Dans le contexte d’une cybercriminalité galopante, le combat paraît parfois perdu d’avance pour des experts de la cyberdéfense condamnés à courir derrière des pirates informatiques qui semblent toujours avoir un coup d’avance et jouir ainsi d’un avantage certain. Contre la criminalité dite classique, le moyen le plus efficace pour résoudre une enquête est d’infiltrer des policiers qui joueront le rôle de malfrats, au risque que ceux-ci flirtent d’un peu trop près avec l’illégalité, voire retournent leur veste. Le monde de la sécurité informatique est confronté au même problème : comment lutter efficacement contre la cybercriminalité sans l’aide des hackers ?
Cybersécurité : à qui faire porter le chapeau ?
Le paysage de la cybercriminalité est complexe et les motifs des hackers ne sont pas toujours faciles à cerner. On distingue généralement trois types de pirates :
– Les black hats (chapeaux noirs) sont les cybercriminels agissant dans l’illégalité pour leur propre profit ou sur commande. C’est le profil typique du pirate informatique, le méchant que l’on voit dans les films, celui qui vole les données, s’introduit dans les systèmes d‘information et lance diverses attaques. Il peut être incarné par un cyberterroriste avec un idéal politique ou instrumentalisé ou encore par un criminel ayant l’appât du gain pour seul but.
– Les white hats (chapeaux blancs), à l’opposé, sont également appelés les pirates éthiques. C’est-à-dire qu’ils utilisent leurs connaissances et leurs compétences pour aider à sécuriser les systèmes et lutter contre les failles. Ils prônent le « full disclosure », la divulgation totale des failles et des vulnérabilités.
– Les grey hats (chapeaux gris) sont à mi-chemin entre les deux précédents profils. Leurs motivations sont généralement bonnes et les fait agir avec une certaine éthique mais ils n’hésitent pas à franchir la barrière de la légalité, faisant d’eux des cybercriminels au regard de la loi. Typiquement, le grey hat s’introduit dans un système en toute illégalité mais au lieu de lui nuire, il informe les responsables des failles découvertes.
White hat, black hat, grey hat : bonnet blanc et blanc bonnet ?
Au premier abord, la distinction est donc aisée mais il s’agit en fait d’une vulgarisation trop schématique pour représenter fidèlement l’univers de la cybercriminalité. Au sein d’un même groupe, les motifs des uns et des autres demeurent flous et s’opposent parfois. Souvent, d’anciens black hats se reconvertissent en white hat et sont embauchés par des multinationales, tout en restant au fond d’eux-mêmes des chapeaux gris à la lisière de la légalité.
Pour illustrer ce paradoxe, prenons l’exemple de WannaCry, la cyberattaque la plus importante à ce jour, qui a sévi en 2017 et causé de lourdes pertes. Ce malware a été endigué grâce au white hat britannique Malware Tech (Marcus Hutchins de son vrai nom), qui a découvert par hasard un « kill switch », un bouton permettant de désamorcer l’attaque.
Il a donc stoppé cette offensive, s’est empressé de prévenir le monde entier et est devenu un véritable cyberhéros à l’échelle mondiale. Pourtant, quelques mois plus tard, il s’est fait arrêter et a été accusé par la justice américaine d’avoir créé et vendu, sur le Dark web, Kronos, un malware qui permet de voler de l’argent et des données à des banques.
Enseigner l’art du piratage ?
Comment former les étudiants et faire d’eux des experts efficaces de la cybersécurité ? Plus qu’ailleurs, la théorie ici ne suffit pas et la pratique doit être de rigueur. Il faut donc commencer par se mettre à la place des hackers, analyser leur psychologie et adopter leur mode de pensée. Mais les étudiants doivent aussi apprendre à devenir de vrais hackers, dans un cadre certes bien surveillé. Le crédo de ces cursus pourrait être : savoir pirater pour mieux se protéger ! En Belgique, où un master en cybersécurité a été créé en 2016, les étudiants doivent par exemple être capables de voler le mot de passe (fictif) du compte bancaire de leur professeur.
Pour maîtriser un sujet aussi vaste, il doit être traité à travers une approche globale et des cours variés. Outre les simulations d’intrusion et autres exercices de piratage, la formation passe aussi par des cours de droit et d’autres matières au lien moins étroit avec la cybersécurité, comme une leçon de crochetage de serrures par un expert afin de signifier qu’une protection optimale passe aussi par la sécurité physique des locaux.
Mais enseigner à de jeunes apprenants un savoir-faire aussi sulfureux peut se révéler à double tranchant car une partie d’entre eux pourraient basculer du mauvais côté de la barrière et utiliser leurs connaissances à mauvais escient. En Belgique, ces étudiants sont d’ailleurs pistés et surveillés par la Sûreté (le service de renseignement civil belge). Parallèlement à l’instruction technique et pratique, les professeurs sont donc dans l’obligation de placer au cœur de leur enseignement les notions de morale et d’éthique.
L’université de Valenciennes a été la première université européenne à proposer un cursus de cyberdéfense, avec comme slogan « attaquer pour mieux se défendre ». Le succès rencontré par cette formation témoigne d’un engouement certain pour le domaine même s’il reste encore énormément d’efforts à faire afin de répondre à une demande exponentielle sur le marché du travail.
La cybercriminalité évolue très vite. Tout le monde peut aujourd’hui devenir hacker, s’offrir un RaaS (Ransomware as a Service) sur le Dark Web ou s’autoformer grâce à des tutoriels expliquant comment exploiter des failles informatiques. Pour s’en prémunir, il est nécessaire de se familiariser avec les outils des hackers et d’adopter les techniques de l’ennemi, c’est en tout cas la méthode déjà préconisée dans les centres de formation et qui devrait très rapidement se généraliser. Alors demain, tous pirates ?
