Pourquoi les hackers éthiques sont-ils très mal perçus par les firmes ?

**Cedric Chevalier** · 11/04/2014, 10h53

Pourquoi les hackers éthiques sont-ils très mal perçus par les entreprises ?
l’un d'eux fait les frais du FBI

Le 16 mars dernier, le FBI rendait une petite visite de courtoisie à un certain Helkowski. Agents spéciaux, matériels ultras Tech, tout est en place pour ce qui s’annonce comme un raid mémorable. Le FBI précèdera Helkowski à sa maison, lui qui était sorti avec sa dame.

De retour, Helkowski remarque la présence des voitures du FBI devant sa porte avec des agents postés là. Comme toute personne normale, il se demande en son for intérieur « est-ce que quelque chose de grave s’est produit ? » puis il se rapproche de son domicile. Une chose que s’il y avait à refaire, il aurait surement pensée par deux fois.

Il a été intercepté rapidement par un agent du FBI. Et avant de comprendre ce qui se passait réellement, lui et sa dame sont invités à descendre du véhicule. Ils sont ensuite conduits à l’intérieur sous escorte des agents. La femme fut emmenée dans une pièce où elle reçut comme consigne de faire taire le chien, et son mari dans une autre ou il devait subir l’interrogatoire de l’agent spécial Jeremy Bucalo. Qu’a donc fait réellement Helkowski pour que le FBI intervienne ?

L’histoire remonte au 27 février. Helkowski travaille alors pour Canton Group une petite firme de création de site web. Lors d’une descente relative à l’emploi chez un de leurs clients (Université du Maryland), il repère une faille de sécurité critique dans le réseau de l’université du Maryland, qui donnait la possibilité à un hacker distant de rentrer en possession d’informations personnelles des utilisateurs du réseau. Il a fait un rapport en bonne et due forme au département concerné de l’institution universitaire.

Cependant, rien n’a été fait, même si à Maryland on annonçait aux nouvelles que des correctifs avaient été apportés. Pour se faire entendre et attirer l’attention, Helkowski a pénétré le réseau de l’université et récupéré les informations personnelles d’utilisateurs, parmi lesquels ceux du département IT. Il les a ensuite contactés de façon anonyme, pour leur demander d’apporter des solutions au problème.

L’université a alors contacté le FBI, qui a pu remonter jusqu'à Helkowski après investigations. Le hacker clame que ses intentions n’étaient pas malhonnêtes. Il ne s’est pas servi de ces données à des fins personnelles, il voulait juste attirer l’attention.

Non seulement il s’est fait viré de son boulot, sa femme a reçu un traumatisme important, mais l’histoire ne s’arrête pas là. Helkowski ne sait pas si des charges seront retenues contre lui pour des poursuites judiciaires, même si pour l’instant rien n’a été fait.

Morale de l’histoire : lorsqu’on est un hacker éthique, il faut surtout éviter d’exploiter les failles de sécurité d’un système pour attirer l’attention, sous peine de finir comme Helkowski ou encore le chercheur Pakistanais Khalil Shreateh, qui a piraté le compte de Mark Zuckerberg pour attirer lui aussi l’attention.

Source: Rapport PDF de l'agent spécial du FBI

Et vous ?

Quel est le meilleur moyen pour un hacker éthique d'attirer l'attention sans heurt ?

**el_slapper** · 11/04/2014, 11h35

Celui qui dit la vérité, celui-là doit être fusillé. Rien de nouveau sous le soleil.

**gangsoleil** · 11/04/2014, 11h49

Il y a toujours 2 manieres de reagir, la bonne vieille methode ou on tape sur le messager, et la methode intelligente qui consiste a admettre le probleme (et aussi chercher a le resoudre).

Taper sur le messager, c'est tout de meme plus simple non ?

**Thomas404** · 11/04/2014, 18h38

Comme quoi, aider les gens, ca paye .

