La couleur du chapeau, un point de vue
Divulgâchage : Lorsqu’on s’intéresse à la sécurité informatique, on est rapidement confronté à la couleur du chapeau. Blanc et noir sensés indiquer, parmi les hackers, qui sont les bons et qui sont les mauvais. C’est en réalité bien plus complexe que ça en a l’air et aussi bien moins sérieux qu’on le prétend. Chaque groupe, qu’importe la couleur de son chapeau, se considère donc comme étant les bons, les autres étant les mauvais.
Pour un néophyte, les hackers se ressemblent tous. Au delà du sweat à capuche dans une pièce sombre, ils sont surtout vus comme des génies de l’informatique capable de tout. Leur niveau de compétence et le côté plus ou moins légal de leurs activités les rendent mystérieux et peuvent générer admiration et attirance voir crainte et peur…
Tout comme il y a autant de genres de musique metal que de groupes qui en jouent, narcissisme des petites différences oblige, les hackers ont eu besoin de se distinguer les uns des autres. Opposés les uns aux autres pour certains, formant tout un nuancier pour d’autres, nous aurions d’un côté les white hat (chapeaux blancs) et de l’autre les black hat (chapeaux noir), les bons contre les mauvais.
Ces termes sont entrés dans le jargon et s’utilisent tels quels ; en anglais. Les utiliser traduits, en français, est déconseillé à moins de vouloir paraître particulièrement ridicule. Principalement parce que les utiliser sérieusement, c’est déjà un peu ridicule en soi.
Son faux air consensuel pourrait faire penser à des critères absolu – établis par des ethnologues suivant une approche scientifique – mais il s’agit en réalité de point de vue subjectifs : chaque groupe a sa propre définition et, ethnocentrisme oblige, ces groupes se considèrent chacun meilleurs que les autres…
White hat, les gentils
Commençons par la partie émergée de l’iceberg : les white hat qui, vivant publiquement à la lumière du jour, ont pu répandre leur point de vue manichéen partout, jusque dans wikipedia. Pour eux, le monde est le théâtre d’une guerre entre le bien et le mal :
- Les Black hat sont mal intentionnés et œuvrent dans l’illégalité en exploitant les systèmes à leur profit ou pour nuire à autrui. Rançon et vandalisme sont leurs maître mots.
- Les White hat, eux, sont éthiques et utilisent leurs compétences pour assurer la sécurité des systèmes et de la population contre ces fléaux barbares.
Ces termes (chapeaux blancs et noirs) et ces définitions puisent leur source dans les films de cowboy où, pour faciliter la lecture par les spectateurs, les gentils portaient des chapeaux blancs et les méchants, des chapeaux noirs. C’est très ingénieux et je me demande pourquoi on n’a pas instauré ça dans la vraie vie…
En fait, ces définitions sont écrites par des professionnels de la sécurité informatique. Ceux qui en vivent en vendant des prestations, services, produits, … à forte valeur ajoutée. Cette dichotomie du bien contre le mal à travers laquelle ils se définissent leur sert, depuis toujours, à déployer une stratégie commerciale en deux temps :
- Vous faire peur, en communiquant régulièrement sur les mauvaises actions des black hat et des conséquences chez les victimes. Le monde est dangereux et vous n’y survivrez pas.
- Vous rassurer, en se posant en white hat et en proposant des services ou produits pour contrer ces menaces. Ne vous inquiétez pas, on gère.
On retrouve cette stratégie de communication dans les partages de cyber faits divers sur les réseaux sociaux. Comme tous les faits divers, ces articles sont initialement publiés pour satisfaire notre curiosité morbide mais en les promouvant, ces professionnels white hat ne font que consolider leur vision manichéenne (l’extérieur est plein de méchants) pour in fine vendre leurs produits.
Black hat, les initiés
Dans le monde manichéen décrit par les white hat, il est difficile de vouloir se prétendre black hat. Pourtant, de nombreux hackers préfèrent se considérer comme tels et prendraient comme une insulte d’être traités de w8h8 (lire à haute voix : « weight height »). Car pour eux, ce qui différencie les uns des autres, c’est surtout la noblesse de leur quête.
- Les white hat sont vénaux et se servent du sentiment de cyber-insécurité pour vendre des babioles inutiles mais très chères à des gens qui s’en sortiraient mieux s’ils prenaient la peine d’apprendre.
- Les black hat, eux, sont en quête de connaissances et voient le hacking comme un parcours initiatique. Leur approche est ésotérique ; ils considèrent qu’un savoir ne peut être acquis que si l’on s’en montre digne.
