Le hackeur qui corrige les problèmes

Proposé par
Invité
le

Tous les hackeurs ne sont pas malintentionnés. Ainsi, en 2018, un certain Alexey a piraté et patché plus de 100 000 routeurs du constructeur MikroTik installés chez des particuliers, corrigeant ainsi une faille de sécurité qui permettait à quelqu'un de malintentionné de faire miner de la cryptomonnaie.


Commentaires préférés (3)

Il fait donc partie de ve qu'on appelle les hackers éthiques. Ils utilisent leurs compétences pour repérer les failles de sécurité sui peuvent exister dans certains produits ou chez des ebtreprises/organisations. Ils préviennent ensuite les fabriquants de ces failles contre rémunération ou non. Ils peuvent même être embauchés par des entreprises pour tester leurs sécurités

Posté le

android

(118)

Répondre

Si effectivement dans votre esprit « hacker = vilain », il va falloir sérieusement vérifier quelques définitions, quelques articles du milieu du hacking, et méditer un peu là-dessus.

On distingue généralement (et de manière assez manichéenne) :
* les "white hats" (chapeaux blancs), généralement vertueux (comme l'exemple mentionné dans l'anectode à priori),
* les "black hats", généralement malintentionnés,
* les greys hats (chapeaux gris), qui naviguent un peu entre les 2

Et dans le genre "ultra white hat ++", je vous recommande de vous pencher sur la vie d'Aaron Swartz : fr.wikipedia.org/wiki/Aaron_Swartz

a écrit : Si effectivement dans votre esprit « hacker = vilain », il va falloir sérieusement vérifier quelques définitions, quelques articles du milieu du hacking, et méditer un peu là-dessus.

On distingue généralement (et de manière assez manichéenne) :
* les "white hats" (chapeaux blancs), géné
ralement vertueux (comme l'exemple mentionné dans l'anectode à priori),
* les "black hats", généralement malintentionnés,
* les greys hats (chapeaux gris), qui naviguent un peu entre les 2

Et dans le genre "ultra white hat ++", je vous recommande de vous pencher sur la vie d'Aaron Swartz : fr.wikipedia.org/wiki/Aaron_Swartz
Afficher tout
Pour avoir une idée précise de la chose il faudrait connaître les proportions des trois types de hackers... Si (je n'ai aucune idée de cette proportion) on a un "gentil" pour mille "méchants", alors l'expression "hacker=vilain" est bien une règle, avec ses exceptions comme toutes les règles :)


Tous les commentaires (26)

Il fait donc partie de ve qu'on appelle les hackers éthiques. Ils utilisent leurs compétences pour repérer les failles de sécurité sui peuvent exister dans certains produits ou chez des ebtreprises/organisations. Ils préviennent ensuite les fabriquants de ces failles contre rémunération ou non. Ils peuvent même être embauchés par des entreprises pour tester leurs sécurités

Posté le

android

(118)

Répondre

Si effectivement dans votre esprit « hacker = vilain », il va falloir sérieusement vérifier quelques définitions, quelques articles du milieu du hacking, et méditer un peu là-dessus.

On distingue généralement (et de manière assez manichéenne) :
* les "white hats" (chapeaux blancs), généralement vertueux (comme l'exemple mentionné dans l'anectode à priori),
* les "black hats", généralement malintentionnés,
* les greys hats (chapeaux gris), qui naviguent un peu entre les 2

Et dans le genre "ultra white hat ++", je vous recommande de vous pencher sur la vie d'Aaron Swartz : fr.wikipedia.org/wiki/Aaron_Swartz

a écrit : Si effectivement dans votre esprit « hacker = vilain », il va falloir sérieusement vérifier quelques définitions, quelques articles du milieu du hacking, et méditer un peu là-dessus.

On distingue généralement (et de manière assez manichéenne) :
* les "white hats" (chapeaux blancs), géné
ralement vertueux (comme l'exemple mentionné dans l'anectode à priori),
* les "black hats", généralement malintentionnés,
* les greys hats (chapeaux gris), qui naviguent un peu entre les 2

Et dans le genre "ultra white hat ++", je vous recommande de vous pencher sur la vie d'Aaron Swartz : fr.wikipedia.org/wiki/Aaron_Swartz
Afficher tout
Pour avoir une idée précise de la chose il faudrait connaître les proportions des trois types de hackers... Si (je n'ai aucune idée de cette proportion) on a un "gentil" pour mille "méchants", alors l'expression "hacker=vilain" est bien une règle, avec ses exceptions comme toutes les règles :)

a écrit : Si effectivement dans votre esprit « hacker = vilain », il va falloir sérieusement vérifier quelques définitions, quelques articles du milieu du hacking, et méditer un peu là-dessus.

