pour à la fois protéger leur système contre les attaques, mais également faire le nécessaire pour proposer des services ou des solutions logicielles à leurs clients qui garantissent un minimum de couverture contre les exploitations élémentaires.

Les hackers éthiques au secours des entreprises

Le logiciel est un produit qui évolue dans le temps, et les technologies aussi. Les hackers sont actifs et ils découvrent de nouvelles méthodes / failles chaque jour. Les hackers éthiques consignent leurs découvertes dans un dictionnaire regroupant l’ensemble des vulnérabilités (Common Vulnerabilities and Exposures, abrégé en CVE), tandis que les black hats ont tendance à garder les exploits pour eux, car tant qu’ils ne sont pas découverts (vulnérabilités zero-day), il y a peu de chances qu’un patch les corrige et donc ils peuvent les utiliser pour commettre des actions préjudiciables.

Les découvertes de vulnérabilités sont importantes pour les entreprises. Certes, elles sont un indicateur pour montrer qu’un logiciel est faillible et donc pas nécessairement sûr, mais cela permet avant tout de corriger une erreur non-identifiée et ainsi de le renforcer. Comme nous l’avons signalé plus haut, les évolutions technologiques, les méthodologies, les outils et l’intérêt croissant pour le domaine de la cyber sécurité ont permis de mettre en avant des failles qu’auparavant peu de personnes auraient pu identifier.

Les entreprises doivent donc sans cesse réfléchir à des moyens pour améliorer les produits qu’ils proposent, afin d’être à jour sur les dangers identifiés à un instant t. Cependant, avoir une équipe à plein temps concentrée sur ces problématiques peut être très rapidement coûteux pour un retour sur investissement long. C’est l’une des principales raisons qui dissuade les entreprises d’investir dans ce sujet. Pourtant il est nécessaire de l’aborder. Une tendance a alors émergé et semble être un bon compromis pour les différents acteurs.

En 1995, Jarrett Ridlinghafer (ingénieur chez Netscape, ancêtre de Mozilla) crée un programme, le Bug Bounty qui récompense (reconnaissance et rémunération) les utilisateurs qui ont pris le temps d’analyser et d’identifier des bugs sur un logiciel développé par Netscape. Ce programme connait un succès sans précédent si bien que d’autres entreprises le mettent en place aujourd’hui comme Facebook, Yahoo, Google, Reddit etc.

Ainsi, des acteurs sont apparus sur ce marché et proposent à leurs clients de mettre en place les programmes, avec le périmètre à étudier et les récompenses associées, en mettant en lien des chercheurs en cybersécurité (des white hats) pour se pencher sur leur logiciel (des plateformes comme hackerone ou bugcrowd).

L’intérêt de ce programme est double : d’un côté les utilisateurs se sentent concernés et utiles à l’évolution du projet, contribuent à la renommée et à une meilleure compréhension du produit ; de l’autre les entreprises dépensent plus ponctuellement de l’argent avec des sommes très abordables ce qui leur offre une économie financière non-négligeable, ainsi que très peu de moyens humains à déployer.

Afin d’attirer et d’inciter les hackers à tester les logiciels et à en identifier les failles, des concours ont également vu le jour où des «cash prize (*3)» (récompense en monnaie, attribuée au vainqueur d'un concours) sont attribués aux meilleurs équipes qui identifient le plus de vulnérabilités ou réussissent à contourner des systèmes. C’est le cas par exemple du concours annuel Pwn2Own organisé depuis 2007 par la CanSecWest (conférence de référence sur la sécurité numérique). En novembre dernier, pour l’édition de 2018, 18 vulnérabilités ont ainsi pu être mises en avant pour un total de 267 000 dollars, remportés par les participants, sur les 2 millions mis sur la table. Ces vulnérabilités ont été remontées aux éditeurs concernés et ils disposent de 90 jours pour les corriger. Passé ce délai, elles seront divulguées publiquement.

Pour les amateurs qui voudraient démarrer dans le domaine du hacking, pour forger leurs armes, il existe des plateformes d’apprentissage pour appréhender des domaines de sécurité (Root-MeHackTheBoxZenk-Security, etc.). C’est d’ailleurs par ce genre de défis ludiques que certaines entreprises ont proposé des processus de recrutement pour trouver le candidat idéal (l’entreprise Navixia a organisé en 2016 un challenge où les personnes ont dû prouver leurs compétences en retrouvant des « drapeaux » cachés dans des défis ressemblant au quotidien de leurs ingénieurs).

Des initiatives à prendre

Aujourd’hui, les hackers ont le vent en poupe, et ils sont un atout indispensable dans la stratégie numérique. Les gouvernements de plusieurs pays développent des cyberarmées pour se préparer et lutter contre les menaces quotidiennes. Il s’agit d’une guerre dans l’ombre du virtuel, mais pourtant les impacts sont bien réels, comme le prouve le scandale autour de l’élection de Donald Trump avec l’ingérence russe présumée.

Les entreprises et les administrations doivent elles aussi se constituer une équipe prête à faire face aux risques cyber. Nous l’avons vu, les conséquences d’une attaque sont dommageables et il est difficile de regagner la confiance des utilisateurs. La confiance sera au cœur des systèmes et des échanges numériques de demain. Elle passe par une meilleure compréhension des enjeux et le hacker se présente comme l’unité d’élite pour relever ces défis.

Pour en savoir plus :
https://www.defense.gouv.fr/portail/enjeux2/la-cyberdefense/la-cyberdefense/presentation
https://www.arcyber.army.mil/
https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/

*1 Massachusetts Institute of Technology, université américaine spécialisé dans les domaines de la science et de la technologie
*2 Commission Nationale de l’Informatique et des Libertés
*3 Récompense en monnaie qui est attribuée au vainqueur d’un concours