1. Livres & vidéos
  2. Certified Ethical Hacker
  3. Introduction à l’ethical hacking
Extrait - Certified Ethical Hacker Préparation à la certification CEH
Extraits du livre
Certified Ethical Hacker Préparation à la certification CEH Revenir à la page d'achat du livre

Introduction à l’ethical hacking

Prérequis et objectifs

1. Prérequis

Aucun prérequis spécifique n’est requis pour ce chapitre. Toutefois, une curiosité naturelle pour les systèmes informatiques et une sensibilité aux enjeux de la cybersécurité peuvent faciliter la compréhension.

2. Objectifs

Ce chapitre introduit les concepts fondamentaux de l’ethical hacking et met en lumière leur importance. Il permet de comprendre les bases du hacking éthique et ses objectifs, d’identifier les rôles et responsabilités associés à cette pratique, de distinguer les différentes catégories de hackers et leurs motivations, de cerner les fondements légaux et éthiques qui l’encadrent, et enfin de saisir la place stratégique de la cybersécurité dans le monde actuel.

Qu’est-ce que l’ethical hacking ?

L’ethical hacking, ou hacking éthique, est une pratique de sécurité informatique qui consiste à exploiter les failles des systèmes informatiques dans le but d’améliorer leur sécurité. Contrairement aux cybercriminels qui cherchent à tirer profit des vulnérabilités, les hackers éthiques (souvent appelés « white hats ») travaillent de façon légale et avec l’autorisation des propriétaires des systèmes.

1. Historique et principes de base

L’ethical hacking trouve ses racines dans le développement des technologies de l’information. Dans les années 70, alors que les ordinateurs devenaient plus accessibles, le besoin de sécuriser les données devenait de plus en plus urgent. Au fil des décennies, avec l’adoption massive d’Internet, le piratage informatique est devenu une menace, entraînant une réponse sous la forme de pratiques éthiques de test de sécurité.

Le hacking éthique s’est progressivement professionnalisé à partir des années 80-90 au sein d’entreprises technologiques, avec l’essor des pratiques de test de sécurité. L’idée était de penser comme un hacker malveillant, mais d’agir pour...

Rôle et responsabilités d’un hacker éthique

Le renforcement de la sécurité des systèmes informatiques est l’un des rôles principaux du hacker éthique. Contrairement aux hackers malveillants, l’objectif principal du pentester est de corriger les failles de sécurité afin de prévenir les attaques malveillantes.

1. Identification et évaluation des vulnérabilités

La première tâche d’un hacker éthique consiste à identifier les vulnérabilités potentielles dans les systèmes, applications et réseaux informatiques. Pour ce faire, il utilise des outils spéciaux capables de scanner les environnements numériques à la recherche de failles exploitables. Nous verrons ces outils ensemble plus loin dans ce livre (cf. chapitre Scanning et énumération des réseaux).

Dans ce chapitre, nous allons brièvement parler des techniques et processus utilisés par un hacker éthique. Bien sûr, toutes ces étapes seront amplement détaillées dans les chapitres suivants.

a. Techniques d’analyse

Le hacker éthique effectue une analyse approfondie des protocoles réseau, des configurations système et de l’architecture des applications web. Il combine observation passive (captures ou logs) et tests actifs pour identifier...

Cadre légal et éthique

1. Informations personnelles et données sensibles

Les lois sur la protection des données, comme le RGPD en Europe, imposent des contrôles sur la manière dont les données personnelles doivent être collectées, traitées et stockées. Les organisations doivent s’assurer que les données sont protégées contre l’accès non autorisé et le vol. Le consentement explicite est une base légale parmi d’autres pour traiter des données personnelles : une entreprise peut s’appuyer sur l’exécution d’un contrat, une obligation légale, un intérêt légitime, ou encore la sauvegarde des intérêts vitaux d’une personne. Le fameux pop-up de consentement que vous voyez sur les sites web concerne principalement l’usage de cookies et traceurs, utilisés pour mesurer l’audience ou personnaliser la publicité. Il ne couvre donc qu’une partie du traitement des données personnelles.

Les entreprises peuvent se conformer à des normes spécifiques comme la norme ISO/IEC 27001 qui définit des exigences pour un système de gestion de la sécurité de l’information (SMSI). Cette norme oblige les organisations à identifier les risques pour la sécurité des informations et à...

Les différentes catégories de hackers

Les hackers ne sont pas tous animés par les mêmes intentions ou compétences. Comprendre leurs différentes motivations et techniques est important pour ne pas dépasser la ligne rouge éthique.

Pour l’examen CEH, il est souvent demandé de connaître les différences entre les différents types de hacker.

1. Hackers éthiques

Les hackers éthiques, souvent appelés white hat hackers (hackers à chapeau blanc), ont pour but de renforcer la sécurité des systèmes. Ils sont engagés par des organisations afin d’identifier et de corriger les vulnérabilités potentielles avant que des personnes malveillantes ne puissent les exploiter. L’objectif de la certification CEH est de devenir un white hat hacker !