On distingue généralement (et de manière assez manichéenne) :
* les "white hats" (chapeaux blancs), géné
ralement vertueux (comme l'exemple mentionné dans l'anectode à priori),
* les "black hats", généralement malintentionnés,
* les greys hats (chapeaux gris), qui naviguent un peu entre les 2

Et dans le genre "ultra white hat ++", je vous recommande de vous pencher sur la vie d'Aaron Swartz : fr.wikipedia.org/wiki/Aaron_Swartz
Afficher tout
Je plussoie, gros +1.
On entend souvent dans les médias grands-publics "hacker = vilain", alors normal que de plus en plus de gens fassent la faute...

En vérité, hacker = bidouiller. Ce terme est surtout utilisé dans l'informatique mais on l'entend de plus en plus dans d'autres domaines plus ou moins technologiques.

Malheureusement pour les white hackers, même s'ils piratent des appareils avec de bonnes intentions, leur propriétaire a le droit de les attaquer en justice, et aura gain de cause.
L'intention est louable, mais l'action est illégale.

Il se passe quoi si j’héberge un site internet qui constitue l'ensemble de ma source de revenus et que le patch installé gracieusement par ce hacker corrige la faille du routeur MAIS empêche mon site d'être accessible ?
Apporter un patch pour corriger une faille peut avoir des effet de bords entraîner une rupture de service plus ou moins grave.

Dans mon cas, je ne souhaiterais pas que cela ne m'arrive, parce que "ça marche pour l'instant, et ça pourrait ne plus marcher si on y touche".
De même, si j'ai un robinet qui fuit, je n'apprécierait pas qu'on plombier pénètre chez moi pour le réparer sans mon consentement et sans m'avertir.

S'il était vraiment clean, le maximum que ce hacker aurait dû faire était d'informer les possesseurs de ce routeur et de mettre à disposition un outil pour installer ce patch.
Seul l'utilisateur/le possesseur d'un produit doit décider de ce qui est bon/mauvais en fonction de ses besoins.

a écrit : Malheureusement pour les white hackers, même s'ils piratent des appareils avec de bonnes intentions, leur propriétaire a le droit de les attaquer en justice, et aura gain de cause.
L'intention est louable, mais l'action est illégale.

Il se passe quoi si j’héberge un site internet qu
i constitue l'ensemble de ma source de revenus et que le patch installé gracieusement par ce hacker corrige la faille du routeur MAIS empêche mon site d'être accessible ?
Apporter un patch pour corriger une faille peut avoir des effet de bords entraîner une rupture de service plus ou moins grave.

Dans mon cas, je ne souhaiterais pas que cela ne m'arrive, parce que "ça marche pour l'instant, et ça pourrait ne plus marcher si on y touche".
De même, si j'ai un robinet qui fuit, je n'apprécierait pas qu'on plombier pénètre chez moi pour le réparer sans mon consentement et sans m'avertir.

S'il était vraiment clean, le maximum que ce hacker aurait dû faire était d'informer les possesseurs de ce routeur et de mettre à disposition un outil pour installer ce patch.
Seul l'utilisateur/le possesseur d'un produit doit décider de ce qui est bon/mauvais en fonction de ses besoins.
Afficher tout
Sympa l'exemple du plombier qui répare le robinet, mais on doit l'appeler "Robin(et) Hood". Pfff le jeu de mots.

Posté le

android

(3)

Répondre

a écrit : Malheureusement pour les white hackers, même s'ils piratent des appareils avec de bonnes intentions, leur propriétaire a le droit de les attaquer en justice, et aura gain de cause.
L'intention est louable, mais l'action est illégale.