« Oui, je suis un criminel. Mon crime est celui de la curiosité. Mon crime est celui de juger les gens par ce qu’ils pensent et disent, pas selon leur apparence. Mon crime est de vous surpasser, quelque chose que vous ne me pardonnerez jamais. »
Source : The Mentor, Le manifeste du hacker, 8 janvier 1986.
L’adhésion aux mêmes termes d’un côté comme de l’autre n’est en fait pas un hasard et découle du contexte historique. Les années 60 puis 70 voient l’émergence de nombreux groupes anti-conformistes, anti-autoritaires et libertaires (e.g. mai 68 en France) et dont le mouvement hacker se fera l’un des échos. Puisque les white hat sont du côté de l’autorité, incompatible avec les valeurs de liberté et de curiosité des hackers, ces derniers adopteront alors le terme black hat.
Dans leur vision, contourner des mesures de sécurité et s’introduire dans des systèmes ne constitue pas un acte de vandalisme car rien ne sera cassé et personne ne sera lésé (dans l’idéal bien sûr). Il s’agit, pour eux, d’un exploit ; une réalisation dans leur parcours initiatique, un fait extraordinaire à ajouter à leur palmarès.
Fondamentalement, cet exploit va prouver la supériorité du hacker sur son adversaire du jour qui n’a pas pu lui barrer l’accès ; et par généralisation, sa supériorité sur tous ses adversaires potentiels, dont les honnis white hat. Trop faibles pour se défendre, ils ne sont alors plus dignes de considération et méritent en quelque sorte les conséquences de leur incompétence, justifiant ainsi les actions du hacker :
« J’ai raison parce que je suis le plus fort ».
Grey Hat, les séducteurs
De manière bien plus récente, une nuance de couleur est apparue, suffisamment souvent pour qu’elle mérite d’être citée, et assez consensuelle pour en dire quelque chose : les grey hat (chapeaux gris) qui cherchent leur place dans la nuance entre les blancs et les noirs. Le plus souvent, ils se définissent ainsi :
- White hat le jour, car ce sont des gentils qui œuvre publiquement pour assainir le cyberespace et protéger les faibles contre les méchants,
- Black hat la nuit, car ce sont aussi des génies du clavier qui parlent à la matrice dans des pièces sombres et parce qu’avoir un côté mauvais garçon ça plairait aux filles m’a-t-on dit.
Certains y rangent également les lanceurs d’alertes et autres anonymous : obligés d’effectuer des actions illégales dans l’intérêt général comme lors de la divulgation des documents panaméens.
Mais c’est ici un point de vue exclusivement manichéen et ils devraient être considérés comme des black hat (dans les deux acceptations du terme). Ils sont d’ailleurs au courant et ne prétendent pas porter de chapeau, ce qui rend tout débat de couleur de fait inutile.
Le problème des définitions des grey hat, c’est qu’on ne peut pas à la fois être blanc et noir sur un même axe :
- Pour les white hat, aucune action légale n’efface d’action illégale, une intrusion reste une intrusion, même si vous avez de bonnes intentions,
- Pour les black hat, leur quête quasi-spirituelle transcende la morale et est incompatible avec un état d’esprit vénal. Pour un vrai black hat, le seul critère, c’est « qui prime entre l’appât du gain et la recherche de connaissances ? »
En ce sens, vous ne rencontrerez que deux sortes de grey hat :
- Des imposteurs qui cherchent une renommée médiatique en jouant sur deux tableaux parce que c’est mystérieux et rassurant. On pourrait les considérer comme des white hat dans les deux sens du terme, tout l’opposé des lanceurs d’alertes auxquels ils prétendent s’identifier. À fuir sauf si on a du second degré et du pop corn.
- Des timides qui n’assument pas leur côté black hat en recherche de connaissance (parce que c’est vrai que dit comme ça, c’est un peu naïf) et ajoutent donc une touche de blanc pour dire qu’ils ne sont pas méchants. À fuir sauf si vous aimez les arc-en-ciel, les paillettes et les licornes.
Si votre positionnement entre la lumière et l’obscurité vous angoisse, commencez par respirer lentement. Répétez-vous ensuite en boucle : « ces dichotomies sont polysémiques ». Enfin, dites vous que ça n’intéresse personne alors pourquoi vous en faire ?
Dans la même idée, les tomates sont des fruits ET des légumes et depuis qu’elles ont appris que les fraises, les patates et les salades s’en fichent, elles le vivent mieux. Quand en plus on apprend que le fruit du jacquier se mange comme une viande, est-ce vraiment nécessaire de s’inquiéter ?
Nuances mineures
Parce que certains ne sont pas capables d’apprécier une photo monochrome, ils ont eu besoin d’introduire d’autres couleurs et d’autres sous-groupes…
Définies par des minorités en manque de reconnaissance ou issues de blogueurs pseudo-taxonomistes en manque d’idées, on y rencontre tout et surtout son contraire. Je ne vais donc vous présenter que les trois principales : Rouges, Verts et Bleus.
Même si c’est tentant, on ne peut malheureusement pas définir toutes les couleurs des hackers avec ces trois couleurs…
Red Hat
La légende… cette couleur serait utilisée par les hackers dont le but est d’assainir le cyberespace et d’en expurger les méchants. Une sorte de chevaliers paladins, des croisés sans pavillon, qui se choisiraient ainsi des couleurs.
Même s’ils n’utilisent pas de couleur, ce type de hacker existe vraiment et sous couvert de leurs bonnes intentions, ces justiciers sont en fait dangereux pour la société qu’ils prétendent protéger.
- En diffusant les identités de « coupables présumés », ils détruisent la vie d’innocents (car il y en a), préviennent les coupables (qui peuvent ainsi détruire des preuves) et entravent les enquêtes en cours (i.e. opération #OpPedoChat ou opération ORE).
- Leurs accès frauduleux, lorsqu’ils n’interfèrent pas déjà avec des opérations en cours, détruisent et invalident des preuves numériques (i.e. relaxé au bénéfice du doute).
À moins de vouloir vivre dans un régime totalitaire où une simple intuition suffit pour mettre une personne en prison, laissez faire les professionnels. Les procédures sont peut être lourdes mais elles sont là pour garantir notre sécurité.
« Nul ne peut être arbitrairement arrêté, détenu ou exilé. »
Source : article 9 de la Déclaration universelle des droits de l’homme.
Et si vous voulez vraiment assainir Internet et mettre vos compétences au service de la justice, vous avez plein de solutions, dont les gendarmes N-Tech ou encore les experts judiciaires. C’est peut être moins lucratif que d’autres carrières mais, croyez-nous, c’est bien plus valorisant.
La réalité… Il s’agit principalement d’une des plus ancienne distribution GNU/Linux (Red Hat Linux, créée en 1994) et du nom de l’entreprise qui l’édite. La couleur a été choisie un peu parce qu’elle évoque la liberté (rappel du bonnet phrygien) mais surtout parce que c’était celle du chapeau du co-fondateur (aux couleurs de son club de sport).
Green hats
La légende… Chez les anglo-saxon, ce terme a été utilisé pour définir des novices qui débutent dans leur quête de savoir. Il s’agirait alors d’un moyen pour des initiés de marquer leur supériorité sur les nouveaux en introduisant des rangs.
Je ne penses pas qu’il ait été vraiment utilisé. Le mouvement black hat est profondément égalitaire lorsqu’il regroupe des passionnés et le sentiment de supériorité n’est pas lié aux compétences mais vraiment à la noblesse de la quête. Affectueusement, on pourra nommer un débutant « newbie » mais on dénigrera plus volontiers les lamers parce qu’ils se pavanent ou les script kiddies parce qu’ils ne cherchent pas à comprendre.
La réalité… on trouve un groupe de hacker français qui se sont considérés green hat et ont opérés brièvement entre 2014 et 2015.
Leur définition est complètement différente et issue de la méthode de management dite des six chapeaux dans laquelle le vert correspond à la pensée latérale et la créativité.
Normalement, cette méthode suppose d’endosser successivement chaque chapeau pour résoudre un problème en abordant chaque mode de pensée correspondant (blanc pour le côté factuel, rouge pour les émotions, noir pour le négatif, jaune pour le positif, vert pour la créativité et bleu pour l’organisation). Ne prétendre qu’à une seule couleur n’est donc pas compatible avec la méthode.
Par contre, même si le nom le suggère, je n’ai trouvé aucun groupe de hackers écologistes arborant cette couleur.
Blue hats
La légende… Chez certains blogueurs, ce terme est sensé regrouper les hackers hargneux qui œuvre principalement par vengeance. C’est encore une fois un point de vue très manichéen qui n’apporte rien aux déjà suffisamment méchants black hat. Je n’ai d’ailleurs pas trouvé trace de cette utilisation en dehors de ces rares blogs.
La réalité… ce terme ne se retrouve que chez Microsoft qui l’utilise comme nom pour sa conférence sur la sécurité informatique Blue Hat qui a lieu une à deux fois par an. Il est alors utilisé pour définir des hackers qui cherchent des vulnérabilités sur des logiciels (principalement Windows) et ainsi permettre leur correction.
Un peu comme des grey hats (qui cherchent des failles pour aider) mais avec de la couleur…
Et après
Chez les arsouyes, on a arrêté de porter des chapeaux vers 8 ans car après un vote unanime, nous avons déterminé que ne sommes pas schizophrènes et même si on a de l’auto-dérision, on trouve que porter un cyber-chapeau, c’est un peu ridicule.