Et si vous recrutiez un hacker ?

Votre meilleur consultant/responsable en cybersécurité est un loup qui sera vite surpassé par ce léopard qu’est le hacker. Pourquoi ne pas intégrer ce félin dans votre meute ?


Predator 2.0

En effet, l’immense majorité des consultants/responsables en cybersécurité disposent certes d’une remarquable formation et d’un solide savoir-faire en la matière mais sont d’abord et surtout tenus de maintenir ou rétablir un niveau de sécurité optimal, en adéquation avec la fonctionnalité quotidienne des architectures informatiques dont ils ont la charge. En outre, ils entretiennent une relation commerciale et pédagogique avec les entreprises et sont très rarement préparés à affronter ou devancer cet esprit patient, déterminé et parfois doué qu’est le bon hacker.

Très souvent (mais pas toujours), le bon hacker s’est forgé un savoir-faire en autodidacte et au contact de ses homologues. À ses yeux, chaque réseau informatique s’apparente à un organisme différent requérant une approche différente. Ainsi, il combine ou alterne de multiples modes opératoires avec plus ou moins d’aisance et, face à des sécurités savamment pensées et construites, use de tactiques suffisamment rustiques ou originales pour pénétrer un réseau en profondeur. La moindre intrusion ou cyberattaque réussie développe son appétit pour d’autres défis, l’incite à constamment améliorer son savoir-faire et motive sa quête de reconnaissance auprès d’autres hackers. D’où « ce flair, cette intuition et cet instinct de prédateur » qui manquent tant au consultant/responsable en cybersécurité formaté par un canevas académique et incapable de se tenir informé des tours de force dernier cri, faute de temps et de « relations adaptées ».

Chaque jour, la presse informatique rapporte la découverte d’une faille zero day dans X logiciel ou Y technologie et l’instauration consécutive d’une contre-mesure longtemps après son exploitation par des hackers. À quoi servent donc ces antivirus, ces pare-feux, ces systèmes de détection/prévention d’intrusion et ces faramineuses solutions cybersécuritaires ? Dès lors, pourquoi ne pas recruter un véritable hacker plus à même de maîtriser tours de force et contre-mesures ?

Un renard dans un poulailler

Après mûre réflexion, vous faites signer un contrat de consultant/de travail à un black hat hacker (ou « chapeau noir ») ou à un repenti du cybercrime organisé. Désormais, la sécurité de votre architecture informatique et la confidentialité de vos données sont entre ses mains : mots de passe, comptabilité, fiscalité, gestion des comptes en ligne, fiches de paie, données sociales ou bancaires du personnel, des clients, des fournisseurs, etc.

Comment réagiront vos actionnaires, vos clients et vos fournisseurs une fois informés de la présence d’un hacker ou d’un ancien cybercriminel dans votre personnel ? Et si votre entreprise était liée par un contrat de services ou par une offre de marché public avec quelque administration ?

Lors d’un ennuyeux vendredi après-midi, la sulfureuse nouvelle recrue ne serait-elle pas tentée de farfouiller vos données confidentielles ou de bricoler un script plus effrayant que dangereux (exemple : écrans bleus dans tous vos ordinateurs pendant 5 mn) « juste pour rigoler » ? Pour peu que votre collègue hacker soit particulièrement douée en ingénierie sociale, ne risque-t-il pas d’utiliser vos bases de données à son profit (usurpation d’identités numériques), de transformer vos serveurs en vecteurs de malwares ou de vendre vos secrets industriels ou commerciaux (marché très lucratif dans les milieux cybercriminels) à plusieurs concurrents ?

Dans le cas où votre hacker serait en liberté conditionelle ou aurait purgé sa peine, cela signifierait clairement que les « cyberflics » lui sont tombés dessus et qu’il n’a pu brouiller ou dissimuler ses traces numériques. De quoi s’interroger sur ses talents réels ou déclarés…

Un bon cambrioleur ne fait pas un bon serrurier

Toutefois, la communauté des hackers rengorge de profils très hétérogènes aux motivations très différentes.

