Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

De black hat à white hat : un ancien membre d'Anonymous se reconvertit
Et travaille désormais comme chercheur en sécurité

Le , par Stéphane le calme

0PARTAGES

10  2 
Rhino Security Labs (RSL), spécialisé dans la sécurité informatique, a annoncé sur son blog officiel l’intégration d’un nouveau venu au sein de l’équipe dirigeante de son département Assessment and Research en la personne d’Hector Monsegur. L’entreprise révèle qu’il a déjà été un contractuel pendant un an déjà : « au cours des derniers mois à Rhino Security Labs, Hector a mis l'accent sur les missions de sécurité les plus techniquement difficiles », assure RSL qui évoque entre autres un travail effectué sur des vulnérabilités zero day et des recherches qui vont déboucher sur des publications à la fin de l’année.

Pour ceux qui n’ont pas entendu parler de lui, il convient de préciser qu’il s’agit d’un personnage assez controversé sur la scène de la cybersécurité à cause du rôle qu’il a joué dans le démantèlement de LulzSec, l’une des factions les plus célèbres d’Anonymous, qu’il a fondée et dirigée.

En 2011, le FBI l’a arrêté sans faire de vagues. Il a alors servi d’informateur à l’agence pendant une dizaine de mois, l’aidant à épingler de nombreux membres de LulzSec ainsi que d’autres membres appartenant à Anonymous.

Suite à sa coopération, un juge l’a condamné à sept mois de prison, une peine considérée comme étant déjà purgée et il s’est donc retrouvé libre. Le juge lui avait cependant interdit l’accès à internet sur une période de deux ans. Il est devenu l’ennemi d’Anonymous : le collectif a décidé de lancer des campagnes de sabotage et de doxxing (révélation des informations personnelles d'un individu qui peuvent inclure des pseudonymes, photographies, vidéos de l’individu ou alors carrément son identité, son adresse, son numéro de sécurité sociale, son numéro de compte bancaire etc.).

Une fois sa peine purgée, Monsegur a décidé de se lancer comme chercheur indépendant dans l’industrie de la sécurité. Toutefois, à cause de son passé, il a été un paria pendant quelques années ; les entreprises évitaient de travailler avec lui étant donné qu’il avait piraté certaines d’entre elles tandis qu’il était encore membre de LulzSec.

Mais il ne s’est pas découragé pour autant et a choisi de participer à certains bug bounty, ce qui lui a permis de se faire un nouveau nom dans l’industrie comme chercheur de talent. Par la suite, il a eu RSL comme premier client puis il est devenu employé à plein temps.

Précisons qu’il ne s’agit pas là du premier membre de LulzSec à être passé de black hat à white hat. Un peu plus tôt cette année, Mustafa Al-Bassam, lui aussi ancien membre de LulzSec et co-fondateur du groupe qui répondait au pseudonyme tFlow, a commencé à travailler avec l’entreprise anglaise Secure Trading comme consultant. Il a eu un grand impact dans la communauté des chercheurs. Il avait déclaré que « tandis que je travaille avec Secure Trading, j’espère développer des outils qui vont sécuriser davantage les paiements en ligne ». Et de continuer en disant que « l'industrie des services de la finance a souvent été quelques années en retard sur la courbe des pratiques de sécurité. Secure Trading essaye d'être en avance avec la technologie blockchain ainsi que des services modernes, sûrs et adaptés aux besoins de ses clients ».

Al-Bassam a également été l’un des chercheurs qui ont aidé à déchiffrer les capacités réelles des outils de la NSA tels que BENIGNCERTAIN et il a également aidé à exposer les pratiques de cyber espionnage du GCHQ, l’homologue britannique de la NSA. Au moment de son arrestation en juillet 2011, il avait alors 16 ans et a été condamné à une peine de prison de 20 mois. Son nom n’a été divulgué que deux ans plus tard parce qu’il était mineur. Actuellement, il est au King's College London pour obtenir un diplôme en informatique en parallèle de son travail de consultant.

