Hacking, pentesting et cyberdéfense
 >  2019 , Généralités , Informer et partager






Le hacking, le pentesting et la cybersecurité, ont tous un point commun : l'informatique et la sécurité. Mais en quoi, ces 3 disciplines sont différentes ? Quels sont les acteurs et les enjeux de chacune de ces disciplines ?


Mise à jour le 2020/02/19


0x01. DEFINITIONS



Le hacking permet la redécouverte, que ce soit un courant de penser, un système, un objet voir même un concept. Si le hacking fait parler de lui dans la sécurité, c'est essentiellement parceque "déjouter un système de sécurité" fait parti de la redécouverte. Seulement, la sécurité est un composant politique : une politique de sécurité est à définir, des contrôles d'accès et donc des choix organisationnels, des décisions structurelles. Le hacking s'affranchit de ce cadre pyramidal. Son essence est divergente, c'est à dire qu'elle créé une relation "1 à n" : d'un hack sur quelque chose, peut aboutir plusieurs idées. Il peut être créatif ou récréatif, mais n'a certainement pas pour but d'être productif.
Le "hacking" s'affranchit par définition des frontières et des structures pyramidales, le modèle des groupes tels que Anonymous, LulzSec, ou encore du CCC est matriciel : sur un choix à définir, une décision = une négociation.
Cet extrait du manifest du hacker, est très parlant :


L'abstraction peut être découverte ou produite, peut êre matérielle ou immatérielle, mais elle est toujours réalisée par un "hack". [...] 

Abstraire c'est exprimer la virtualité de la nature, faire connaître quelques moments de ses multiples possibilités, actualiser une relation parmi un infini relationnel, manifester le divers. 


Le mot valise "pentesting" se suffit à lui même : tester la possibilité d'entrer dans un système, contourner les règles de sécurité d'une application ou de toute forme d'accès.
Le pentest est directement lié à la sécurité, il a pour but de l'éprouver. Une fois éprouvée, cette sécurité évolue. Il s'agit de renforcer le cadre sécuritaire, ainsi que favoriser le sentiment de sécurité à celui de créativité.


Un test d'intrusion (« penetration test » ou « pentest », en anglais) est une méthode d'évaluation (« audit », en anglais) de la sécurité d'un système d'information ou d'un réseau informatique ; il est réalisé par un testeur, (« pentester », en anglais).
-- Wikipedia


Dans "cyberdéfense", il faut lire "défense cyber". Le mot de "cyber" s'ajoute au concept d'une défense étatique et militaire, et également dans l'industrie. Afin de rajeunir et moderniser le concept, des consultants en sécurité et des pentesters seront embauchés sous couvert de "ethical hackers". "ethical" dans le sens de "obéissant" aux lois et morales des états et entreprises. La cybercriminalité, la cyber-escroquerie sont avant tout des crimes. Parler de couleurs dans le hacking "black hat" a permis tout un tas d'amalgame, à tel point qu'une couleur intermédiaire a vu le jours pour ceux qui change de couleurs selon leurs aspirations (économique, idéologique, politique, ...)
La cyberdéfense quant à elle, est définie par le vice amiral Coustillère ainsi :


La cyberdéfense regroupe l'ensemble des moyens physiques et virtuels mis en place par un pays dans le cadre de la guerre informatique menée dans le cyberespace. Selon le ministère français de la Défense, elle est « l’ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d’informations jugés essentiels »  et comme « l’ensemble des activités qu’il conduit afin d’intervenir militairement ou non dans le cyberespace pour garantir l’efficacité de l’action des forces armées, la réalisation des missions confiées et le bon fonctionnement du ministère » [1]. 

[1] : Coustillère, « La défense française dans le cyberespace », Les Grands Dossiers de Diplomatie,‎ n°23, octobre-novembre 2014
-- Wikipedia



0x02. LIMITES



Pour chacune de ces disciplines - par rapport aux limites, l'association suivante peut-être faite :

Cyberdéfense : s'assurer que les limites soient difficiles à dépasser
Hacking : chercher à dépasser les limites
Pentesting : repousser les limites pour en faire des nouvelles





0x03. APPRENDRE L'ESPRIT CRITIQUE ?



S'il est possible d'étudier des théories et des techniques, et d'obtenir un diplôme en cyber-sécurité, l'esprit critique découlant du hacking ne s'enseigne pas. De plus, il y a souvent une confusion entre le Hacker éthique, c'est &agrav; dire ce consultant en sécurité informatique, embauché en tant que pentester, dont le but est de maintenir l'idéologie de l'élitisme, de la privatisation des personnes et des biens et du maintien des structures en places - et l'éthique du Hacker qui prône le partage, la décentralisation des connaissances tout en préférant la créativité &agrav; la productivité.

Il n'existe pas de diplôme du hacker, cela ne s'apprends que par soi même. De par son essence, il n'est pas possible d'apprendre à contourner des règles définies ou à définir. C'est un état qui découlent d'un esprit critique, d'une curiosité et d'une créativité. On ne peut pas apprendre à quelqu'un de devenir quelqu'un d'autre, on ne peut que lui présenter des outils, des méthodes.

Ici, ça n'est pas le chemin qui importe, c'est comment percevoir le chemin.





0x04. ACTEURS & ENJEUX



Cyberdéfense :
Les acteurs sont essentiellement des ingénieurs, en SSI (Sécurité des Systèmes d'Informations) ou en SSN (Sécurité des Systèmes Numériques). Ils auront pour but essentiellement les activités lié à la prévention et à la surveillance. Leurs outils favoris seront des SIEM, des sondes (snort, ...) et des outils de supervision (shinken, mrtg, ...). Ils auront pour but de s'assurer de la conformité des opérations sur les systèmes. Des plateformes de prévention système (HIPS) et réseau (NIPS) seront mis en place pour restreindre le périmètre de recherche des analystes et techniciens.
Leurs enjeux sont le maintient en condition operationnel des SI (système d'information) et des OIV (opérateur à intérêt vital).

Pentest :
N'étant pas pentester, les chercheurs en vulnérabilité passent du temps à "reverser" (effectuer de la rétro-ingénieurie) sur des applications, des pilotes et du hardware. Lors d'un pentest, le consultant puisera alors dans des bases de vulnérabilités dont les exploits sont au moins passé au stade de PoC (Proof of Concept) - qui est la démonstration directe que l'exploitabilité de leurs recherche.
Les outils de cyberdéfense peuvent faire suite à de nouveaux vecteurs d'attaque. En s'attaquant à un système, le pentester aura au moins pour objectifs : acquérir le maximum d'info et de droits, et sensibiliser ou former pour se protéger des futures attaques. La finalité de leur travail est d'empêcher toute forme de cybercriminalité et de cyberespionnage.

Hacker :
Du à leur nature, leur rôle n'est pas clair, ils représentent une population dont l'intention est totalement subjective. Parfois idéologique, parfois politique, parfois économique - directement assimilés aux "pirates" afin de légitimer la cyberdéfense et la sécurité numérique dans son ensemble, ils sont la source même de la sécurité informatique, ainsi que des plateformes de partage.




   =>   Écrit par : Nicolas, le 20 mars 2019


 
Mots clés :  
  general 
    >   Articles connexes :

Comment gagner du temps sur Internet



Geeks, nerds, hackers, pirates, ...



3461987