samedi 4 février 2012
banner

Y-a le bon hacker et le mauvais hacker... (les inconnus)
Il y a ceux qu'on appelle "white hats", qui sont bien intentionnés, les "black hats" par contre le sont mal, et les "grey hats" sont entre les deux. Sans parler des crackers, des lamers et des pirates... Pas facile de s'y retrouver. Alors un petit cours s'impose :


Je vais vous expliquer ce qu'est un hacker et ce qui ne l'est pas. Attention, c'est long, et ça paraît compliqué, mais c'est un effet d'optique. Vous verrez qu'il n'y a rien de sorcier et que ça se lit tout seul.

Le hacker : définition populaire faussée

piratePour la plupart des gens, un hacker est un mix entre pirate et cheval de Troyes :
Un vilain personnage dont l'activité mafieuse consiste à s'immiscer sournoisement dans un espace numérique privé, pour en usurper le contrôle. Les méfaits s'en suivent : destruction, vol de données, infections virales et autres joyeusetés.
Joli portrait, non ? En réalité c'est énorme glissement de sens :

Le hacker : définition originelle et vraie

Gaston LagaffeUn hacker est avant tout un débrouillard passionné de possibilités techniques. La technique, c'est son dada : il l'étudie, l'éprouve, la bricole... Il en fait son jouet pour lui tirer tout son potentiel. Le must étant de détourner la fonction première de l'objet étudié, pour en produire une nouvelle.

Il existe des hackers dans tous les domaines : sécurité informatique, développement web ou logiciel, robotique, mécanique automobile, physique, chimie... Bref, quasiment tous les secteurs techniques.

Hacker n'est donc pas du tout synonyme de pirate. Et c'est même loin d'être péjoratif. Au contraire, c'est une gratification, une marque d'expérience et de débrouillardise ! D'ailleurs, on ne s'autoproclame pas "hacker", à moins d'être vantard.

Vous cherchez des synonymes ? "Bidouilleur", ou "bricoleur" semblent les plus proches. Pour le verbe "hacker", on pourra utiliser "s'approprier", "détourner" ou toujours "bricoler", "bidouiller".

Plus de hacker, plus d’innovation

préhistoireL'innovation, le peaufinage, l'enrichissement des fonctions sont les fruits du hacking. Mais c'est surtout l'innovation qui motive le hacker.

D'ailleurs, vous supprimez les hacker, vous supprimez l'innovation. C'est implacablement logique. Les inventeurs sont des hackers ; et les hackers, aussi amateurs soient-ils, sont des inventeurs à leur mesure.

On doit donc aux hackers, toute la richesse technique que peut nous offrir notre environnement civilisé. C'en est incalculable ! Alors, merci les hackers ! Vous ne méritez vraiment pas votre mauvaise réputation !

Pour mieux vous le prouver, je vais attaquer maintenant le domaine qui fait le plus polémique :

Le hacker en sécurité informatique

Le terme hacker n'est plus utilisé aujourd'hui que pour un seul secteur : la mise à l'épreuve de la sécurité informatique. Même au sein de la profession, c'est le terme usité. Ailleurs, on utilise les synonymes sus-cités.

La définition du hacker change alors : elle est restreinte à ce domaine.
Mais elle ne rejoint en rien la péjorative définition populaire.
security test
Le rôle du hacker en sécurité informatique est de mettre à l'épreuve les systèmes de cette sécurité. Il en est un testeur, que ce soit en intrusion, en destruction, en usurpation ou en détournement.
De tout temps, ce nécessaire rôle de hacker à été joué par les techniciens. Et cela, avant même l'arrivé de l'équipement numérique et d'Internet.

Car tout réseau d'information privée est un réseau de communication qui doit rester confidentielle. que ce soit une administration, un atelier ou une société... Il faut donc se prémunir des fuites d'information. C'est une question de sécurité.
Or, pour que ces mesures soient efficaces, il faut les mettre à l'épreuve ! C'est le rôle du hacker en sécurité informatique.
Le rôle du hacker n'est pas de pirater ! Ni même de profiter des failles qu'il a trouvé... Son rôle est de lutter contre la piraterie et la cybercriminalité par une mise en garde des failles de sécurité.

Au contraire du hacker, le pirate ou le criminel n'avertit pas ! Il ne partage ses trouvailles qu'à ses compères, seulement s'il en tire un avantage.
Or, interdire le hacking, c'est favoriser la cybercriminalité et le piratage! En supprimant toute la recherche et la prévention des hackers, vous laissez le monopole de la recherche des failles de sécurité aux cybercriminels et aux pirates... Très très mauvaise idée !!!

Aussi légitime soit-il, le rôle du hacker en sécurité informatique est incompris :
Incompris par la classe politique, et même pire : incompris pas la classe juridique !
Le détournement est sévèrement puni, même si le matériel vous appartient, vous n'avez pas le droit de le modifier :
"Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. ".
Mais aussi l'inspection de systèmes de données privés, même si l'appareil vous appartient et qu'il est susceptible d'être malveillant :
"Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende." (source).
Autre exemple : est interdite la publication de faille de sécurité, même si cette faille a volontairement été laissée telle quelle, par l'éditeur averti. Ce principe appelé "full disclosure" est juridiquement puni, alors qu'il est nécessaire au maintient de la sécurité générale...

Le savoir et la transparence pour tous

Tout technicien passionné, aspire au partage de ses trouvailles, et donc de ses connaissances. Non-seulement entre confrères, mais aussi pour tout le monde :
Tout hacker se rappelle qu'il n'a été qu'un amateur à ses débuts. Il sait que, pour la sauvegarde et la prolongation de sa passion, il devra partager et même vulgariser son savoir !