Il se passe quoi si j’héberge un site internet qu
i constitue l'ensemble de ma source de revenus et que le patch installé gracieusement par ce hacker corrige la faille du routeur MAIS empêche mon site d'être accessible ?
Apporter un patch pour corriger une faille peut avoir des effet de bords entraîner une rupture de service plus ou moins grave.

Dans mon cas, je ne souhaiterais pas que cela ne m'arrive, parce que "ça marche pour l'instant, et ça pourrait ne plus marcher si on y touche".
De même, si j'ai un robinet qui fuit, je n'apprécierait pas qu'on plombier pénètre chez moi pour le réparer sans mon consentement et sans m'avertir.

S'il était vraiment clean, le maximum que ce hacker aurait dû faire était d'informer les possesseurs de ce routeur et de mettre à disposition un outil pour installer ce patch.
Seul l'utilisateur/le possesseur d'un produit doit décider de ce qui est bon/mauvais en fonction de ses besoins.
Afficher tout
Eh bien, j'ai oui-dire que ça peut être compliqué d'essayer de faire les choses aussi proprement que tu le suggère, parce que:
1) si je reçois un patch "pirate" de correction de bug où autre, qu'il soit clean où non, dans le doute, c'est classement vertical parce que l'informatique et moi on est pas copains (ca veut dire que je suis un gros nul, comme 90% des utilisateurs qui feront certainement comme moi)
2) si le hacker prévient l'entreprise, c'est pareil, il y a de grandes chances qu'elle attaque le hacker en justice, même si ses intentions étaient louables, comme l'histoire de Mr Yescard, qui avait averti les banques que le système informatique de paiement était tout sauf sécurisé (et il ne l'est toujours pas d'ailleurs) et qui a fini en taule pour ça.

Finalement, le hacker de l'anecdote a fait la seule chose logique: réparer sans le dire à personne, même si effectivement y'a un risque à "bidouiller" des machines non officiellement et de faire plus de mal que de bien, mais là ca s'est apparemment bien terminé.

Les grandes entreprises détestent qu'on vienne fourrer son nez dans leurs affaires, mais les particuliers aussi! ^^

a écrit : Eh bien, j'ai oui-dire que ça peut être compliqué d'essayer de faire les choses aussi proprement que tu le suggère, parce que:
1) si je reçois un patch "pirate" de correction de bug où autre, qu'il soit clean où non, dans le doute, c'est classement vertical parce que l'informati
que et moi on est pas copains (ca veut dire que je suis un gros nul, comme 90% des utilisateurs qui feront certainement comme moi)
2) si le hacker prévient l'entreprise, c'est pareil, il y a de grandes chances qu'elle attaque le hacker en justice, même si ses intentions étaient louables, comme l'histoire de Mr Yescard, qui avait averti les banques que le système informatique de paiement était tout sauf sécurisé (et il ne l'est toujours pas d'ailleurs) et qui a fini en taule pour ça.

Finalement, le hacker de l'anecdote a fait la seule chose logique: réparer sans le dire à personne, même si effectivement y'a un risque à "bidouiller" des machines non officiellement et de faire plus de mal que de bien, mais là ca s'est apparemment bien terminé.

Les grandes entreprises détestent qu'on vienne fourrer son nez dans leurs affaires, mais les particuliers aussi! ^^
Afficher tout
Pourtant j’en connais un certain nombre qui adorent mettre tout pleins d’objets connectés chez eux ou qui possèdent plusieurs comptes sur différents réseaux sociaux sans se soucier le moins du monde de leur sécurité mais qui râlent au moindre coup de téléphone publicitaire ou quand le voisin les regarde dans le jardin... on est en pleine illusion dystopique de la vie privée.

a écrit : Sympa l'exemple du plombier qui répare le robinet, mais on doit l'appeler "Robin(et) Hood". Pfff le jeu de mots. Ça me rappelle cet épisode de "The Good Doctor" où Murphy engueule copieusement le concierge de son immeuble qui lui a réparé son robinet parce que le bruit des gouttes d'eau dans l'évier l'aidait à s'endormir le soir...

