Publié le

Non, les hackers ne sont pas tous de dangereux pirates informatiques propageant des virus sur la toile. Il en existe qui aident les entreprises à mieux se protéger en leur signalant les failles trouvées dans leur système. Hacker et fondateur du site reflets.info, Olivier Laurelli a accepté de nous en dire davantage sur les “white hat”, ces chevaliers blancs du web.

Il existe donc des “gentils hackers” ?

Olivier Laurelli

Eh bien oui ! Le mot "hacker" est un terme neutre, en fait. En anglais, il signifie “bidouilleur”. On peut donc tout hacker, une cafetière comme un distributeur de billets de banques. Internet, c’est comme la vraie vie : on y trouve des hackers mal intentionnés, que l’on appelle les "black hat", et d’autres qui ne sont pas animés de mauvaises intentions que l’on surnomme les "white hat". Les premiers vont chercher à exploiter des failles informatiques pour en tirer profit. Au contraire, les seconds vont prévenir les sociétés qui présentent une vulnérabilité, sans forcément demander quelque chose en retour. Certaines entreprises organisent même des concours et proposent des récompenses aux hackers qui trouveraient une faille (comme Google le fait régulièrement avec son navigateur internet, NDLR).

Un hacker « white hat » est donc toujours dans la légalité ?

Disons qu’entre les chapeaux blancs, et les chapeaux noirs, il y a parfois quelques nuances de gris. Un hacker bien intentionné peut aussi avoir à franchir la ligne jaune : quand vous voulez vérifier la nature d’une vulnérabilité, vous allez simuler une attaque qui sera sans impact. Mais aux yeux de la loi, c’est déjà du piratage ; le hacker risque d’être lourdement sanctionné. Les lois ne donnent pas forcément envie aux gentils hackers de chercher des failles de sécurité...

Qui sont généralement les “white hat” ? C’est un phénomène récent ?

Depuis la création d’Internet, il existe, partout dans le monde, des passionnés de sécurité informatique –des professionnels ou des amateurs– qui aident des entreprises à sécuriser leur patrimoine informationnel. Beaucoup de gens signalent les failles qu’ils ont découvertes afin d’éviter, par exemple, que des numéros de cartes bancaires ou des données personnelles se retrouvent dans la nature. C’est un travail de l’ombre, pour éviter que des particuliers se retrouvent victimes d’usurpation d’identité.

Quels types de failles sont le plus souvent découverts par les white hat ?

La plus connue, c’est une mauvaise configuration du serveur. Prenons l’exemple d’une entreprise qui possède un site web, et gérant des données personnelles. Si elle a mal configuré son serveur, elle peut perdre dans la nature les sauvegardes de sa base de données. Cela signifie que l’on peut ensuite trouver ces informations confidentielles par hasard sur Google, avec toutes les données de l’entreprise !

Quel est alors le conseil de hacker que vous donneriez aux entreprises ?

Ne laissez pas reposer toute votre sécurité sur un firewall ou sur un logiciel. Il faut faire preuve de bon sens. Et il est important de tester ses applications web, de les mettre à jour régulièrement. On évite ainsi 95% des problèmes, on rend la tâche plus difficile aux hackers ! Enfin, il ne faut pas hésiter à s’adresser à un professionnel avant la mise en ligne de son site internet, tout particulièrement si ce dernier est destiné recevoir des données personnelles.

Bon à savoir

Chaque année depuis 5 ans, la société Sysdream, spécialisée dans la sécurité informatique organise Hack in Paris. L’objectif de cet événement, qui se tiendra en juin 2016 à la maison de la Chimie - est de montrer aux entreprises la réalité du piratage et de souligner ses nombreuses conséquences néfastes. Les entreprises qui souhaitent par la suite s’offrir les services d’un hacker pour les aider à sécuriser leur système informatique peuvent laisser une petite annonce sur le site Yeswehack. Les hackers peuvent aussi tenter de pirater une société avant de demander à ses dirigeants un travail… Mais ils risquent pour cela au minimum un an de prison et 30 000 euros d’amende !