**alves1993** · 11/04/2014, 19h00

rien a dire tout juste admirer la bêtise humaine............ il voulait tout juste les aider ces

**Orgoff** · 11/04/2014, 20h30

Envoyé par Cedric Chevalier

[B][SIZE="4"]Quel est le meilleur moyen pour un hacker éthique d'attirer l'attention sans heurt ?

Je vais me faire l'avocat du diable, mais il y a une différence entre signaler une faille et exploiter une faille pour la signaler. Cette histoire comme celle du compte de Zuckerberg hacké montre l'égo de ces deux hackers dont leur aide n'a pas été reconnu. On peut signaler une faille et si cela n'est pas traité tant pis pour le site, mais on dépasse les limites quand on l'exploite même si le but initial était louable.

**LSMetag** · 11/04/2014, 21h05

Le hacker a été puni pour sa conscience professionnelle.

Mais ce traitement n'est pas réservé qu'aux hackers. Quand on est trop critique/consciencieux sur les applis de l'entreprise (même si à juste titre), on se fait dégager, sans que les critiques n'aient été prises en compte (sauf quand le drame arrive). C'est un peu du vécu.

Si tu exploites la faille pour faire réagir les gogos (je les appelle comme ça), ça fait une mauvaise pub à l'entreprise, et tu représentes aussi une "menace" potentielle (sous-entendu : menace pour l'intégrité financière de l'entreprise).

Genre : tu pirates un distributeur de billet sans conserver aucune données sensibles, tu représenteras une "menace" car capable de le faire, et tu feras une mauvaise pub à la banque concernée, qui préfèrera te museler plutôt que de payer pour un correctif.

C'est malheureusement courant. C'est pour ça que je suis très sélectif sur les endroits où je bosse.

**TiranusKBX** · 11/04/2014, 21h22

c'est toujours comme ça car les décideurs sont des cons imbus d'eux même
qui pensent tout savoir mieux que le reste du monde et quand ils sont en Default
il ne font que massacrer les autres(oui j'inclus les dictateurs !)

**xormind** · 11/04/2014, 21h23

je vous signale que Khalil Shreateh est un Palestinien

**eclesia** · 12/04/2014, 00h16

Envoyé par xormind

je vous signale que Khalil Shreateh est un Palestinien

Encore un lobby religieux pro-israelien derriere cette histoire ? si c'est le cas c'est vraiment la décadence intellectuelle aux usa.

**kain_tn** · 12/04/2014, 03h47

Envoyé par eclesia

Encore un lobby religieux pro-israelien derriere cette histoire ? si c'est le cas c'est vraiment la décadence intellectuelle aux usa.

Euh, je crois que ce que xormind a voulu dire c'est qu'il y a une erreur dans l'article; il y est écrit que Khalil Shreateh est Pakistanais:

Envoyé par Cedric Chevalier

... Morale de l’histoire : lorsqu’on est un hacker éthique, il faut surtout éviter d’exploiter les failles de sécurité d’un système pour attirer l’attention, sous peine de finir comme Helkowski ou encore le chercheur Pakistanais Khalil Shreateh, qui a ...

**Squisqui** · 12/04/2014, 10h09

Plus qu'à vendre la faille à des crackers pour payer ses factures maintenant.
Comme d'habitude : pourquoi payer pour renforcer la sécurité d'un système tant qu'il n'est pas attaqué ?

**thierry.pericard** · 12/04/2014, 10h11

Bonjour,

Le véritable problème est que les entreprises ou les organismes chez lesquels des failles ont été repérées, sont eux mêmes très, voire trop, orgueilleux pour admettre la faille !!!
Pour la petite histoire, il y a 15 ans j'ai été victime de piratage de ma CB après un 1er achat en ligne sur un site français. Je l'ai signalé au site (avec tous les détails) ... qui n'a jamais rien voulu savoir, et m'a même répliqué que son site était ultra sûr ... quelques mois après, il fermait, trop de clients avaient été piratés !!!

