loader

Le piratage peut-il être éthique ? Oui, absolument – au moins dans les bonnes conditions. Un hacker n’est au départ qu’une personne qui s’occupe de la sécurité des systèmes et recherche les points faibles qui permettent l’intrusion. La question de savoir si l’acte de hacker lui-même est éthique ou non serait, dans ce contexte, définie par l’intention du hacker : comment est-il fait et quel est le but ?

Dans la culture des hackers, cette question est résolue à l’aide d’un ensemble de principes – la soi-disant éthique des hackers. Initialement décrites dans le livre de Steven Levy Hackers in the 1980s, ces directives ont été modifiées et étendues au fil du temps.

Du Club informatique du chaos (CCC) décrit l’éthique des hackers comme suit :

  • L’accès aux ordinateurs et à tout ce qui peut vous montrer comment fonctionne ce monde devrait être illimité et complet.
  • Toutes les informations doivent être gratuites.
  • Autorités suspectes – encourager la décentralisation.
  • Jugez un hacker par ce qu’il fait, et non par les critères habituels comme l’apparence, l’âge, l’origine, l’espèce, le sexe ou le statut social.
  • Vous pouvez créer de l’art et de la beauté avec un ordinateur.
  • Les ordinateurs peuvent changer votre vie pour le mieux.
  • Ne joignez pas les données des autres.
  • Utiliser les données publiques, protéger les données privées.

(Source : ccc.de/de/hackerethik)

Cependant, ces points laissent place à l’interprétation. Par exemple, il n’y a pas d’explication plus détaillée de ce qui relève du terme « ordures » (avant-dernier point). La question de savoir ce que l’on entend par « information gratuite » (deuxième point) reste également ouverte : est-ce que gratuit signifie aussi gratuit ? C’est un point de discorde majeur dans la recherche et la science. Car trop souvent, les droits d’exploitation doivent être cédés à des éditeurs pour publication dans des revues classiques et renommées. En conséquence, bien que ce contenu soit gratuit (dans le sens où il n’est pas verrouillé), il n’est accessible qu’à ceux qui peuvent le payer.

Les partisans du mouvement Open Access, en revanche, exigent que le contenu scientifique soit en principe librement accessible au sens de gratuité.

Ainsi, si un hacker publie gratuitement du contenu scientifique sur Internet tandis que l’autre refuse, les deux pourraient toujours prétendre qu’ils suivent l’éthique des hackers décrite ci-dessus.

Aussi intéressante que puisse être l’éthique du hacking, elle ne remplace aucun code légal.

Si les deux derniers points protègent plus ou moins bien les particuliers, les entreprises et corporations ne sont pas du tout mentionnées. En ce qui concerne les autorités, on a pu voir qu’elles sont au moins indirectement visées au troisième point (« autorités méfiantes »). Sur cette base, il est possible de deviner où se trouvent les points de friction. Après tout, le législateur a stipulé que le piratage est punissable si…

« … quelqu’un enfreint ou surmonte les précautions de sécurité du système afin d’obtenir un avantage financier ou de nuire à l’opérateur du système (par exemple en espionnant des secrets commerciaux).

Perturber le fonctionnement d’un système informatique ou contourner les restrictions d’accès ou les barrières techniques est également une infraction pénale. »

(Source : oesterreich.gv.at)

La combinaison de la situation juridique et de l’éthique des hackers permet de différencier les hackers en trois catégories :

Chapeau blanc:

Les hackers au chapeau blanc observent à la fois l’éthique des hackers et la situation juridique. Ils sont souvent appelés Professionnels de la sécurité informatique et vérifier, par exemple, les faiblesses des systèmes des entreprises ou des autorités après la passation d’une commande correspondante.

Chapeau noir:

Ces pirates agissent avec une énergie criminelle dans le but d’endommager et de détruire les données et les systèmes.

