Au début, il s’agit d’un jeu d’enfants. Le voleur et le policier. Le policier surveille une banque et le voleur tente de la cambrioler. Ni voyez pas le mal, les enfants ne font que s’amuser. Remplacez le butin par une information et vous êtes dans le domaine informatique. Ce jeu nous permet de nous améliorer, de progresser. Après quelques cycles les méthodes mises en place par les voleurs et les policiers sont tellement sophistiquées qu’il n’est plus à la portée de tout le monde. Enfin presque.
Les gens qui jouent à ce jeu sont appelés, de façon générique, ‘hackers’. Le terme ‘hack’ peut se traduire en anglais par ‘démonter’. Le principe est simple, il s’agit de démonter un objet pour en comprendre son fonctionnement et ses caractéristiques. Un hacker cherchera donc à exploiter les faiblesses d’un objet ou au contraire à l’améliorer. Dans le monde réel, le hacker cherchera les faiblesses dans la protection de la banque. S’il travaille pour les voleurs, il leur expliquera comment contourner les systèmes de sécurité. S’il travaille pour la Police, il cherchera à pallier les failles.
Le hacker ne penche pas d’un côté ou de l’autre de la Loi. Son seul objectif est de comprendre un système et de s’amuser à le modifier. Sa connaissance du domaine informatique fait qu’il représente un allié de poids pour le donneur d’ordre. De manière schématique, on peut voir le monde réel en trois zones :
- La zone blanche. Le monde tel qu’on le connaît avec ses règles, ses loi qui nous permet de maintenir une société où chacun respecte l’autre. ‘La liberté des uns s’arrête là où commence celle des autres’. Les lois et coutumes permettent de trouver un équilibre.
- La zone noire. Il s’agit des lieux où les interdits de la zone blanche sont réalisés.
- La zone grise. Il s’agit du lieux où les résidents de la zone blanche rencontrent ceux de la zone noire se rencontrent pour faire des affaires. Les ‘blancs’ viennent s’encanailler avec l’aide des noirs pour décompresser de leur vie trop rangée.
Si ces trois zones ne vous parlent pas, prenez l’exemple du trafic de drogue ou de la prostitution, et suivant votre situation, vous saurez exactement dans quelle zone vous vous trouvez. Ces zones se sont propagées dans le domaine informatique. Si vous lisez cet article vous savez que nous sommes dans la zone blanche.
Suivant leur activité, les vrais hackers se situent dans l’une de ces trois zones. ((Je reviendrai sur la notion de hacker tout à l’heure car contrairement à ce que j’ai dit en introduction, toute personne qui manipule un système d’information n’est pas un hacker.)) On les distingue par couleur de chapeau (‘hat’ en anglais).
Les ‘white hats’, ou chapeaux blancs, sont des professionnels de la sécurité. Ce sont les policiers. Ils cherchent à défendre les services pour que des gens malintentionnés n’exploitent à notre insu nos données.
Les ‘black hats’, chapeaux noirs, ce sont les voleurs. Ils travaillent pour les mafias et autres organisations parallèles volontairement. Leurs activités, … ils :
- montent des services illégaux utilisés dans la zone noire,
- attaquent des sites pour récupérer et vendre des données personnelles,
- verrouillent des ordinateurs d’entreprises, de particulier ou d’administration avant de réclamer des rançons,
- …
Les ‘grey hats’, ou chapeaux gris, correspondent à la forme primaire des hackers. Ils démontent des systèmes légaux pour le plaisir du défi ou pour des raisons idéologiques. Un de leur but commun reste le partage de la connaissance au monde entier. Les actions de Aaron Swartz, d’Edward Snowden ou de Julian Assange peuvent se placer dans cette catégorie. Dans la moindre mesure, les étudiants en informatique un peu doués et qui aiment ce domaine peuvent aussi être considérés comme ‘grey hats’.
Je parlais tout à l’heure de vrais hackers pour qualifier les chapeaux parce que tous ceux qui se déclarent hacker ne le sont pas. Le vrai hacker, je viens de le décrire, mais il ne sont pas aussi nombreux que ce qu’on pense. S’il y avait une échelle de compétence, en dessous on trouve ce qu’on appelle les lamers. Ils n’ont pas la facilité des hackers à démonter les systèmes, mais ils connaissent les mécanismes et les outils pour jouer sur les systèmes d’informations. Ils restent dépendants des découvertes des hackers.
Si on descend dans la hiérarchie, on trouve encore les scripts kiddies. Contrairement aux lamers, ils ne connaissent pas les mécanismes qu’ils manipulent. Ils se contentent d’exécuter des programmes créés par de vrais hackers et se prennent pour Néo lorsqu’ils arrivent à prendre le contrôle d’un site mal protégé ou de l’ordinateur d’un de leur pote. En étant généreux, on peut considérer Kikidu06 dans cette catégorie.
Enfin, il existe une dernière catégorie que je considère comme le degré 0 du hacking, c’est le Wannabe. Il s’agit plus de mythomanie que de compétences informatiques. Parce qu’il a fauché le mot de passe de sa copine ou de sa mère, le type se considère comme un dangereux pirate informatique.
On pourrait décliner les hackers sous d’autres axes mais est-ce vraiment intéressant pour le moment ? Les jeux d’enfants trouvent des conséquences sérieuses lorsque les acteurs sont devenus adultes. Il en est de même dans le domaine informatique. La prochaine fois que vous verrez des ‘hackers’ au cinéma, vous saurez que la réalité est plus nuancée.