Hackers vs Hacktivistes

0
200

Récemment, la Direction Interministérielle du Numérique (DINUM) a lancé un programme de bug bounty visant à rémunérer les hackers qui arriveraient à identifier des vulnérabilités sur France Connect, la plateforme mise en place par le gouvernement pour faciliter la connexion aux services publics et démarches en ligne. Un exercice loin d’être rare pour des hackers qui ne s’adonnent pas forcément à des activités illicites.

Tribune – Dans un tout autre registre, on constate qu’en marge des récents conflits (Russie/Ukraine, Hamas/Israël), des hackers mènent des opérations ciblées pour déstabiliser la partie adverse, que ce soit à travers des attaques contre les infrastructures ou bien des attaques visant à diffuser un message politique, ce que l’on appelle communément de l’hacktivisme.

Voici les commentaires de Melissa Bischoping, Directrice, Endpoint Security Research chez Tanium qui revient en détail sur la distinction à opérer entre hackers et hacktivistes :

Les hacktivistes sont-ils différents des hackers ? Si oui (ou non), pourquoi ?

« Les hacktivistes sont totalement différents des hackers. Les hackers sont généralement des individus curieux et créatifs qui utilisent leurs connaissances pour résoudre des problèmes et créer des solutions. Les hackers ne sont pas des criminels par défaut, et il est important d’en tenir compte. Le hacktivisme, bien que similaire, concerne quelqu’un qui adopte une mentalité identique, à la différence qu’il utilise ses connaissances techniques pour promouvoir un message social ou politique, enfreignant souvent les lois par la même occasion. Un hacker peut bricoler dans ses propres environnements et collaborer à des solutions et projets open-source. Un hacktiviste peut enfreindre plusieurs lois pour essayer de diffuser son message ou perturber son adversaire. »

La loi doit-elle les traiter différemment ?

« Oui. Le terme “hacker” est un attribut, à l’instar de “menuisier” ou “artiste”. Il décrit une mentalité, un type de personnalité et un ensemble d’intérêts communs, mais en soi, son activité n’est pas illégale et ne devrait pas être traitée comme telle selon la loi. Le hacktivisme est une forme de cybercriminalité, et les personnes qui s’y adonnent sont des criminels, et pas seulement des “hackers”. »

Les défenseurs doivent-ils les traiter différemment ?

« Oui. Vous pouvez avoir des “hackers” dans votre organisation aujourd’hui. Ce sont des personnes qui résolvent de manière créative des problèmes techniques et créent des solutions innovantes pour votre organisation. Tant qu’il respecte les accords de licence applicables et le code de bonne conduite de votre entreprise, un hacker peut être un atout précieux pour votre équipe informatique et cyber ! L’objectif de vos cyber défenseurs, en ce qui concerne les hackers éthiques, est de s’assurer que toute recherche est effectuée conformément aux politiques d’utilisation acceptable et de divulgation responsable des vulnérabilités, et de préférence en coordination avec les équipes chargées de la sécurité pour réduire leur charge de travail. »

Si un chercheur trouve des données confidentielles exposées sur internet provenant d’une entreprise qu’il/elle trouve moralement répréhensible, et fait savoir qu’il a trouvé ces données, cette personne est-elle un hacker, un chercheur ou un hacktiviste ?

« L’intention, les lois en vigueur et le principe de divulgation responsable sont toujours des points importants à considérer pour déterminer si quelqu’un est un criminel ou non. La plupart des entreprises ont une méthode pour contacter leurs équipes de sécurité en cas de découverte d’une vulnérabilité et beaucoup lancent des programmes de bug bounty pour rechercher des problèmes de sécurité (avec parfois des primes à la clé). Si une personne identifie des informations divulguées et suit la politique de divulgation responsable de l’organisation ou alerte une équipe de sécurité sans faire de notification publique de la découverte, elle est plus susceptible d’être vue comme un chercheur ou un hacker éthique. Si une personne utilise ces informations pour commettre un crime, les vendre à un adversaire, ou faire autre chose que de travailler avec l’organisation victime de l’attaque, alors elle est probablement un cybercriminel (hacktiviste ou autre). Dans les deux cas, elles peuvent être ou non des hackers. Un hacker peut être un chercheur. Un hacker peut être un hacktiviste. Un hacker peut aussi être ni l’un ni l’autre, selon sa motivation et la manière dont il fait appel à ses compétences et connaissances. »