Alors que faire ? Fermer les yeux et passer à autre chose ?
Alors oui, il peut être tentant de faire ce qu'à fait cet hacker éthique. En l'occurrence il a passé la ligne jaune, mais pour le bien de tous. Faut il le condamner ? Surement pas, ou alors juste une petite tape sur la joue

Personnellement je ne pense pas qu'il faille qu'un hacker éthique se mette en péril pour des (censurés) qui ne comprennent rien. S'il travaille pour une société, il doit s'en remettre à son attitude officielle et ne rien faire d'autre. S'il est indépendant, alors là il peut "agir" mais plutôt en contactant les autorités (mairie, justice, etc ...) suivant l'importance de la faille.

Mis à part les situations extraordinaires, style menace sur la sécurité d'une centrale nucléaire par exemple, je ne pense pas qu'un hacker éthique doit se servir de données personnelles pour aboutir à ses fins. Même si en l'occurrence il a été honnête dans ses motivations.

**Escapetiger** · 12/04/2014, 11h17

Envoyé par LSMetag

Le hacker a été puni pour sa conscience professionnelle.

... ça fait une mauvaise pub à l'entreprise, et tu représentes aussi une "menace" potentielle (sous-entendu : menace pour l'intégrité financière de l'entreprise). ...

Genre : tu pirates un distributeur de billet sans conserver aucune données sensibles, tu représenteras une "menace" car capable de le faire, et tu feras une mauvaise pub à la banque concernée, qui préfèrera te museler plutôt que de payer pour un correctif.

Voir l'exemple de Serge Humpich: (http://fr.wikipedia.org/wiki/Serge_Humpich)

"En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

Épaulé d'un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire.

Ensuite, il fonde une entreprise aux États-Unis et quelques années plus tard, revient en France où il travaille pour la société Bearstech1."

**LSMetag** · 12/04/2014, 13h39

Envoyé par Squisqui

Plus qu'à vendre la faille à des crackers pour payer ses factures maintenant.
Comme d'habitude : pourquoi payer pour renforcer la sécurité d'un système tant qu'il n'est pas attaqué ?

C'est exactement ça : profit à court terme. Comme raisons connues, on a les primes à chaque mois et le versement des dividendes aux actionnaires.

Mais si les décideurs écoutaient un peu leurs développeurs, on aurait par exemple pu éviter le bug de l'an 2000...

**Pierre Louis Chevalier** · 12/04/2014, 14h47

La bêtise humaine dans toute sa splendeur. Exemple : si jamais un jour un astronome fait une alerte au sujet d'un Astéroide géant qui se prépare à heurter la terre, la solution : Détruire tous les télescopes. Version Pol Pot / Khmer Rouge : exécuter tous les astronomes, et le problème sera résolu.

**Sodium** · 12/04/2014, 16h40

Ce qui est délicat, c'est qu'un tribunal est obligé de faire appliquer la loi en faisant fi de sa conviction quant à qui a raison ou tort. Un acte illégal, même commis dans le but d'alerter, reste un acte illégal.

**camus3** · 13/04/2014, 05h04

Ne jamais révéler un exploit si l'entreprise compromise n'a pas une politique précise et écrite concernant la découverte d'exploits par une tierce personne.

Tout simplement parce que l'entreprise peut se retourner contre le "hacker éthique" pour piratage.

**phili_b** · 13/04/2014, 10h40

Il faut faire attention à la susceptibilité mal placée de l'entreprise mais aussi au sentiment d'intrusion.

Moi si je vois un soir un inconnu assis dans mon canapé qui m'explique qu'il a voulu me prévenir que ma porte d'entrée était ouverte ça me générait quand même.

C'est pour cela que les gens devraient plus utiliser les voies officielles de toute sorte, quitte à insister.

Mais tout cela n'excuse pas le FBI d'avoir débarqué comme des cow-boys.