Un white hat hacker (« chapeau blanc ») bidouille les logiciels et les réseaux puis divulgue leurs vulnérabilités afin qu’elles soient corrigées par les éditeurs de logiciels, les administrateurs réseaux et les consultants/responsables en cybersécurité. La frontière entre chapeaux blancs et chapeaux noirs étant poreuse, floue et mystérieuse, bon nombre de hackers figurent parmi les « chapeaux gris » (grey hat hackers) qui, sans être foncièrement malveillants, peuvent commettre un délit ou un crime par curiosité ou « pour l’adrénaline », et se faire pincer. Un ancien cybercriminel qui a autrefois usurpé des identités numériques, détourné des fonds ou vendu des informations confidentielles – et passé quelques années derrière les barreaux – est potentiellement plus sujet à une récidive. Attention danger !

Ne l’oublions pas : dans sa teneur intrèseque, le hacking sous toutes ses formes procure des sensations comparables à celles d’un jeu d’échecs ou d’un jeu vidéo et incite de facto à une perpétuelle prise de risques. Malheureusement, le hacking n’est pas un jeu. Votre direction des ressources humaines ferait donc bien de ne pas tenir les déclarations d’un hacker pour acquises.

Surveillez vos arrières… et vos avants !

Malgré les drapeaux oranges et rouges de votre DRH et de divers collègues, vous tenez fermement à ce hacker ou à cet ancien cybercriminel comme consultant/responsable en sécurité informatique.

Règle 1 : Dans la mesure du possible, effectuez une enquête de moralité à son sujet et essayez d’en savoir un peu plus par vos propres moyens. Par ailleurs, d’excellents bidouilleurs en informatique se font parfois passer pour des hackers afin de mieux se vendre.

Règle 2 : Ne lui confiez jamais vos identifiants et mots de passe administrateurs. Il lui revient certes de les dénicher en cas de failles critiques dans vos configurations cybersécuritaires mais pas de se les faire offrir après signature du contrat. Gardez un oeil sur ses faits et gestes car il est parfaitement capable d’utiliser une authentification autre que celle qui lui a été fournie par votre entreprise.

Règle 3 : Signifiez-lui clairement ses droits, ses devoirs et ses interdictions (notamment accès autorisés/refusés) dans un contrat dument signé par vos deux parties. Au besoin, ce contrat incluera une dissuasive compensation financière au cas où ses actes malveillants nuiraient à votre entreprise ou causeraient du tort auprès de tierces parties.

Règle 4 : Gardez à l’esprit que tout individu a droit à une seconde chance et ne doit pas être soumis en permanence à la suspicion ou à l’opprobe. En bref, restez sur vos gardes mais soyez humain envers ce hacker que vous avez recruté et qui est avant tout votre collègue.

Règle 5 : Après son départ ou à la fin de son contrat, changez tous les identifiants et mots de passe administrateurs et faites appel à un autre consultant/responsable en cybersécurité.

Règle 6 : Avec ou sans hacker dans vos effectifs, tâchez de recourir régulièrement et ouvertement aux services de deux ou trois consultants en cybersécurité offrant inéluctablement des services variés et des compétences diversifiées. Ainsi, votre entreprise bénéficiera de perspectives différentes et ne dépendra point d’un unique prestataire.

Dans tous les cas de figures, la sécurité d’une architecture informatique ne dépend point de la détection/correction de failles critiques, de l’accumulation de contre-mesures ou de la qualité d’un profil. Il s’agit plutôt d’un cycle sans fin englobant évaluation des risques, définition des besoins, planification, implémentation, tests de pénétration, formation du personnel, etc. Entre audit technique et gestion des risques probables, la cybersécurité relève d’une science inexacte échappant largement à la plupart des hackers.