Source : Blog RSL, EconoTimes (déclaration de Mustafa Al-Bassam)

Voir aussi :

Angleterre : condamnation de quatre membres de LulzSec, le groupe de hackers à l'origine de l'attaque DDoS contre la CIA

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Se7h22
Membre averti https://www.developpez.com
Le 25/10/2016 à 0:45
Depuis quand être hacktiviste est-il considéré comme faisant parti des black hat ? Il faudrait revoir vos définitions 😮

Tout comme le fait qu'on puisse considérer certaines entreprises comme des white hat, surtout dans le domaine de la sécurité informatique, les entreprises privées sont plus souvent des black hat…
8  0 
Avatar de Zirak
Inactif https://www.developpez.com
Le 28/10/2016 à 11:01
Citation Envoyé par Grogro Voir le message
Et puis en France s'il y a bien un domaine dans lequel on peut s'insérer sans avoir le bon diplôme d'ingé qui va bien, c'est bien l'IT. On est pas mal de preuves vivantes sur ce forum. ^^
Oui mais pour moi c'est également un peu un problème (enfin surtout pour les non-ingé en IT).

Si il y avait un manque réel de développeurs, cela ne me gênerait pas, mais je ne suis pas sûr que cela soit vraiment le cas. Du coup, quand tu as fait une formation dans l'IT mais sans être Bac+5, et qu'au final, c'est le BAC + 5 en neuneulogie (qui a fait vite fait une formation de dev de 6 mois par correspondance car il n'a pas trouvé de place dans son domaine initial), qui a le job, car la SSII ou autre, peut le facturer plus cher au client, bah ça ruine un peu la vie professionnelle de tous les non-ingé de l'IT.

Mais bon, même si tu peux t'insérer sans avoir le bon diplôme d'ingé, tu as tout de même un diplôme d'ingé, donc oui, on se base bien sur tes diplômes quand même. Car tu auras tout de même un meilleur salaire qu'un BAC+3 qui lui vient de l'IT.
5  0 
Avatar de GPPro
Membre éprouvé https://www.developpez.com
Le 25/10/2016 à 8:26
Rien à voir avec un "white hat". Je ne sais pas si c'est juste du click bait ou de l'ignorance crasse...
4  0 
Avatar de ZenZiTone
Membre expert https://www.developpez.com
Le 25/10/2016 à 13:58
Citation Envoyé par Stéphane le calme Voir le message
Actuellement, il est au King's College London pour obtenir un diplôme en informatique en parallèle à son travail de consultant.
C'est intéressant de voir qu'un consultant en sécurité doit passer son diplôme en informatique pour avoir une reconnaissance dans le métier

Citation Envoyé par sazearte
Pour avoir une bonne place, on les pousse à pirater des serveurs (un acte criminel) puis on les récompenses on leur offrant un poste.
C'est une façon de voir les choses. L'autre étant : tu as beau faire parti d'un "groupe idéologique", un bon billet te fera toujours revenir dans le droit chemin...
4  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 25/10/2016 à 22:32
Citation Envoyé par Fleur en plastique Voir le message
+1. Que font les hacktivistes ? Ils prennent en otage des services, des utilisateurs. Ils font sauter des sites. C'est exactement la définition du terrorisme.
Dans ce cas tu peux considérer le patron qui fait du chantage à ses employés comme un terroriste... Je sais bien que le terme est flou mais on appel terroriste les gens qui tuent pour faire régner la peur.

Citation Envoyé par Fleur en plastique Voir le message
Tout à fait. En tant que crime terroriste la sentence devrait être la plus élevée autorisée par la loi. Le nombre de victimes peut être potentiellement beaucoup plus élevé que les attentats à l'ancienne.
Non mais sans déconner ? Tu compare une victime qui s'est fait ouvrir la carotide avec un mec qui n'a plus d'accès facebook ?

Citation Envoyé par Fleur en plastique Voir le message
C'est un cas particulier. Leur travail de surveillance est couvert par la loi et ils le font dans le but d'assurer que l'ordre et l'équilibre mondial préétabli ne soit pas perturbé afin que la paix et l'harmonie soit préservée. Sans la NSA le monde serait probablement devenu un chaos.
Ouai. Enfin les secrets gardés par ce service étaient entre-autres, les meurtres d'enfants irakiens, les fausses preuves d'agents chimiques pour déclencher la guerre à l'Irak et caetera. Et dans les pays où ils n'interviennent pas c'est pas forcément le chaos... Au hasard... la Finlande ?

