Aux origines du hacking éthique...
Le Centre de Recherche des Officiers de la Gendarmerie Nationale (CREOGN) se penche sur la question de l'avenir du hacker éthique... Une note remarquable pleine d'enseignement
Pour la première fois, le CREOGN se penche sur la question du hacking éthique, preuve s'il en est des préoccupations en matière de cybersécurité et plus largement, de sécurité de l'information... Selon la note produite par le lieutenant colonel JALOYAN, docteur en méthodes formelles appliquées à la cybersécurité, le hacking éthique désigne un ensemble de normes et de pratiques visant à l'identification et la correction de vulnérabilités des systèmes d'informations par une approche coopérative avec les propriétaires des systèmes ciblés. Le hacking, en tant que réseau, trouve quant à lui son origine dans les plaisanteries réalisées par les étudiants du MIT, qui se traduisaient par un contournement des règles en faisant preuve d'ingéniosité : ce mouvement connaîtra d'ailleurs un très fort développement avec la popularisation de conventions de hackers telles que le Chaos Communication Congress ou DEF CON. Ces conventions constitueront autant de lieux rencontres entre hackers et services de renseignement, qui vont progressivement interagir, puis s'affronter pour mieux poursuivre un intérêt commun, assurer la sécurité de l'information...
L'opposition entre services et hackers, qui prenaient forme lors de compétitions, va progressivement s'estomper à partir des années 2000 : la Central Intelligence Agency, le Department of Defense ou la National Security Agency vont en effet chercher à convaincre les hackers de rejoindre leurs rangs. Fruit de ces rapprochements et interactions croissants, un marché blanc qui comprend des programme de divulgation responsable comme les "bug bounties", "pentests" ou "hackathons" se développe. Cette transformation, voire normalisation, prend progressivement un nom : l'infosec, pour "Information Security" ou "cybersécurité"... Ce nouveau concept se formalise ensuite par la création de normes spécifiquement liées à la sécurité des systèmes d'information, comme les normes ISO 15408, ISO 27001 ou le Référentiel Général de Sécurité. Ou encore la création de formations orientées vers la cybersécurité. Malgré ces développements, la sécurité des systèmes d'informations souffre de l'apparition de nouvelles menaces via les objets connectés ou encore les atteintes massives aux données à caractère personnel, avec les scandales "Cambridge Analytica/AggregateIQ" pour ne citer qu'eux. L'émergence de nouvelles contraintes en matière de conformité, comme la loi du 7 octobre 2016, la loi Sapin, le règlement général sur la protection des données ou enfin la loi du 30 juillet 2018 sur le secret des affaires parachève un peu plus le divorce progressif entre la communauté du hacking et communauté cyber.
Selon l'auteur de la note, le Lieutenant Colonel JALOYAN, la période 2015-2020 marque le grand retour de l'État dans le cyber, qui s'équipe de structures spécifiquement dédiées à la cybersécurité. En France, le COMCYBER voit le jour en 2017, alors que l'Institut de Recherche Criminelle de la Gendarmerie Nationale (IRCGN) ou encore le Centre de Lutte contre les Criminalités Numériques (C3N) voient le jour où se renforcent... Cependant, si l'État développe la formation et recherche avec le recrutement de stagiaires, d'alternants, le financement de thèses ou la mise en place de partenariats académiques, comme le Pôle d'excellence cyber, l'absence d'avancement ainsi que la limitation de la durée des contrats de la fonction publique conduisent au renouvellement important sur des postes nécessitant une forte spécialisation, voire contribuent à la précarisation de ce type d'emplois. Finalement, une nouvelle vague de hackers dotés de nouveaux outils favorisant l'action clandestine émerge, ainsi qu'un marché gris avec une nouvelle vague d'entreprises comme Clearview AI, spécialisée dans l'usage de la reconnaissance faciale, ou NSO, rendue célèbre grâçe au logiciel espion Pegasus. Parmi les principales tendances et perspectives, qui ne sont pas des plus optimistes mais État des plus réalistes, une partie de la communauté "hacking" semble basculer vers les gouvernements via des modèles de type sociétés militaires privées (SMP) : ces sociétés, souvent fondées par des anciens des services recrutent ainsi principalement parmi ces mêmes profils, en reconversion dans le privé : progressivement, le hacking devient un service achetable par des États géopolitiquement proches.