Chapeau gris

Bien qu’ils agissent souvent en dehors de la loi, ils adhèrent à l’éthique des hackers. Une distinction claire entre le bien et le mal est souvent difficile, mais elle distingue le manque d’intentions destructrices des chapeaux noirs. Les chapeaux gris se voient généralement comme une sorte de Robin des Bois, par exemple en mettant gratuitement à disposition des connaissances payantes (comme décrit précédemment à l’aide de l’exemple de l’Open Access). Ils publient également souvent des failles de sécurité, que les responsables préféreraient en fait couvrir.

Un dicton dit qu’il faut penser comme un voleur pour attraper un voleur. Les pirates informatiques peuvent sympathiser avec leurs homologues sombres, et leurs connaissances et leurs compétences leur permettent d’agir comme ils le font. Mais ce ne sont pas vos adversaires : En tant que chef d’entreprise ou exploitant d’un site Web, vous pouvez leur demander de vérifier que votre système ne présente pas de failles de sécurité. Contrairement aux chapeaux noirs, ils ne causeront aucun dommage, mais vous aideront à parer à de futurs dommages.

Bien que le chapeau blanc ou le hacker éthique mènera des actions qui sont en réalité punies par la loi, sont-ils légaux dans ce contexte. Car s’il est dans le cadre d’un soi-disant Tests de pénétration pénètre dans un système, il agit au nom du propriétaire. Important : Les limites définies au préalable (par exemple, certaines données peuvent ne pas être lues) seront prises en compte. Néanmoins, si vous employez des salariés, il est conseillé de faire participer leurs représentants et de les informer d’un projet de test d’intrusion.

À l’exception de la dernière étape, les attaques de pirates malveillants et les tests de pénétration suivent un schéma similaire :

  1. Préparation et collecte d’informations: Cette phase est également connue sous le nom d’empreinte. Aucune attaque n’a encore eu lieu ici, seules des informations sont collectées. Ce faisant, non seulement le système lui-même est pris en compte, mais aussi l’environnement. Par exemple, les employés d’une entreprise sont souvent espionnés sur les réseaux sociaux. Mais les poubelles ou le conteneur à papier peuvent également fournir aux pirates des informations précieuses.
    Cela montre que la cybersécurité et le comportement responsable ne doivent pas s’arrêter aux limites de votre propre réseau.
  2. une analyse: L’information a été collectée, maintenant elle est planifiée. Quelles failles peuvent être exploitées pour accéder réellement au système et quels moyens sont adaptés pour cela ?
  3. attaque: Il est maintenant temps de passer aux choses sérieuses. Le pirate tente de s’introduire dans le système en exploitant les vulnérabilités trouvées.
  4. Maintenance: Il ne suffit généralement pas d’être à l’intérieur. Les pirates ont souvent un objectif précis qui oblige à avoir accès au système sur une plus longue période de temps. C’est là qu’interviennent les logiciels malveillants, tels que B. Des chevaux de Troie sont utilisés.
  5. Suppression des traces: Le mal est fait, le but est atteint. Maintenant, le pirate veut éviter de se faire prendre. Pour ce faire, il supprime les journaux, supprime les logiciels introduits. Un chapeau noir n’a généralement aucun problème à rendre les systèmes inutilisables s’il est nécessaire de brouiller les pistes.
  6. rapporter: À ce stade, un chapeau noir est déjà sur le dessus. Mais le chapeau blanc a agi en votre nom et prépare actuellement son rapport. À ce stade, vous vous demandez peut-être à quoi vous avez réellement dépensé votre argent parce que vous n’avez remarqué aucune attaque. Et peut-être serez-vous étonné lorsque le chapeau blanc décrira en détail comment cela s’est déroulé et quelles faiblesses de votre système vous devez absolument corriger.

Certes, les prix d’un tel test d’intrusion ne sont généralement pas si bas. Mais en fin de compte, il est moins cher d’embaucher un chapeau blanc éthique dès le début que de se retrouver avec les coûts d’une attaque de pirate informatique malveillante plus tard.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *