Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pourquoi les hackers éthiques sont-ils mal perçus par les entreprises ?
L'un d'eux fait les frais du FBI

Le , par Cedric Chevalier

0PARTAGES

9  1 
Le 16 mars dernier, le FBI rendait une petite visite de courtoisie à un certain Helkowski. Agents spéciaux, matériels ultras Tech, tout est en place pour ce qui s’annonce comme un raid mémorable. Le FBI précèdera Helkowski à sa maison, lui qui était sorti avec sa dame.

De retour, Helkowski remarque la présence des voitures du FBI devant sa porte avec des agents postés là. Comme toute personne normale, il se demande en son for intérieur « est-ce que quelque chose de grave s’est produit ? » puis il se rapproche de son domicile. Une chose que s’il y avait à refaire, il aurait surement pensée par deux fois.

Il a été intercepté rapidement par un agent du FBI. Et avant de comprendre ce qui se passait réellement, lui et sa dame sont invités à descendre du véhicule. Ils sont ensuite conduits à l’intérieur sous escorte des agents. La femme fut emmenée dans une pièce où elle reçut comme consigne de faire taire le chien, et son mari dans une autre ou il devait subir l’interrogatoire de l’agent spécial Jeremy Bucalo. Qu’a donc fait réellement Helkowski pour que le FBI intervienne ?

L’histoire remonte au 27 février. Helkowski travaille alors pour Canton Group une petite firme de création de site web. Lors d’une descente relative à l’emploi chez un de leurs clients (Université du Maryland), il repère une faille de sécurité critique dans le réseau de l’université du Maryland, qui donnait la possibilité à un hacker distant de rentrer en possession d’informations personnelles des utilisateurs du réseau. Il a fait un rapport en bonne et due forme au département concerné de l’institution universitaire.

Cependant, rien n’a été fait, même si à Maryland on annonçait aux nouvelles que des correctifs avaient été apportés. Pour se faire entendre et attirer l’attention, Helkowski a pénétré le réseau de l’université et récupéré les informations personnelles d’utilisateurs, parmi lesquels ceux du département IT. Il les a ensuite contactés de façon anonyme, pour leur demander d’apporter des solutions au problème.

L’université a alors contacté le FBI, qui a pu remonter jusqu'à Helkowski après investigations. Le hacker clame que ses intentions n’étaient pas malhonnêtes. Il ne s’est pas servi de ces données à des fins personnelles, il voulait juste attirer l’attention.

Non seulement il s’est fait viré de son boulot, sa femme a reçu un traumatisme important, mais l’histoire ne s’arrête pas là. Helkowski ne sait pas si des charges seront retenues contre lui pour des poursuites judiciaires, même si pour l’instant rien n’a été fait.

Morale de l’histoire : lorsqu’on est un hacker éthique, il faut surtout éviter d’exploiter les failles de sécurité d’un système pour attirer l’attention, sous peine de finir comme Helkowski ou encore le chercheur Pakistanais Khalil Shreateh, qui a piraté le compte de Mark Zuckerberg pour attirer lui aussi l’attention.

Source: Rapport PDF de l'agent spécial du FBI

Et vous ?

Quel est le meilleur moyen pour un hacker éthique d'attirer l'attention sans heurt ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Escapetiger
Expert éminent https://www.developpez.com
Le 12/04/2014 à 11:17
Citation Envoyé par LSMetag Voir le message
Le hacker a été puni pour sa conscience professionnelle.

... ça fait une mauvaise pub à l'entreprise, et tu représentes aussi une "menace" potentielle (sous-entendu : menace pour l'intégrité financière de l'entreprise). ...

Genre : tu pirates un distributeur de billet sans conserver aucune données sensibles, tu représenteras une "menace" car capable de le faire, et tu feras une mauvaise pub à la banque concernée, qui préfèrera te museler plutôt que de payer pour un correctif.
Voir l'exemple de Serge Humpich: (http://fr.wikipedia.org/wiki/Serge_Humpich)

"En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

Épaulé d'un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire.

Ensuite, il fonde une entreprise aux États-Unis et quelques années plus tard, revient en France où il travaille pour la société Bearstech1."
15  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 11/04/2014 à 11:49
Il y a toujours 2 manieres de reagir, la bonne vieille methode ou on tape sur le messager, et la methode intelligente qui consiste a admettre le probleme (et aussi chercher a le resoudre).

Taper sur le messager, c'est tout de meme plus simple non ?
15  1 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 12/04/2014 à 14:47
La bêtise humaine dans toute sa splendeur. Exemple : si jamais un jour un astronome fait une alerte au sujet d'un Astéroide géant qui se prépare à heurter la terre, la solution : Détruire tous les télescopes. Version Pol Pot / Khmer Rouge : exécuter tous les astronomes, et le problème sera résolu.
14  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 11/04/2014 à 11:35
Celui qui dit la vérité, celui-là doit être fusillé. Rien de nouveau sous le soleil.
13  1 
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 11/04/2014 à 21:05
Le hacker a été puni pour sa conscience professionnelle.

Mais ce traitement n'est pas réservé qu'aux hackers. Quand on est trop critique/consciencieux sur les applis de l'entreprise (même si à juste titre), on se fait dégager, sans que les critiques n'aient été prises en compte (sauf quand le drame arrive). C'est un peu du vécu.

Si tu exploites la faille pour faire réagir les gogos (je les appelle comme ça), ça fait une mauvaise pub à l'entreprise, et tu représentes aussi une "menace" potentielle (sous-entendu : menace pour l'intégrité financière de l'entreprise).

Genre : tu pirates un distributeur de billet sans conserver aucune données sensibles, tu représenteras une "menace" car capable de le faire, et tu feras une mauvaise pub à la banque concernée, qui préfèrera te museler plutôt que de payer pour un correctif.

C'est malheureusement courant. C'est pour ça que je suis très sélectif sur les endroits où je bosse.
13  1 
Avatar de Sodium
Membre extrêmement actif https://www.developpez.com
Le 12/04/2014 à 16:40
Ce qui est délicat, c'est qu'un tribunal est obligé de faire appliquer la loi en faisant fi de sa conviction quant à qui a raison ou tort. Un acte illégal, même commis dans le but d'alerter, reste un acte illégal.
13  2 
Avatar de thierry.pericard
Membre du Club https://www.developpez.com
Le 12/04/2014 à 10:11
Bonjour,

Le véritable problème est que les entreprises ou les organismes chez lesquels des failles ont été repérées, sont eux mêmes très, voire trop, orgueilleux pour admettre la faille !!!
Pour la petite histoire, il y a 15 ans j'ai été victime de piratage de ma CB après un 1er achat en ligne sur un site français. Je l'ai signalé au site (avec tous les détails) ... qui n'a jamais rien voulu savoir, et m'a même répliqué que son site était ultra sûr ... quelques mois après, il fermait, trop de clients avaient été piratés !!!

Alors que faire ? Fermer les yeux et passer à autre chose ?
Alors oui, il peut être tentant de faire ce qu'à fait cet hacker éthique. En l'occurrence il a passé la ligne jaune, mais pour le bien de tous. Faut il le condamner ? Surement pas, ou alors juste une petite tape sur la joue

Personnellement je ne pense pas qu'il faille qu'un hacker éthique se mette en péril pour des (censurés) qui ne comprennent rien. S'il travaille pour une société, il doit s'en remettre à son attitude officielle et ne rien faire d'autre. S'il est indépendant, alors là il peut "agir" mais plutôt en contactant les autorités (mairie, justice, etc ...) suivant l'importance de la faille.

Mis à part les situations extraordinaires, style menace sur la sécurité d'une centrale nucléaire par exemple, je ne pense pas qu'un hacker éthique doit se servir de données personnelles pour aboutir à ses fins. Même si en l'occurrence il a été honnête dans ses motivations.
9  0 
Avatar de phili_b
Expert éminent https://www.developpez.com
Le 13/04/2014 à 10:40
Il faut faire attention à la susceptibilité mal placée de l'entreprise mais aussi au sentiment d'intrusion.

Moi si je vois un soir un inconnu assis dans mon canapé qui m'explique qu'il a voulu me prévenir que ma porte d'entrée était ouverte ça me générait quand même.

C'est pour cela que les gens devraient plus utiliser les voies officielles de toute sorte, quitte à insister.

Mais tout cela n'excuse pas le FBI d'avoir débarqué comme des cow-boys.
7  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 14/04/2014 à 13:56
Bonjour,

Citation Envoyé par Saverok Voir le message
L'exemple de quelqu'un qui entre chez vous pour vous alerter que votre porte est ouverte en est tout à propos.
Pour moi, l'exemple serait plutot le suivant :
Une personne (hacker) passe devant chez toi, et voit que la porte est ouverte. Il sonne, entre en criant "Il y a quelqu'un ? Votre porte est ouverte, c'est dangeureux", mais tu n'es pas la. Et au lieu de partir, il te previent (mail, telephone, lettre, ... peu importe) que ta porte est ouverte, et que tu ferais mieux de la fermer.

Effectivement, tu peux te retourner contre lui. Ou bien lui dire merci.

Si quelqu'un te rend ton portefeuille, tu dis merci ou bien tu vas porter plainte ? Apres tout, il etait bien en possession de TON portefeuille, sans ta permission, donc c'est du vol non ?
8  1 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 11/04/2014 à 21:22
c'est toujours comme ça car les décideurs sont des cons imbus d'eux même
qui pensent tout savoir mieux que le reste du monde et quand ils sont en Default
il ne font que massacrer les autres(oui j'inclus les dictateurs !)
8  2