Pour mener à bien leur mission, les hackers éthiques utilisent des outils d’analyse de réseau, de la cryptographie pour tester la robustesse des systèmes d’authentification, et des méthodes de social engineering pour évaluer la sensibilisation des employés aux risques de sécurité. Ils sont également formés à l’utilisation de divers logiciels de hacking éthique comme Metasploit ou Nmap.

Leur contribution est inestimable car ils aident à protéger les données...

Métiers de l’ethical hacking dans le monde professionnel

Cette section permettra de mieux comprendre les types de postes accessibles après une formation ou une certification comme le CEH, ainsi que les différents environnements professionnels dans lesquels un hacker éthique peut évoluer.

1. Les postes les plus courants

Le poste le plus emblématique du hacking éthique est celui de pentester, ou testeur d’intrusion. Son rôle consiste à simuler des attaques réelles en suivant un cadre strictement défini, afin de détecter les vulnérabilités des systèmes d’information ou des réseaux. Ces interventions peuvent être ponctuelles, dans le cadre d’un audit de sécurité, ou régulières, lorsqu’il s’agit de suivre l’évolution d’un système dans le temps.

Certains professionnels choisissent une approche plus globale en rejoignant une Red Team. Leur mission est d’évaluer le niveau de sécurité d’une organisation à travers des scénarios réalistes. Ces opérations, parfois appelées exercices de type « assaut complet », mobilisent des compétences techniques, mais aussi organisationnelles et humaines.

D’autres se tournent vers le rôle de consultant en sécurité offensive, un poste qui combine une expertise technique avec une capacité à accompagner les clients sur leurs choix stratégiques. Ce type de consultant intervient aussi bien sur des projets d’audit que dans la mise en place de politiques de sécurité.

Enfin, certains hackers éthiques évoluent en dehors des cadres traditionnels, en participant à des programmes de bug bounty. Ces plateformes, ouvertes par des entreprises ou des organisations, permettent à des chercheurs indépendants de signaler des failles de sécurité en échange d’une récompense financière. Cette pratique attire de plus en plus de passionnés, qui y trouvent une liberté et une variété de cibles importante.

2. Les environnements professionnels

Les professionnels du hacking éthique peuvent exercer dans de nombreux types de structures. Beaucoup débutent leur carrière dans des entreprises de services numériques (ESN) ou des cabinets de conseil spécialisés en cybersécurité. Ces environnements permettent d’intervenir auprès de différents clients et d’acquérir rapidement de l’expérience sur des contextes variés.

Dans les grandes entreprises, des équipes dédiées à la sécurité offensive sont parfois constituées en interne. Elles assurent une veille permanente sur les risques de sécurité et interviennent de manière proactive pour tester les nouvelles applications, architectures ou projets.

Le secteur public et les organismes de défense offrent également des opportunités, parfois très spécialisées, notamment dans les agences nationales de cybersécurité, les ministères ou les armées. Ces structures forment ou recrutent leurs propres experts, souvent dans une logique de protection des infrastructures critiques.

Enfin, il est possible d’exercer comme freelance ou consultant indépendant, notamment après quelques années d’expérience. Ce statut permet d’intervenir en direct auprès des entreprises, de choisir ses missions, voire de créer sa propre structure de conseil ou d’audit.

3. Perspectives d’évolution

Le domaine du hacking éthique offre de nombreuses possibilités d’évolution. Après plusieurs années en tant que pentester ou consultant, certains professionnels prennent des responsabilités plus larges en devenant responsable sécurité offensive...

Validation des acquis : questions/réponses

Si l’état de vos connaissances sur ce chapitre vous semble suffisant, répondez aux questions ci-après.

1. Questions

1 Qu’est-ce qui distingue un hacker éthique d’un cybercriminel ?

2 Quels sont deux principaux avantages du hacking éthique pour les entreprises ?

3 Quelles sont les principales responsabilités d’un hacker éthique dans le cadre de la sécurité informatique ?

4 Comment un hacker éthique contribue-t-il à sensibiliser le personnel d’une organisation aux bonnes pratiques de sécurité informatique ?

5 Quelles sont les obligations légales des entreprises concernant la protection des données personnelles selon le RGPD (Règlement général sur la protection des données) ?

6 Pourquoi est-il important pour les organisations d’être transparentes quant à l’utilisation des données des utilisateurs ?

7 Quelle est la principale mission des hackers éthiques ?

8 Comment les hackers malveillants peuvent-ils accéder illégalement à des systèmes informatiques ?

9 Quelle est la nature des attaques de type ransomware et pourquoi sont-elles préoccupantes pour les entreprises ?

10 Citer deux exemples de protection proactive des systèmes.

2. Résultats

Référez-vous...