Votre cybersécurité ne les arrêtera certainement pas, à l’image de votre serrure et de votre coffre-fort qui ne refréneront guère un cambrioleur chevronné. Néanmoins, si vous n’êtes pas convaincu par la nécessité d’une sécurité physique ou informatique, laissez donc vos portes et fenêtres grand ouvertes ou désactivez vos applications de cybersécurité durant 7 jours d’affilée « juste pour rigoler »…

Charles Bwele, Electrosphère


Be Sociable, Share!

You may also like...

7 Responses

  1. dd dit :

    Oui, mais surtout, votre hacker va avoir 30 ans. Alors il va se marier et avoir des enfants et n’aura plus le temps de hacker chez lui à ses heures perdues. Il se formera donc au travail, comme votre consultant en cyber-secu et au bout de quelques années, il sera dépassé par les petits jeunes qui font ça de minuit a 5 heures du mat 7/7 pour le fun…

  2. JGP dit :

    @dd : pas grave, ça rentre dans la gestion du turnover des ressources humaines ;-)

  3. @dd

    Bien vu. Dans le hacking, la valeur n’aime pas le nombre d’années.

    Cordialement

  4. Gof dit :

    Bonjour, :)

    L’actualité semble riche sur ce sujet en ce moment, entre les billets de Charles Bwele, et les entretiens avec M. Filliol, suivi d’un reportage Arte de Juin :

    => Misha Glenny: « recrutez des hackers ! » . 17/09/2011. «« Il y a deux types d’entreprises dans le monde : celles qui savent qu’elles ont été piratées et celles qui ne le savent pas. » Selon Misha Glenny, des millions de dollars sont dépensés en éblouissantes solutions cybersécuritaires mais personne ne s’intéresse et ne veut encore moins discuter avec les hackers qui, malgré tout, demeurent des figures centrales de l’Internet (…).»
    Source : electrosphere.blogspot.com/2011/09/misha-glenny-recrutez-des-hackers.html
    Billets en relation :
    09/09/2011. Cyberguerre, le retard français : http://www.clubdesvigilants.com/archives/2011/09/cyberguerre-le-retard-francais-2/
    13/09/2011. State-sponsored spies collaborate with crimeware gang : http://www.theregister.co.uk/2011/09/13/apt_botnet_symbiosis/
    20/09/2011. Hacker, ni dieu ni maître : un reportage intéressant sur la culture Pirate… : http://www.geeklheim.fr/video/hacker-ni-dieu-ni-maitre-un-reportage-interessant-sur-la-culture-pirate/
    20/09/2011. Et si vous recrutiez un hacker ? : alliancegeostrategique.org/2011/09/20/et-si-vous-recrutiez-un-hacker/
    20/09/2011. Cyberguerre : l’impréparation reste la norme : http://www.lemagit.fr/article/securite-cyberguerre-hacker/9492/1/cyberguerre-impreparation-reste-norme/

  5. Spurinna dit :

    Sauf que les hackers n’ont pas de copines, c’est pourtant un fait bien connu ! Du coup, il peut continuer la nuit plus longtemps.

  6. Y a un truc de vrai néanmoins : beaucoup s’assagissent vers le trentaine-quarantaine, avec ou sans petites amies.

  7. nikeos dit :

    Qu’est ce qui empêche de comprendre une personne socialement en vue (voir rangée), qu’il suffit de s’intéresser à ce qu’on fait pour arriver de meilleurs résultats ?

    C’est bien la base essentielle du Hacking, le monde des logiciels.
    L’âge est un paramètre par rapport au temps disponible mais c’est propre à notre société.
    On a tendance à mystifier le hacker, le placer dans le fantasme mais au final les lois qu’ils ou elles enfreignent n’ont pas une assise morale très forte dans l’histoire de la morale humaine.

    Et tant qu’il n’y a pas mort d’Homme…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

UA-7688295-1