Posté le

android

(10)

Répondre

a écrit : Il fait donc partie de ve qu'on appelle les hackers éthiques. Ils utilisent leurs compétences pour repérer les failles de sécurité sui peuvent exister dans certains produits ou chez des ebtreprises/organisations. Ils préviennent ensuite les fabriquants de ces failles contre rémunération ou non. Ils peuvent même être embauchés par des entreprises pour tester leurs sécurités Afficher tout Un white hat

Posté le

android

(1)

Répondre

a écrit : Si effectivement dans votre esprit « hacker = vilain », il va falloir sérieusement vérifier quelques définitions, quelques articles du milieu du hacking, et méditer un peu là-dessus.

On distingue généralement (et de manière assez manichéenne) :
* les "white hats" (chapeaux blancs), géné
ralement vertueux (comme l'exemple mentionné dans l'anectode à priori),
* les "black hats", généralement malintentionnés,
* les greys hats (chapeaux gris), qui naviguent un peu entre les 2

Et dans le genre "ultra white hat ++", je vous recommande de vous pencher sur la vie d'Aaron Swartz : fr.wikipedia.org/wiki/Aaron_Swartz
Afficher tout
Merci pour ce lien!
Je n'ose pas imaginer ce quil aurait accompli sil n avait pas mis fin à ses jours...

Posté le

android

(4)

Répondre

Beaucoup de grands groupes informatiques mettent à la disposition des outils de signalement d’erreur. Les White hats, peuvent ainsi signaler une failles de sécurité et peut être recevoir une prime à l’occasion.
Pour surfer sur cette possibilité, il y a même des sociétés de chasse de prime qui recrutent des White hats pour rechercher les failles des autres.
Enfin, des hackathons sont organisés par des grands groupes (ou mêmes des administrations publiques) pour tester les infrastructures.

a écrit : Pour avoir une idée précise de la chose il faudrait connaître les proportions des trois types de hackers... Si (je n'ai aucune idée de cette proportion) on a un "gentil" pour mille "méchants", alors l'expression "hacker=vilain" est bien une règle, avec ses exceptions comme toutes les règles :) En réalité, le terme de hacker est ultra vaste. Par exemple, dans le cadre de mes études, je serai amené à devenir un hacker, tout simplement parce que la cybersécurité sera partie intégrante de ma spécialisation.
Il existe même des certifications "White Hat", notamment la CEH, pour "Certified Ethical Hacker": en effet, pour comprendre comment protéger un système, il faut d'abord savoir comment s'y introduire, pour développer des contre-mesures.

On peut donc partir du postulat que la plupart des consultants en sécurité informatique sont, avant toute chose, des hackers. Ce qui veut dire qu'on est probablement plus proches d'une proportion 50-50 que de 90-10.

Après, je tire ces chiffres de mon chapeau, mais ça me paraît être assez logique.

Posté le

android

(7)

Répondre

il y a des hackers (remunerés 1M ) qui ont été missionné par le gouvernement américain pour débloquer un iphone 5 protégé (attentat de san bernardino). C’était pour la bonne cause ..

Et peu de personne le savent mais « hacker » est devenu un métier aujourd’hui : pentester. Je le suis depuis un peu plus de trois ans aujourd’hui et notre mission est d’attaquer notre cible (sur un périmètre défini au début de la mission : un site web, un réseau d’entreprise, une application de téléphone, ...) en utilisant les mêmes techniques que les « méchants » mais derrière en accompagnant nos clients (de la PME de 10 salariés à l’entreprise du CAC40) dans la correction des vulnérabilités identifiées.

C’est un métier de passionnés où très peu d’études existent. On l’apprend principalement sur le tas et en étant curieux.
Attention à ceux qui veulent entrer dans le métier, fuyez la formation CEH (une arnaque que seules les personnes hors du métier pensent bien...).

Également, sans être pentester, il est possible de gagner sa vie en découvrant des vulnérabilités au travers des programmes de bugbounty où les entreprises peuvent s’inscrire et où vous êtes autorisés à découvrir des vulnérabilités (mais sans faire de choses malveillantes : interruption de service, vol de donnés, etc.) contre une prime (un bounty) qui peut aller de 0€ à plusieurs dizaine de milliers.

Des millions de choses à dire sur notre métier qui est bien trop mystique pour la plupart des gens mais où au final tout est logique :)

a écrit : En réalité, le terme de hacker est ultra vaste. Par exemple, dans le cadre de mes études, je serai amené à devenir un hacker, tout simplement parce que la cybersécurité sera partie intégrante de ma spécialisation.
Il existe même des certifications "White Hat", notamment la CEH, pour "Certified Ethi
cal Hacker": en effet, pour comprendre comment protéger un système, il faut d'abord savoir comment s'y introduire, pour développer des contre-mesures.