Plus encore en sécurité :
Pragma (hacker en sécurité des systèmes électroniques) dit en substance que la meilleure sécurité exige la transparence de l'outil. Vous avez le droit de démonter votre serrure pour en vérifier l'efficacité et l'objectivité de son fonctionnement. Votre voisin peut faire de même avec la sienne. Et pourtant, c'est elle qui l’empêchera toujours de rentrer chez vous !
Cette transparence est tout ce qu'il y a de plus rassurant : tout un chacun peut constater que tel ou tel appareil de sécurité ne cache pas un dispositif mauvais ou malsain. (Source : table ronde "Les hackers sortent du bois" de TechTocTV)

Ainsi, la quête du hacker - surtout dans ce domaine - est aussi la transparence de l'outil. Si l'on cache, rien n’empêche que l'on puisse trouver ce qui était dissimulé. Que ce soit en bien ou en mal : si un pirate ou un cybercriminel découvre une porte cachée, ou une faille dans un logiciel, il pourra s'en servir pour ses méfaits.

Si demain, il n'y avait plus de hackers :
Plus personne ne sera là pour vulgariser la technique. L'informatique et tout univers technique sera autant de secrets professionnels. L'ordinateur sera une boite noire, au même titre que la machin-box ou les logiciels...
Plus personne, non-plus, ne sera là pour contrôler le contenu de tout dispositif technique. Libre à tout éditeur ou fabricant, d'y dissimuler un appareil espion ou abusif.

L'actualité vient d'ailleurs de nous rappeler ces risques : les "compteurs communicants" d'ERDF pourraient comporter de dangereuses failles de sécurité. (Affaire à suivre.)

Les faux hackers

Le geek :
Le geek, dans sa définition originelle, se rapproche du hacker, sans pour autant s'y confondre :
Bien que la définition populaire le restreigne au milieu technologique, le geek est un fan : un adepte fasciné de tel ou tel sujet.
Il existe des geeks de football, d'astronomie, de chimie, de conception automobile...
Le geek n'est pourtant pas hacker, parce qu’il n'est pas parvenu au stade de technicien. Bien qu'initié, il reste au stade de fan.

Le pirate :
Quelqu'un qui télécharge illégalement du contenu culturel n'est pas un pirate. Le téléchargement n'est même pas du vol, puisque copier c'est dupliquer. C'est donc multiplier, et non soustraire. Cet amalgame est un mensonge à l'origine de la campagne que bat "l'industrie culturelle".

Le pirate substitue violemment le bien d'autrui. Il viole, détourne (pour un but malveillant) et détruit sur son passage. Cette piraterie implique un intérêt pécuniaire. C'est une activité mafieuse.
Dans le domaine informatique, c'est un technicien véreux qui viole la sécurité et la détourne. Ceci, soit pour récupérer des données sensibles et donc négociables, soit pour prendre secrètement le contrôle de machines qui lui serviront d'équipement. Il peut être aussi amené à faire du terrorisme en infectant des réseaux, détruisant des données, du matériel...

Synonymes : mafieux, véreux.

Le cracker :
Le cracker est un pirate, spécialisé dans la violation de protections ou de bridage. Par exemple, les mots de passe, les pare-feu, les DRM, etc.

Le cybercriminel :
Pirate, dont l'activité peut relever du crime. Ou inversement : criminel dont l'activité peut relever de la piraterie.
Par exemple : le terrorisme, la pédophilie, etc.

Le lamer :
Délinquant qui cherche la gloire. Il se prétend hacker, tout en exploitant ouvertement les failles de sécurité, et détruire ostensiblement.
Il veut se faire remarquer, brandit ses "exploits" de faux hacker. Ou bien, il viole et détruit pour le challenge.

Tout débutant hacker en sécurité s'est plu à être quelque peu lamer. Mais c'est un manque de maturité vite regretté. Car le lamer ne tire aucun profit de sa délinquance, bien au contraire.

Synonymes : casseur, délinquant, mauvais garçon, voyou.

Le script-kiddie :
En plus d'être un lamer, ce jeune délinquant est un débutant inexpérimenté et ignare. Il se sert donc de bouts de lignes de code (scripts) glanés sur Internet, et d'outils mal trafiqués.

L'anonymous :
Ce peut-être un hacker, un lamer ou tout autre technicien (pirate et cybercriminel compris), qui se prétend anonyme et défenseur des intérêts des internautes. Cet idéal porte le nom d'Anonymous. L'activité de ces anonymes consiste à faire pression contre une instance faisant preuve d'injustice envers les internautes.
Le peuple fait ainsi justice lui-même en punissant des états, des multinationales, des religions, etc. Par le biais d'attaques informatiques anonymes.

C'est donc un concept de désobéissance civile, anonyme, anarchiste. Si sa légitimité fait débat, le concept attire en masse les lamers et script kiddies, au détriment de la réputation de cette communauté.

Synonyme : anarchiste, révolutionnaire.

Conclusion

Je pense que ça valait le coup de clarifier tout cela. Il est important de mettre fin à la diabolisation des hackers en sécurité (informatique, électronique, robotique, etc.). Ce sont des rôles plus que nécessaires, et même un beau métier, on peut le dire !
Car les mentalités n'ont pas changé : les gens, les entreprises, les politiques, la loi, même (!), continue à considérer le hacking comme une forme de piraterie.
C'est bien triste.

Alors parlez-en ! Diffusez ce billet (copiez-le, citez-le, mettez-le en lien...) pour que les mentalités changent, et que cette persécution cesse.

hacker t-shirt
"Je ne suis pas un hacker, je suis un professionnel en sécurité".
Condor (Kevin Mitnick). source.

0 commentaires:

Historique