L’irrésistible essor du hacking éthique

« A voleur, voleur et demi » comme le dit l’adage. La recrudescence des cyberattaques post-pandémie exerce une pression dantesque sur les professionnels de la cybersécurité qui manquent de moyens pour y faire face. Au-delà des stéréotypes, la communauté des hackers éthiques répond à cette pénurie de main d’œuvre et se pense comme une force de propositions démocratiques. Le hacking éthique serait-il un potentiel garde-fou face aux risques numériques ?

Par Geoffrey Comte

Le système immunitaire de l’ère numérique

Les exemples de la vulnérabilité de nos systèmes d’information ne manquent plus, à l’instar de la cyberattaque subie par la ville de Marseille en mars 2021 qui paralysa son administration. Depuis plus d’une décennie déjà, les organisations privées comme publiques ont transformé leur stratégies de cybersécurité pour se tourner vers de nouveaux experts. Si les pirates exploitent les failles de façon malveillante, souvent par soif de gains rapides, les hackers « éthiques » se veulent être les gardiens de nos données. Preuve de leur efficacité, l’Agence Nationale de Sécurité des Systèmes d’Informations (ANSSI) a lancé un appel en juin 2020 à une plateforme de « chasseurs » pour traquer les bugs sur l’application Stop Covid¹ au plus fort de la crise de Coronavirus. Mais leur discipline a mauvaise presse. Entendue comme synonyme de malfaiteur, l’étymologie du mot hacking révèle un tout autre sens. Celui d’une culture de l’indépendance, inspirée du Do it Yourself étasunien, qui désigne le plaisir de « bidouiller » ou « détourner » une fonctionnalité de son usage premier.² « Derrière ce terme s’est créée une communauté fédérée autour d’idéaux communs, animant encore aujourd’hui l’esprit des écosystèmes technologiques tels que l’accès universel à l’information, la méritocratie et la décentralisation. Cette philosophie est notamment à l’origine de projets comme Wikipédia » explique Yassir Kazar, PDG de Yogosha, plateforme de Bug bounty française. « Nous avons besoin des hackers […], ils pourraient bien être le système immunitaire de l’ère de l’information. Parfois, ils nous rendent malades, mais ils trouvent aussi les menaces cachées dans notre monde et nous obligent à y remédier »³ affirme la célèbre hackeuse israélienne Keren Elazari. « Si la médecine étudie les vulnérabilités de nos corps, la cybersécurité s’intéresse à celles de nos systèmes d’informations. […] Petit à petit, elle nous montre que ces technologies sont en réalité notre talon d’Achille » prolonge Yassir Kazar. « Aujourd’hui, le hacking éthique vise à aider les entreprises et les gouvernements mais son objectif à long terme est de rendre nos démocraties et le cyberespace plus sûrs et libres pour les prochaines générations. Sans les chercheurs de la communauté des hackers, internet serait une zone totale de non-droit » souligne le hacker Clément Domingo, connu sous le nom de SaxX, co-fondateur de Hackers Sans Frontières (HSF). La réhabilitation des hackers répond à un cruel manque de compétences et de main d’œuvre pour les professionnels de la cybersécurité, sur lesquels s’exercent une pression dantesque. « Cela vient en grande partie de l’inadéquation entre des attentes toujours plus fortes et le manque de moyens par rapport à la réalité des attaques auxquelles les équipes font face » assure le PDG de Yogosha.

Une assurance-vie numérique

Armés de claviers, qu’ils soient autodidactes ou ingénieurs diplômés, ils constituent une nouvelle génération de chasseurs de primes du numérique encouragée par la démocratisation des plateformes de Bug Bounty. L’américain HackerOne compte environ 600 000 hackers responsables de plus de 30 000 bugs détectés puis validés par les organisations concernées.⁴ Majoritairement des hommes de moins de 30 ans, ces jeunes travailleurs sont rémunérés selon la criticité de la faille, étirant leur salaires de 2 à 7 chiffres. « Le Bug bounty a une fonction vitale sur le marché de la cybersécurité, essuyant une pénurie de 2 à 4 millions de profils alors que ce secteur ne connait pas le chômage. La communauté des hackers peut combler une partie de ce vide, tout en préservant un mode de vie indépendant » souligne Yassir Kazar. Les sociétés privées et publiques adhèrent peu à peu à cette nouvelle assurance vie cyber, notamment pour sécuriser les applications critiques à l’image des systèmes de paiement. « Le rapport financier est à l’avantage des entreprises car ces dernières ne payent que si une faille est découverte alors que la rémunération est incertaine pour les hackers » soulève Clément Domingo. Vitesse, discrétion et capacité de synthèse sont les rouages essentiels de la mécanique compétitive du Bug bounty. Les hackers redoublent d’efforts pour occuper la pole position des classements et cumulent souvent plusieurs activités professionnelles pour subvenir à leur besoins. Yogosha est définie comme une « plateforme universelle de cybersécurité crowdsourcée qui vise à faciliter la collaboration entre les entreprises et les communautés de hackers » par son PDG. Cette activité est divisée entre la chasse aux failles, les tests d’intrusions et les remontées coordonnées de vulnérabilités. Mais elle se veut être une « société à impact […] avec le double objectif d’offrir son aide pour sécuriser le systèmes d’ONG ou d’hôpitaux, ce qui nous semble juste, puis de valoriser les actions positives des hackers pour lutter contre les clichés les concernant » continue Yassir Kazar. La firme française a donc participé à la sécurisation informatique d’hôpitaux durant la crise du Covid, via l’initiative pro Bono nommée Hack4Value⁵. Ainsi, les hackers conjuguent engagement éthique et impératif professionnel. « La finalité est de garantir la probité technologique des applications et plateformes pour le grand public. L’intervention de chercheurs et hackers permet d’éviter le profilage des personnes puis la vente de leurs données au profit de publicités ciblées par exemple » soutient SaxX.

