Plus tôt cette année, lorsque le cyber-gang international Lapsus$ a attaqué de grandes marques technologiques, notamment Samsung, Microsoft, Nvidia et gestionnaire de mots de passe Okta, une ligne éthique semble avoir été franchie pour de nombreux cybercriminels.
Même selon leurs normes obscures, l’ampleur de la violation, les perturbations provoquées et le profil des entreprises impliquées étaient tout simplement trop importants. Ainsi, la communauté de la cybercriminalité s'est réunie pour punir Lapsus$ en divulguant des informations sur le groupe, une démarche qui a finalement conduit à leur arrestation et à leur arrestation. rupture.
Alors peut-être qu’il y a de l’honneur parmi les voleurs après tout ? Maintenant, ne vous méprenez pas ; ce n’est pas une tape dans le dos pour les cybercriminels, mais cela indique qu’au moins certains codes professionnels sont respectés.
Ce qui soulève une question pour la communauté plus large des pirates informatiques respectueux de la loi : devrions-nous avoir notre propre code de conduite éthique ? Et si oui, à quoi cela pourrait-il ressembler ?
Qu'est-ce que le piratage éthique ?
Définissons d’abord le piratage éthique. Il s'agit du processus d'évaluation d'un système informatique, d'un réseau, d'une infrastructure ou d'une application avec de bonnes intentions, afin de détecter les vulnérabilités et les failles de sécurité que les développeurs auraient pu ignorer. Essentiellement, il s’agit de trouver les points faibles avant les méchants et d’alerter l’organisation, afin d’éviter toute perte importante de réputation ou financière.
Le piratage éthique nécessite, au strict minimum, la connaissance et l'autorisation de l'entreprise ou de l'organisation qui fait l'objet de votre tentative d'infiltration.
Voici cinq autres principes directeurs pour qu’une activité soit considérée comme du piratage éthique.
Pirater pour sécuriser
Un hacker éthique et blanc venant évaluer la sécurité de toute entreprise recherchera des vulnérabilités, non seulement dans le système mais également dans les processus de reporting et de traitement de l'information. L’objectif de ces pirates est de découvrir les vulnérabilités, de fournir des informations détaillées et de formuler des recommandations pour créer un environnement sécurisé. En fin de compte, ils cherchent à rendre l’organisation plus sécurisée.
Piratez de manière responsable
Les pirates doivent s’assurer qu’ils disposent d’une autorisation, décrivant clairement l’étendue de l’accès accordé par l’entreprise, ainsi que l’étendue du travail qu’ils effectuent. C'est très important. Des connaissances ciblées et une portée claire aident à prévenir toute compromission accidentelle et à établir des lignes de communication solides si le pirate informatique découvre quelque chose d'alarmant. La responsabilité, la communication rapide et l’ouverture sont des principes éthiques essentiels à respecter et qui distinguent clairement un pirate informatique d’un cybercriminel et du reste de l’équipe de sécurité.
Tout documenter
Tous les bons hackers conservent des notes détaillées de tout ce qu’ils font lors d’une évaluation et enregistrent toutes les sorties des commandes et des outils. Il s’agit avant tout de se protéger. Par exemple, si un problème survient lors d’un test d’intrusion, l’employeur se tournera d’abord vers le pirate informatique. Disposer d'un journal horodaté des activités effectuées, qu'il s'agisse d'exploitation d'un système ou de recherche de logiciels malveillants, rassure les organisations en leur rappelant que les pirates informatiques travaillent avec elles et non contre elles.
Les bonnes notes soutiennent le côté éthique et juridique des choses ; ils constituent également la base du rapport que les pirates informatiques produiront, même en l’absence de conclusions majeures. Les notes leur permettront de mettre en évidence les problèmes qu'ils ont identifiés, les étapes nécessaires pour reproduire les problèmes et des suggestions détaillées sur la façon de les résoudre.
Gardez les communications actives
Les communications ouvertes et opportunes doivent être clairement définies dans le contrat. Rester en communication tout au long d’une évaluation est essentiel. Une bonne pratique consiste à toujours avertir lorsque les évaluations sont en cours ; un e-mail quotidien avec les temps d'exécution de l'évaluation est essentiel.
Même si le pirate informatique n’a peut-être pas besoin de signaler immédiatement toutes les vulnérabilités qu’il découvre à son contact client, il doit néanmoins signaler toute faille critique et remarquable lors d’un test d’intrusion externe. Il peut s'agir d'un RCE ou SQLi non authentifié exploitable, d'une exécution de code malveillant ou d'une vulnérabilité de divulgation de données sensibles. Lorsqu'ils les rencontrent, les pirates informatiques arrêtent les tests, émettent une notification écrite de vulnérabilité par courrier électronique et effectuent un suivi par un appel téléphonique. Cela donne aux équipes commerciales la possibilité de faire une pause et de résoudre le problème immédiatement si elles le souhaitent. Il est irresponsable de laisser une faille d’une telle ampleur ne pas être signalée jusqu’à ce que le rapport soit publié des semaines plus tard.
Les pirates informatiques doivent tenir leurs principaux points de contact au courant de leurs progrès et de tout problème majeur qu’ils découvrent au fur et à mesure de leur progression. Cela garantit que tout le monde est au courant de tout problème avant le rapport final.
Avoir un état d'esprit de hacker
Le terme piratage était utilisé avant même que la sécurité de l’information ne prenne de l’importance. Cela signifie simplement utiliser les choses de manière involontaire. Pour cela, les hackers cherchent d’abord à comprendre tous les cas d’usage envisagés d’un système et à prendre en considération tous ses composants.
Les hackers doivent continuer à développer cet état d’esprit et ne jamais cesser d’apprendre. Cela leur permet de penser à la fois d’un point de vue défensif et offensif et est utile lorsque l’on examine quelque chose que vous n’avez jamais vécu auparavant. En créant les meilleures pratiques, en comprenant la cible et en créant des chemins d'attaque, un pirate informatique peut obtenir des résultats étonnants.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