On peut donc partir du postulat que la plupart des consultants en sécurité informatique sont, avant toute chose, des hackers. Ce qui veut dire qu'on est probablement plus proches d'une proportion 50-50 que de 90-10.

Après, je tire ces chiffres de mon chapeau, mais ça me paraît être assez logique.
Afficher tout
c'est parfaitement logique, les meilleurs serruriers savent comment fonctionnent les serrures. ;)

a écrit : Et peu de personne le savent mais « hacker » est devenu un métier aujourd’hui : pentester. Je le suis depuis un peu plus de trois ans aujourd’hui et notre mission est d’attaquer notre cible (sur un périmètre défini au début de la mission : un site web, un réseau d’entreprise, une application de téléphone, ...) en utilisant les mêmes techniques que les « méchants » mais derrière en accompagnant nos clients (de la PME de 10 salariés à l’entreprise du CAC40) dans la correction des vulnérabilités identifiées.

C’est un métier de passionnés où très peu d’études existent. On l’apprend principalement sur le tas et en étant curieux.
Attention à ceux qui veulent entrer dans le métier, fuyez la formation CEH (une arnaque que seules les personnes hors du métier pensent bien...).

Également, sans être pentester, il est possible de gagner sa vie en découvrant des vulnérabilités au travers des programmes de bugbounty où les entreprises peuvent s’inscrire et où vous êtes autorisés à découvrir des vulnérabilités (mais sans faire de choses malveillantes : interruption de service, vol de donnés, etc.) contre une prime (un bounty) qui peut aller de 0€ à plusieurs dizaine de milliers.

Des millions de choses à dire sur notre métier qui est bien trop mystique pour la plupart des gens mais où au final tout est logique :)
Afficher tout
Ce que tu veux expliquer, c'est que le piratage devient non interdit tant qu'il n'est pas malveillant?
C'est bien, ca pousse l'informatique vers le haut, je suis sincère. On avance.

a écrit : Pourtant j’en connais un certain nombre qui adorent mettre tout pleins d’objets connectés chez eux ou qui possèdent plusieurs comptes sur différents réseaux sociaux sans se soucier le moins du monde de leur sécurité mais qui râlent au moindre coup de téléphone publicitaire ou quand le voisin les regarde dans le jardin... on est en pleine illusion dystopique de la vie privée. Afficher tout Effectivement, mettre sa vie en ligne et se plaindre après que sa vie soit en ligne ca me laissera toujours rêveur...

De mon temps, j'en étais au point où fallait pas laisser trainer ses tickets de retrait de carte bleue, aujourd'hui on en est au stade où le mec qui poste son adresse sa photo et celle de ses gosses sur le réseau ne comprends pas pourquoi c'est copiable (copié collé, meme moi je sais faire ça^^)

La réalité dépasse la fiction...

Je crois me souvenir d’une affaire d’un hacker qui avait hacké sur la base de donnée de vtech plusieurs millions de comptes juste pour montrer les failles de sécurité
J’avais vu ça sur la chaîne de MisterJDay que je recommande au passage

a écrit : Si effectivement dans votre esprit « hacker = vilain », il va falloir sérieusement vérifier quelques définitions, quelques articles du milieu du hacking, et méditer un peu là-dessus.

On distingue généralement (et de manière assez manichéenne) :
* les "white hats" (chapeaux blancs), géné
ralement vertueux (comme l'exemple mentionné dans l'anectode à priori),
* les "black hats", généralement malintentionnés,
* les greys hats (chapeaux gris), qui naviguent un peu entre les 2

Et dans le genre "ultra white hat ++", je vous recommande de vous pencher sur la vie d'Aaron Swartz : fr.wikipedia.org/wiki/Aaron_Swartz
Afficher tout
Mais quelle tristesse. Grâce à votre lien j’ai parcouru sur plusieurs plateformes la vie de ce garçon. C’est scandaleux on se demande même si c’est un suicide tant il menaçait indirectement les « envahisseurs » du net. Ce mec est un héros.