hacker ouvert

«On est en plein boom par rapport aux entreprises qui font appel aux hackers éthiques », explique l’étudiante au doctorat en droit international de l’UdeM Laura Baudin. Mais les pirates ont eux aussi le vent dans les voiles, selon celle qui s’intéresse à l’encadrement juridique des cyberattaques en droit international public. « Il y a de plus en plus d’attaques informatiques qui se font quotidiennement, sans relâche, poursuit-elle. On prévoit qu’en 2021, les dommages causés par les cyberattaques s’élèveront à six billions de dollars¹. Ça fait réagir les entreprises, qui se tournent de plus en plus vers les hackers éthiques. »

L’esprit du hacking

Le professeur au Département Éducation de l’Université TÉLUQ Patrick Plante explique que le hacking consiste, dans sa plus simple expression, à trouver un nouvel usage aux objets ou aux logiciels. Au-delà de cette définition, le monde du hacking a son propre code d’éthique qui le différencie, selon lui, du piratage. « Si tu trouves une faille chez Desjardins et que tu les contactes pour leur dire qu’il y a une faille, c’est ça, l’esprit du hacking, théorise-t-il. Par contre, si tu vas sur le Web clandestin pour vendre sur le marché noir cette vulnérabilité non corrigée [zero-day vulnerability], c’est autre chose. »

Selon le professeur agrégé à l’École de criminologie de l’UdeM David Décary-Hétu, les courants de pensée prédominants en sécurité informatique ont été, dans les années 1990 notamment, le secret et l’obscurité. « Avant, tout était caché et il fallait hacker les systèmes pour comprendre comment ils fonctionnaient, détaille-t-il. Maintenant, l’information est disponible en ligne, gratuitement : je n’ai plus besoin d’aller voler des connaissances, puisque tout est plus ouvert et partagé. En cybersécurité, miser sur l’obscurité est une erreur. »

L’enseignant estime que ce changement de paradigme au sein de l’industrie, oriente les étudiants vers les applications white hat et non vers le piratage. « Quand il n’y a rien à cacher, il n’y a rien à voler », ajoute-t-il.

Une expertise prisée

Selon M. Plante, les entreprises accordent désormais plus de valeur au travail des hackers qu’elles ne le faisaient auparavant. « Cette expertise est très recherchée par les banques, illustre-t-il. Celles-ci ont compris qu’il est préférable de payer quelqu’un pour hacker leur propre système dans le but de l’améliorer, plutôt que d’attendre que quelqu’un d’autre le fasse de l’extérieur et de s’en apercevoir quand le mal est fait. »

D’après Laura, il devient fréquent pour les entreprises d’exiger des recrues l’accomplissement d’un programme de certification. « Le programme « Certified ethical hacker » [offert par l’organisme EC-Council] se fait en une semaine environ, souligne-t-elle. On doit prouver ses connaissances en hacking, mais surtout certifier ses bonnes intentions. » Si elle voit d’un bon œil que de tels éléments sont mieux intégrés aux programmes d’études, elle croit aussi qu’au bout du compte, chacun choisit sa voie.

Le directeur des tests d’intrusion chez l’entreprise de cybersécurité GoSecure, Laurent Desaulniers, estime que si les universités enseignent bien la cybersécurité en général, certaines le font mieux que d’autres. « Je pense notamment à l’ÉTS Sherbrooke, mentionne-t-il. Polytechnique a aussi un programme, mais de façon pratique, on a moins de gens en cybersécurité qui proviennent de là-bas. » Il indique qu’il existe plusieurs formations ou certifications — plus ou moins bien cotées ou réputées selon lui — servant à reconnaître les acquis ou l’engagement éthique des informaticiens.

M. Desaulniers, qui a notamment aidé des banques à mieux protéger leurs guichets des attaques informatiques, qualifiées de jackpotting car elles peuvent faire dégorger tout leur contenu en billets à la manière d’une machine à sous, estime que les informaticiens sensés vont s’orienter d’eux-mêmes vers les activités licites. « Autrefois, les clients embauchaient des criminels repentis pour protéger leurs systèmes, mais maintenant, ce n’est plus comme ça, affirme-t-il. Les gens se connaissent, ils participent à des compétitions, il y a des bug bounties², des communautés. Je n’embaucherais jamais un criminel, car les clients ne me feraient plus confiance. »

De leur côté, les banques absorbent facilement ces coûts de sécurité ainsi que les pertes découlant des cas sporadiques de piraterie, selon lui. « C’est simplement un coût d’exploitation pour elles », conclut-il.

Gestion de risque

Selon M. Décary-Hétu, les conditions économiques actuelles orientent naturellement les finissants vers des activités licites. « On a moins de problèmes de piratage au Québec et au Canada, parce que ces étudiants-là ont des débouchés qui vont être extrêmement payants, observe-t-il. On dit souvent qu’un étudiant en informatique sans emploi, c’est toujours louche. » Ce n’est pas nécessairement le cas dans d’autres pays, où les occasions emploi bien payées se font souvent plus rares, d’après le professeur.

Pour M. Desaulniers, les informaticiens qui s’engagent dans des activités illicites ont une mauvaise notion de la gestion des risques. « Le gars qui fait 80 000 $ de jackpotting et qui va passer sept ans en prison parce qu’il s’est fait prendre, il ne comprend pas la game », illustre-t-il. Selon lui, un simple calcul coûts versus bénéfices suffit dans la majorité des cas à dissuader ce genre de comportement.

^{1. Cybercrime Magazine – Cybercrime Damages $6 Trillion by 2021 (2017).}

^{2. « Primes de bogues » en français. Il s’agit d’une récompense pour avoir découvert une vulnérabilité non-corrigée.}