La loi a tendance à être très noire et blanche lorsqu'il s'agit de la légalité de choses comme le piratage. Quelque chose est – ou n'est pas – un crime. L'éthique, cependant, peut être beaucoup plus nuancée. Bien que l'éthique de quelque chose puisse être prise en compte dans un contexte pénal, que ce soit avec un manque d'application ou des peines plus légères, cela n'est en aucun cas garanti.
Le terme hacker chapeau gris fait référence aux hackers qui marchent sur cette corde raide. Souvent, leurs actions sont illégales, mais elles ont une justification ou un cadre éthique. Techniquement, cela couvre également ceux qui agissent légalement mais de manière contraire à l'éthique. Ce groupe, cependant, est beaucoup plus petit que le premier.
Le problème avec les pirates informatiques, c'est qu'ils s'en prennent à des innocents, en ne faisant que vivre leur vie. Peu importe si vous êtes un hôpital avec des patients dont la vie est en jeu, si vous êtes une infrastructure nationale critique, une installation nucléaire ou responsable des pensions de millions de personnes. N'importe qui est acceptable en tant que victime pour eux parce que leur objectif est, généralement, de se faire du bien.
Le modus operandi des hackers chapeau gris varie, mais ils utilisent souvent des actes illégaux tout en essayant de minimiser les dommages causés par leurs actions. Cela prend généralement la forme d'agir comme un chapeau blanc , d'identifier les vulnérabilités et de les divulguer de manière responsable, mais de le faire de manière critique sans autorisation.
Motivations
Un chapeau gris est généralement motivé de la même manière qu'un hacker à chapeau blanc. Ils veulent divulguer les problèmes pour améliorer la sécurité de l'utilisateur de manière responsable. Généralement, cependant, ils trouvent le système juridique trop restrictif et agissent sans autorisation. Dans plusieurs cas, cela est fait parce qu'il n'y a eu aucune action lorsque la procédure appropriée a été suivie ou parce qu'ils pirataient pour le plaisir.
De nombreux pirates informatiques de la première heure étaient motivés par le fait d'essayer de voir ce qui pouvait être fait. Dans de nombreux cas, ces pirates n'ont rien fait de malveillant. Techniquement, ils examineraient les données, mais il n'y avait pas de marchés noirs sur lesquels les vendre. C'était une pratique courante pour ces pirates de "planter un drapeau", signalant qu'ils avaient été là, puis de s'arrêter et de passer à autre chose. Souvent, le drapeau était quelque chose de simple comme un fichier texte disant « X était là ». Ce serait certainement illégal à l'époque moderne, mais les lois applicables n'existaient pas alors. Ces pirates le faisaient généralement pour le plaisir et ne faisaient généralement pas beaucoup de mal. En tant que tels, ils pourraient être appelés des chapeaux gris, bien qu'ils puissent tout aussi bien être appelés des chapeaux noirs.
Parfois, lorsqu'un pirate éthique tente de signaler une faille de sécurité sur laquelle il est tombé, il se heurte au silence, au renvoi ou à l'incrédulité. Cela laisse alors le pirate éthique dans un dilemme. Gardez-vous tout secret et espérez-vous qu'aucun pirate informatique ne remarque la faille, ou publiez-vous les détails pour permettre aux victimes potentielles de choisir de ne pas utiliser le système non sécurisé tout en informant les pirates informatiques du problème ? C'est un choix difficile et un défi éthique.
Exemples concrets
En 2013, Khalil Shreateh, un chercheur en sécurité, a découvert une vulnérabilité qui permettait à un utilisateur de Facebook de publier en tant qu'un autre utilisateur. Il avait tenté de divulguer le problème de manière adéquate via le programme de primes de bogues de Facebook. Le problème, cependant, a été rejeté comme "pas un bogue". Frustré et conscient de l'utilisation potentielle d'un tel problème pour les black hats, il a choisi d'exploiter ce problème de manière très perceptible.
En affectant la page Facebook de Mark Zuckerberg, il a limité les retombées de ses actions tout en indiquant clairement à quel point la vulnérabilité était un problème. Facebook a alors rapidement résolu le problème. Il n'a payé aucune prime de bogue, car Khalil avait dépassé les restrictions du programme. Il n'a pas non plus tenté de porter plainte. C'est un excellent exemple du pirate informatique décidant que la fin justifiait les moyens, même si les moyens étaient illégaux.
En l'an 2000, deux pirates, "{}" et "Hardbeat", ont piraté le site Web du serveur Web Apache. S'il s'agissait de black hats, ils auraient pu installer discrètement des téléchargements malveillants à la place de téléchargements légitimes. Tout utilisateur assez malchanceux pour installer le serveur Web avant la découverte du piratage aurait été affecté. Au lieu de cela, ils ont "seulement" défiguré le site Web, en échangeant certaines images. Les actions n'ont nui à aucun utilisateur et ont conduit à un dialogue direct, ce qui a permis de résoudre le problème. Encore une fois, les actions étaient illégales, mais entre les mains de quelqu'un d'autre, la situation aurait pu être bien pire.
Choisir une victime « méritante »
Dans certains cas, les pirates au chapeau gris ciblent activement les groupes auxquels ils s'opposent. Souvent, ces objections sont puissantes et respectées par la société dans son ensemble. Ce ne sont pas seulement les groupes politiques avec lesquels vous n'êtes pas d'accord. Il s'agit généralement de groupes soutenant le terrorisme, de régimes répressifs, d'organisations criminelles ou de réseaux pédophiles. Encore une fois, toutes ces actions sont illégales, mais le chapeau gris choisit ses cibles en fonction d'un cadre moral généralement socialement acceptable. Ils espèrent que leurs efforts aideront à protéger les gens.
Un chapeau gris qui fonctionne selon ce principe peut également se considérer comme une sorte de personnage semblable à Robin Hood. Ils peuvent même prendre cette comparaison très littéralement, voler de l'argent à leurs victimes "méritantes" choisies, puis le donner à une bonne cause auto-définie. Tout ce concept est hautement subjectif. Certaines personnes peuvent convenir que les actions, bien qu'illégales, sont éthiques, tandis que d'autres ne le peuvent pas.
Conclusion
Un chapeau gris est un hacker dont les actions et les motivations se situent quelque part entre un hacker à chapeau noir et un hacker à chapeau blanc. En règle générale, ils fonctionnent selon le principe selon lequel la fin justifie les moyens. Ils résolvent les vulnérabilités de sécurité, mais enfreignent généralement la loi ce faisant. Cette action les différencie des chapeaux blancs.
Le souci de minimiser les retombées sur les victimes, ou dans certains cas de choisir des victimes «méritantes», les sépare des chapeaux noirs. Il est essentiel de comprendre que bien que les actions d'un chapeau gris soient éthiquement justifiables, au moins dans une certaine mesure, de nombreuses juridictions ne prendront pas cela en considération si et quand les actions seront jugées.