Tous les pirates sont-ils malintentionnés ?

blog_main_good_bad_hackerTous les pirates ne naissent pas égaux. De nos jours, il semble que les termes « pirates » et « cybercriminels » soient devenus interchangeables dans les nombreux articles en ligne, ce qui non seulement est réducteur mais également erroné. Un cybercriminel utilise des moyens pour tirer un profit de ces activités illégales en ligne, quel que soit le prix à payer pour ses victimes. Pirate est plutôt un terme générique qui ne permet pas vraiment de distinguer ceux qui piratent pour le bien de tous et ceux qui le font pour en tirer profit personnellement. De nombreux pirates tirent certes parti financièrement de leurs activités, toutefois tous les piratages ne tirent pas profit de leurs activités criminelles en ligne.

Aux États-Unis, les films « western » des années 1920 et 1940 opposaient gentils et méchants, facilement reconnaissables à la couleur de leurs chapeaux : noir pour les méchants et blanc pour les gentils. Cette classification a été adoptée pour différencier les types de pirates. Il en existe essentiellement quatre : les chapeaux noirs, les chapeaux blancs, les chapeaux gris et les cyberactivistes. Ce qui permet de les distinguer réside dans l’autorisation accordée au pirate.

Les chapeaux noirs

Les pirates à chapeaux noirs, ou plus simplement les chapeaux noirs, sont des cybercriminels qui s’adonnent au piratage sans autorisation ou à des fins de gain personnel illégal. Certains piratent par représailles, d’autres le font pour montrer qu’ils en sont capables. Citons par exemple les vols de numéros de carte de crédit ou l’exploitation de données personnelles pour revente à des spécialistes en usurpation d’identité. Pour vous montrer combien ce genre de commerce peut être lucratif, rappelons que récemment un pirate a fait la une des journaux car il cherchait à vendre quelque 650,000 dossiers de patients dans les méandres du Web profond, un espace en ligne n’apparaissant pas dans les recherches des navigateurs classiques et dont la plupart des internautes en ignorent même l’existence. Les données, dérobées auprès de plusieurs instituts médicaux, incluent les noms, adresses et numéros de Sécurité sociale des patients. Il est estimé qu’une telle vente rapporterait au pirate pas loin de 715 000 EUR.

Les chapeaux noirs sont des cybercriminels qui piratent illégalement et sans autorisation, purement à des fins de gain financier personnel. Le terme « chapeaux noirs » est également utilisé au quotidien par les experts en informatique pour décrire tout type de personne ou d’activité considérée comme sournoise ou douteuse, comme le sont les chapeaux noirs experts en référencement qui purgent le trafic de certains sites Web pour le revendre au propriétaire dudit site affecté.

Les chapeaux gris

Tout comme dans notre quotidien, entre le blanc et le noir il existe une large palette de nuances de gris. Un pirate au chapeau gris se trouve quelque part entre les chapeaux noirs et les chapeaux blancs. Un chapeau gris ne travaille pas pour en tirer profit personnellement ni pour causer préjudice, mais ses activités sont techniquement illégales. Un chapeau gris ne demande pas la permission de pirater. Si un chapeau gris découvre une faille, il en fera part en privé à l’organisation dans le système de laquelle il a découvert la vulnérabilité, lui laissant l’opportunité de la corriger. Parfois, toutefois, un chapeau gris pourra divulguer la faille, sans intention malveillante pour autant, mettant par contre l’organisation à risque d’être piratée par des chapeaux noirs désireux de tirer avantage d’une telle vulnérabilité.

Les cyberactivistes

On retrouve dans la même catégorie que les chapeaux gris les cyberactivistes qui piratent les systèmes à des fins de contestation politique. Anonymous, certainement le groupe le plus connus de cyberactivistes, estompe la nette différenciation entre gentils et méchants, car les membres du groupe piratent toujours sans permission mais pour ce qu’il pense être le bien-être de tous. Anonymous s’est fait notamment connaître pour la mise hors ligne, façon Robin des bois, de certains sites notamment de pédopornographie. Ils sont même allés jusqu’à publier la liste des noms des visiteurs desdits sites.

Quand Michael Brown a été fusillé par un policier de Ferguson le 9 août 2014, Anonymous est intervenu, rassemblant de nombreuses preuves afin de dévoiler l’identité du tueur de Brown, au nom de la justice. Toutefois, après examen de toutes les données qu’ils avaient recueillies, ils ont tiré de mauvaises conclusions quant à l’identité du tueur, dévoilant publiquement le nom d’un innocent.

Prenons un autre exemple : dans le but d’obtenir justice, Anonymous a divulgué certaines informations de centaines d’utilisateurs de Bay Area Rapid Transport (BART). Le piratage vint en représailles de la cessation d’émission d’ondes cellulaires par BART lors d’une manifestation, afin d’empêcher les activistes de communiquer entre eux. De nombreux utilisateurs lambda furent pris dans le tir virtuel de feux croisés entre Anonymous et BART, et virent leurs informations personnelles divulguées en ligne.

Bien que leurs intentions soient nobles, les moyens utilisés par les cyberactivistes sont illégaux, et les résultats obtenus mitigés. En outre, l’objectif principal d’un cyberactiviste est de pirater sans permission à des fins politiques.

blog_content_breaker_good_bad_hacker

Les chapeaux blancs

Les pirates à chapeaux blancs piratent avec autorisation au sein d’un secteur hautement lucratif pour les plus doués. Ils cherchent des failles des systèmes d’exploitation des sociétés, et sont souvent engagés pour démasquer les bogues et les signaler aux développeurs et sociétés qui les embauchent afin de les résoudre. Les chapeaux blancs travaillent pour gagner de l’argent mais sans pour autant tirer parti des faiblesses des autres internautes.

HackerOne est une société fondée par deux pirates de 25 ans qui ont découvert une faille dans le système de notation de leur université. Après en avoir informé l’université, et en avoir été généreusement récompensé, ils ont fondé une entreprise sur base du fait que les sociétés pourraient payer grassement les chapeaux blancs désireux de les informer des vulnérabilités trouvées, avant attaque de leurs systèmes par des chapeaux noirs.

Les pirates éthiques obtiennent leur certification en passant un examen comprenant des essais de pénétration lors desquels les pirates infiltrent des réseaux et systèmes informatiques dans le but de trouver et résoudre tout point d’accès vulnérable. Bien que les piratages sans autorisation, comme ceux des chapeaux noirs, soient illégaux, tester ce qu’une société autorise ne l’est pas.

Chez Emsisoft, nous invitons les pirates éthiques, les chapeaux blancs, à s’essayer sur notre logiciel. Nous sommes toujours désireux d’améliorer nos produits, et sommes conscients que le code parfait n’existe pas.

En résumé

Comme vous pouvez le voir, tous les pirates ne peuvent être mis dans le même sac. La clé est l’autorisation accordée de pirater, et les moyens utilisés pour tirer n’importe quel profit des failles découvertes.

Un chapeau gris ne demande pas de permission mais son intention n’est pas de causer préjudices ni d’endommager quoi que ce soit, bien que les moyens auxquels il ait recours soient illégaux. Un chapeau blanc est engagé et il reçoit l’autorisation de faire son travail. Un chapeau noir agit strictement dans l’illégalité.

Nous vous souhaitons une excellente journée (sans malveillance aucune) !

Fran Rajewski

What to read next

Reader Comments