Au fil du temps, le terme « piratage » a évolué pour désigner toute intrusion non autorisée dans des bases de données et des pare-feu, ainsi que le vol d'informations.
Il faut toutefois nuancer cette définition, car tout acte de piratage – ou hacking – n'est pas forcément malveillant.
Le piratage éthique désigne le processus par lequel un hacker bienveillant – également baptisé « white hat » – accède à un réseau ou un système informatique avec les mêmes outils et ressources que son confrère malveillant, à la différence qu’il y est autorisé.
Ces « white hats » identifient les faiblesses potentielles d'un réseau, d'un site internet, d'une application ou d'un système informatique pour aider les entreprises à sécuriser leurs vulnérabilités et renforcer leurs défenses. Pour prétendre au qualificatif « éthique », ces hackers doivent être dûment autorisés à explorer les systèmes pour y rechercher ce qui peut constituer un risque pour la sécurité.
Si la stratégie semble osée, pourquoi séduit-elle autant d’entreprises ? Pour battre un pirate malintentionné sur son terrain, il faut penser comme lui. Dans cet article, nous évoquerons quelques-unes des missions qu’effectuent ces hackers vertueux pour les organisations. Nous présenterons également les principes qu’ils doivent respecter lorsqu’ils piratent éthiquement vos systèmes.
Un hacker éthique, ça fait quoi exactement ?
Comme indiqué, les pirates éthiques trouvent et colmatent toutes les failles dont l’entreprise ignore l’existence. Ils mettent en place les mesures de sécurité appropriées pour empêcher leur exploitation par des cyberdélinquants en quête de données exposées.
Pour aider les entreprises à se protéger de ces acteurs malintentionnés, les hackers positifs assurent, entre autres, les missions suivantes :
Mission n°1: Identifier les mauvaises configurations de sécurité
L’absence d’un cadre de sécurité correctement défini engendre de mauvaises configurations de sécurité.
Les entreprises sont tenues de suivre les standards de sécurité sectoriels et de se conformer à des protocoles permettant de réduire les risques d’attaques sur leur réseau. Mais, lorsque ces procédures ne sont pas respectées, les hackers malveillants n’ont aucun mal à repérer les failles de sécurité. Les conséquences peuvent alors être catastrophiques, avec des pertes de données stratégiques pour les entreprises.
Les mauvaises configurations de sécurité sont considérées comme l'une des vulnérabilités les plus courantes et les plus dangereuses. En 2019, le tour-opérateur britannique Teletex Holidays a subi une fuite massive de données, exposant 530 000 fichiers de données. En cause : un serveur web Amazon mal configuré. L’absence de chiffrement des fichiers, les applications web mal configurées, les appareils non sécurisés, la conservation des identifiants par défaut ou encore l’utilisation de mots de passe faibles constituent quelques-unes des erreurs de configuration les plus fréquentes.
Mission n°2: Réaliser des scans de vulnérabilités
Les scans de vulnérabilités permettent aux entreprises de vérifier la conformité de leurs réseaux et systèmes de sécurité aux normes sectorielles. Les outils d'analyse des vulnérabilités localisent avec précision les brèches ou bien une faille de sécurité exposée qui peuvent être dangereuses pour les systèmes en cas d’attaque indirecte.
Les scans de vulnérabilité peuvent être effectués sur le périmètre et hors du périmètre réseau évalué. Un scan externe analyse l'exposition d'un réseau aux serveurs et applications de tiers directement accessibles à partir d'Internet. Un scan interne identifie toute faille système qu’un cybercriminel pourrait exploiter sur différents systèmes s’il parvenait, d’une manière ou d’une autre, à accéder à un réseau local.
Les piratages internes sont généralement plus courants, car ils dépendent de la puissance de votre configuration internet et de vos systèmes de sécurité. Avant d'installer un programme de gestion des vulnérabilités, veillez par conséquent à cartographier tous vos réseaux et à les classer par importance.
Pour Cloud Defense, le mieux est d’utiliser une plateforme unifiée capable d'identifier les vulnérabilités et de les classer par risques calculés en fonction de plusieurs facteurs. Parmi les exemples de vulnérabilités logicielles courantes, citons l'injection SQL, les injections de données manquantes, une faiblesse dans la protection de votre pare-feu et les scripts intersites (XSS).
Mission n°3 : Empêcher l'exposition de données sensibles
Informations de carte bancaire, coordonnées téléphoniques, mots de passe des clients, données privées de santé… tous ces renseignements sont des données sensibles. Leur exposition peut engendrer des pertes importantes, et se traduire potentiellement par une violation des données, à laquelle s’ajoutent les conséquences habituelles (sanctions financières, pertes de revenus…).