Full Disclosure

« Tous les pays ont conscience que les prochaines guerres seront cybernétiques. Qui peut imaginer ce qui pourrait se passer si l’ensemble d’un système bancaire était victime d’un ransomware ? Entre ce niveau de conscience et la coordination interétatique, il y a toujours un temps de latence même si la dynamique est bien présente » maintient le dirigeant de Yogosha. Depuis 2001, le Conseil international des consultants en commerce électronique (EC-Council) a délivré plus de 237 000 certifications pour légitimer les hackers éthiques sur le marché de la cybersécurité⁶. En parallèle, la nouvelle Directive NIS2 vise à élargir les champs de la résilience des systèmes et infrastructures critiques du numérique. Le recours au Bug bounty est désormais encouragé, à condition de conformer sa politique de divulgation des vulnérabilités, moment sensible où la correction de la faille devient publique. « Il existe un marché noir de l’exploitation de données. Certaines plateformes achètent illégalement des failles au prix fort pour les revendre à des acteurs malveillants » dévoile Clément Domingo. L’informalité numérique fait vivre le groupe israélien LSO, créateur du logiciel d’espionnage Pegasus qui fut un outil de répression gouvernemental à travers le monde. « Il faut promouvoir une vision holistique de la cybersécurité, autrement nous risquons d’aller droit dans le mur. Nous avons besoin d’anticiper les risques liés à la transition du Web 2.0 au 3.0, à cause de la décentralisation dont elle se veut porteuse et de la surexposition de nos données dans ces nouveaux espaces. Il faut dès maintenant instaurer des gardes fous au risque de voir la situation empirer » revendique SaxX.

Lettres de noblesses

En tant qu’acteurs de la société civile, les communautés de hackers éthiques incarnent une force de propositions démocratiques. En janvier dernier, le Comité International de la Croix-Rouge (CICR) a été la cible d’une cyberattaque qui impacta plus de 515 000 personnes en situation d’extrême vulnérabilité⁷. « La cyberattaque visant le CICR a été la goutte d’eau qui a fait déborder le vase. Nous avons donc créé Hackers Sans Frontières [HSF] pour déployer une force collective à travers le monde, rassemblant hackers et avocats spécialisés en cybersécurité. Hackers Sans Frontières rend ses lettres de noblesses au hacking et permet de saper les stéréotypes liés à notre communauté en valorisant l’engagement de ses membres » assure Clément Domingo. La sécurité des système d’information serait alors un nouveau champ de l’humanitaire, dont les objectifs sont d’améliorer notre condition numérique autant qu’apporter des secours d’urgences aux populations en danger. « Nous sommes en pourparlers pour obtenir une reconnaissance d’utilité publique car nous intégrons progressivement tout le spectre de l’humanitaire classique dans le cyberespace. Même si nous ne pouvons pas agir sur le plan cyber, notre désir est de mobiliser les grandes plateformes de bug bounty et leurs ressources humaines. Nous pourrions alors apporter un soutien matériel et chasser les vulnérabilités puis redistribuer les gains aux pays touchés par les catastrophes informatiques. HSF matérialise une réponse concrète aux combats cyber dans nos vies quotidiennes, ici et ailleurs » avance son co-fondateur.

1^ France: ANSSI announces launch of bug bounty program for StopCovid app | News post | DataGuidance, https://www.dataguidance.com/news/france-anssi-announces-launch-bug-bounty-program-stopcovid-app.

2^ Marie-Christine Bureau, « L’éthique hacker infuse-t-elle le cœur de nos sociétés ? », Nectart, 7 juin 2019, vol. 9, n^o 2, p. 126 134.

3^ Keren Elazari, Hackers: the Internet’s immune system, https://www.ted.com/talks/keren_elazari_hackers_the_internet_s_immune_system , mars 2014.

4^ Bounty Everything: Hackers and the Making of the Global Bug Marketplace, https://datasociety.net/library/bounty-everything-hackers-and-the-making-of-the-global-bug-marketplace/.

5^ Hacker Ethique, https://www.hack4values.eu/hacker-ethique/.

6^ About, https://www.eccouncil.org/about/.

7^ Sophisticated cyber-attack targets Red Cross Red Crescent data on 500,000 people, https://www.icrc.org/en/document/sophisticated-cyber-attack-targets-red-cross-red-crescent-data-500000-people , 19 janvier 2022.