Dans le cadre du mois européen de la cybersécurité, qui fête ses 10 ans cette année, inCyber vous propose une rentrée littéraire et revient sur les six ouvrages primés lors du Prix du Livre du FIC 2022 ; L’occasion pour tous de s’informer, de se cultiver autrement. Dernier décryptage du Prix Coup de coeur du jury « Sécurité informatique, ethical hacking » de douze auteurs (collection EPSILON) par Pascal Coillet-Matillon.

« Apprendre l’attaque pour mieux se défendre » : tel est l’adage des douze auteurs de la 6e édition du livre Sécurité informatique. Ethical Hacking. Et pour cause ! Avec ce volumineux ouvrage scientifique, ils donnent aux informaticiens les clés essentielles pour s’initier aux techniques des cyberattaquants afin de contrer plus aisément leurs attaques.

Cyberattaques qui ont causé, en 2020, des pertes financières « estimées à environ 1 000 milliards de dollars, représentant 1 % du PIB mondial » nous explique le livre. De plus, avec la généralisation du télétravail à cause de la pandémie COVID 19, « leur nombre recensé [est passé] de 1 200 en janvier 2020 à 380 000 début avril 2020 » !

Dans ce contexte où personne n’est épargné (même pas les simples particuliers), il est urgent non seulement d’effectuer une « sensibilisation à la sécurité informatique dans nos institutions de type privé ou étatique » mais aussi de promouvoir le hacking éthique comme activité essentielle pour prévenir et contrer les cyberattaques.

Vive les hackers white hats !

Un hacker n’est pas un pirate. Tandis que le pirate veut « piller un système informatique […] dans le but de nuire, de voler des informations ou de réaliser du profit de manière illégale » un peu à la manière du pirate des mers, un hacker est « un bidouilleur, un fouineur, un passionné, bien plus enclin à la curiosité et à la soif d’apprendre qu’à la volonté de nuire. Le hacker est un spécialiste de la sécurité informatique, qui utilise ses connaissances par envie ou besoin d’en savoir plus ou pour diffuser des informations. »

Regroupés en communautés, développant une culture underground promouvant une certaine horizontalité dans leurs relations et partage d’informations, de compétences et de savoirs, les hackers sont néanmoins divisés en plusieurs catégories. Il y a les hackers universitaires qui « prônent l’idée selon laquelle l’information est libre et n’appartient à personne. » Demeurent aussi les hackers black hats « qui frôlent les limites de la légalité, ou les dépassent carrément » en s’introduisant dans un système informatique pour leur seul intérêt personnel. Quant aux hackers white hats, ceux-ci s’introduisent dans un système afin de révéler ses vulnérabilités pour contribuer à sa sécurisation « sans en tirer profit de manière illicite. » Enfin, les hackers grey hats se situent entre les deux : ils ne poursuivent pas un intérêt personnel comme les hackers black hats mais, contrairement aux hackers white hats, « ils divulguent des failles aussitôt qu’elles ont été découvertes, sans prévenir ou laisser le temps nécessaire au responsable pour corriger le problème, ce qui peut nuire gravement au système ciblé indirectement. »

Le présent ouvrage est l’œuvre de hackers white hats, tous membres de l’association Audit, Conseil, Installation et Sécurisation des Systèmes d’Information, laquelle conseille sur les problématiques relatives à la cybersécurité. C’est pourquoi, dans ce livre, ils partagent avec grande précision leurs connaissances scientifiques et techniques tant ils veulent contribuer à la sécurité informatique à la fois des particuliers et des structures privées et publiques qui ne peuvent se permettre d’être vulnérables face au cyberterrorisme, surtout quand elles exploitent des secteurs essentiels comme l’énergie ou la santé. Ainsi, c’est cette volonté de partager des informations au profit de l’intérêt général qui fait très justement dire aux auteurs que les hackers white hats « ont un sens de l’éthique et de la déontologie. »

Mettez-vous dans la peau de l’attaquant ! (en toute légalité…)

Comme l’expliquent les auteurs, quand des hackers white hats comme eux travaillent au profit d’entreprises pour effectuer un test d’intrusion dans leur système d’information afin de repérer ses vulnérabilités, ils doivent « se mettre dans la peau de l’attaquant » et ce « en testant le système dans des conditions de malveillance, et s’assurer que les données sont en sécurité » : « L’équipe est-elle fiable ? Les mots de passe sont-ils robustes ? Ne sont-ils pas accessibles à tout un chacun ? Les serveurs sont-ils sécurisés, corrigés en cas de problème ? Les fichiers de journalisation sont-ils consultés régulièrement ? Des outils détectent-ils une trace suspecte sur les serveurs ? » C’est pour se poser toutes ces questions que l’ouvrage initie à la sécurité informatique par le biais de 16 chapitres permettant d’effectuer des tests d’intrusion très complets, que ceux-ci soient en black box (le hacker qui teste n’a aucune informations), en grey box (il n’a qu’une partie des informations) ou en white box (il détient une connaissance globale du système).

Ces chapitres traitent en partie de l’ingénieurie sociale permettant de comprendre comment l’attaquant exploite les vulnérabilités humaines de sa cible afin de parvenir à ses objectifs. En effet, même si une entreprise détient un système ultra-sécurisé celui-ci peut être attaqué au moyen d’une petite négligence de l’un de ses salariés. Ils abordent aussi la prise d’empreinte permettant à l’attaquant, grâce à des informations qu’il collecte, de définir la méthodologie de son attaque. De plus ils développent une explication très riche des failles systèmes permettant de comprendre les vulnérabilités des systèmes Linux, Windows et mac OS X ainsi que de précieux renseignements sur l’analyse forensic permettant « la recherche de traces appelées preuves de compromission dans le cas d’une attaque informatique » pour retracer son déroulement. Ils traitent aussi de nombreux autres sujets permettant de mieux apprendre la cyberattaque : Black Market, failles réseau, web, applicatives, matérielles, sécurité des communications sans fil, Malwares, failles et investigations des appareils mobiles, sécurité des box, hacking du véhicule connecté.

Enfin, un dernier chapitre consacré aux « risques juridiques » permet au lecteur voulant s’initier au hacking éthique d’effectuer ses tests d’intrusion en conformité avec le droit positif en vigueur. Par exemple, il insiste sur la nécessité de conclure un contrat avec le client afin de ne pas commettre d’infraction pénale. De plus, si des partenaires du client peuvent être impactés même qu’indirectement par la prestation alors ils doivent aussi être parties au contrat. La vigilance doit donc être de mise !

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.