Par exemple, lorsque l'on stocke des données de cartes de paiement dans une base de données, les applications de sécurité peuvent chiffrer le numéro de la carte en chiffrant automatiquement la base de données. Mais ces données de carte bancaire étant déchiffrées lors de leur extraction, une attaque par injection SQL permettrait de mettre la main dessus.
Les pirates éthiques réalisent des tests d'intrusion pour identifier ces types de failles et déterminer les vulnérabilités afin de documenter le mode opératoire de potentielles attaques. Pour éviter que leurs données ne soient exposées, les entreprises peuvent se protéger avec des certificats SSL/TLS. Elles peuvent également mettre à jour leurs algorithmes de chiffrement, désactiver les caches sur les formulaires, et chiffrer les données pendant et après un transfert de fichiers.
Mission n°4: Vérifier les failles d'authentification
Si l'authentification de votre site web est compromise, des attaquants peuvent facilement récupérer des mots de passe, des cookies de session et d'autres informations liées aux comptes utilisateurs. Ces informations peuvent leur servir ultérieurement à prendre une fausse identité.
D’après une étude, près d'un tiers des vulnérabilités liées à des failles d'authentification résultent d'une mauvaise conception et d'une incapacité à limiter correctement le nombre de tentatives d'authentification.
Les pirates éthiques peuvent alors vérifier la gestion des systèmes d'authentification et suggérer les mesures de sécurité à prendre pour protéger votre entreprise. Ils pourront vous recommander de :
• contrôler la durée de session de votre site web et de déconnecter les utilisateurs après une période définie afin de prévenir le risque de détournement de session ;
• mettre en place un certificat d'appareils IoT pour sécuriser l'authentification, le chiffrement et l'intégrité de vos données, et pour protéger vos équipements tout au long de son cycle de vie.
Autre mesure de sécurité possible : éviter d'utiliser des identifiants de session dans votre URL pour ne pas vous faire pirater vos cookies de session. L’utilisation d’un bon VPN sécurisé est également préconisée pour que les utilisateurs puissent transférer des données d'un serveur à un autre sur un réseau privé. En chiffrant les données partagées, le VPN empêche les attaques sur la gestion des sessions.
Pour Ludovic Rembert, expert en cybersécurité chez Privacy Canada, il est désormais indispensable d'utiliser un VPN lorsque l'on se connecte à des réseaux publics. Un VPN représente l'un des moyens les plus sûrs de se protéger des cybercriminels. Pour Ludovic Rembert, « le VPN représente votre seule protection contre des cybercriminels rusés. Les prix n'ont jamais été aussi bas, avec des contrats à long terme abordables. C'est le moment idéal d'investir dans un VPN. »
Les responsabilités d'un hacker éthique
Avant de s'introduire légalement dans les systèmes et les réseaux d'une entreprise, tout pirate éthique qui se respecte doit y être dûment autorisé. En plus d’obéir à un code de conduite et à une discipline stricte, il respecte aussi certains principes éthiques avant toute analyse de vulnérabilité.
Voici quelques-unes des règles que tout pirate vertueux se doit de suivre :
• Avant d’évaluer la sécurité du réseau d'une organisation, l'expert se sera soumis à une procédure d'accréditation scrupuleuse.
• L'expert se met dans la peau d'un hacker malveillant pour identifier les vulnérabilités potentielles, et documente le chemin d’attaque qu'il communique à l'organisation.
• L'expert signe un accord de confidentialité et traite toutes les informations avec la confidentialité la plus stricte.
• L'expert signale immédiatement à l'organisation toute violation de sécurité.
• Toutes les traces de tests de vulnérabilités doivent être effacées pour éviter toute exploitation malveillante des failles précédemment identifiées qui viserait à s'introduire dans le système
Pirater pour la bonne cause
En 2021, la digitalisation poursuivra son expansion à un rythme soutenu, entraînant dans son sillage une augmentation continue des problèmes liés à la cybersécurité. Chaque jour apporte son lot de nouvelles violations de données et les cybermalfaiteurs rivalisent d'ingéniosité pour exploiter les systèmes de données.
Dans ce contexte, le concept de « hacker éthique » a de quoi séduire. Même si vous n'en aviez jamais entendu parler ou que vous n’y aviez jamais pensé pour votre entreprise, ce pourrait bien devenir l'une des meilleures formes d'identification et de gestion des risques de sécurité.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d'offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.