Citation Envoyé par Fleur en plastique Voir le message
Robin des bois est un voleur, et ceux qui récupéraient le produit de ces vols des receleurs. C'est du grand banditisme tout simplement, même si des auteurs ont cherché à enjoliver l'histoire pour faire craquer les coeurs des faibles.
Le vol n'est pas du grand banditisme... En fait je pense que c'est toi le faible. Tu n'as pas assez souffert dans ta vie pour comprendre ce qui doit être sévèrement puni et ce qui n'est que de la délinquance sans grandes conséquences.

Pour en revenir au sujet, la sécurité informatique appartient aux blackhats. Sans eux aucune boite de sécurité ne peut prétendre sécuriser qui que ce soit car il n'y a pas d'écoles pour ça. Ça évolue au fur et à mesure que les technologies arrivent et que les inconscients les utilisent sans les comprendre. Alors pour les honnêtes gens comme toi, un blackhat gracié pour bosser à ton service ça devrait être considéré comme une excellente nouvelle.
4  0 
Avatar de Zirak
Inactif https://www.developpez.com
Le 26/10/2016 à 14:11
Citation Envoyé par Chuck_Norris Voir le message
Ah oui c'est vrai que tout le monde le dit : il n'y a qu'en France qu'on oblige à avoir des diplômes et que l'expérience est considérée limite comme secondaire pour avoir un emploi. Dans les pays anglo saxons l'expérience se suffit à elle-même. Oh, wait : King's College London, ah ça donne pas très french tout ça.
Lui passe un diplôme en parallèle de son boulot, donc il a bien été embauché sans diplôme, juste sur le base de son "hacktivisme" (son expérience donc).

C'était bien tenté, mais ce n'était pas le bon exemple. ^^
3  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 30/10/2016 à 16:30
valable dans tout les domaines. on considère qu'un diplome d'ingé signifie que le gus est une bête. hors des quiches qui sortent d’école j'en ai vu beaucoup
3  0 
Avatar de TallyHo
Membre éprouvé https://www.developpez.com
Le 24/10/2016 à 23:41
Je ne pense pas que ce soit encouragé. Les "mauvais garçons" qui passent du bon côté ont toujours existé et même avant l'informatique. Exemple connu : Vidocq, ancien bagnard et père de la police judiciaire selon le wiki... Quand on vous dit que la loi est faite pour les voleurs
2  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 25/10/2016 à 13:13
Citation Envoyé par Se7h22 Voir le message
Depuis quand être hacktiviste est-il considéré comme faisant parti des black hat ? Il faudrait revoir vos définitions 😮

Tout comme le fait qu'on puisse considérer certaines entreprises comme des white hat, surtout dans le domaine de la sécurité informatique, les entreprises privées sont plus souvent des black hat…
simple si c'est pas légal, c'est du black hat ! sinon on peut considérer que ceux qui envoient des virus ou des attaque DDOS (comme celle de la semaine dernière) sur des serveur le font pas hacktivisme. c'est la porte a tout.

c'est le syndrome de robin des bois.

on peut être pour ou contre, c'est pas la question. et peu importe qu'on soit d'accord ou on, il faut reconnaître en toute honnêteté que parfois il n'y a que les méthode de brigand qui permette de révéler la face cachée de certaine choses.
2  1 
Avatar de Se7h22
Membre averti https://www.developpez.com
Le 25/10/2016 à 23:27
Citation Envoyé par SkyZoThreaD Voir le message
[…]
Pour en revenir au sujet, la sécurité informatique appartient aux blackhats. Sans eux aucune boite de sécurité ne peut prétendre sécuriser qui que ce soit car il n'y a pas d'écoles pour ça. Ça évolue au fur et à mesure que les technologies arrivent et que les inconscients les utilisent sans les comprendre. Alors pour les honnêtes gens comme toi, un blackhat gracié pour bosser à ton service ça devrait être considéré comme une excellente nouvelle.
Désolé, mais c'est faux. Car dans le milieu de la sécurité informatique les black hats gardent leurs exploits pour eux, contrairement aux white hats qui partagent leurs découvertent pour corriger les failles de sécurité.

Édite : Pour faire simple :

Black hat : Hacker qui utilise ses compétences à des fins personnels et égoïste.

White hat : Hacker qui utilise ses compétences à des fins éthiques et pour le bien commun.

Et cela peut autant être un individu, une entreprise, ou d'autres formes de regroupements.
1  0