Cybercriminalité : qu’est-ce qu’un « pentester » ?

Les cybercriminels parlent souvent de « pentester », parfois dans des annonces dans lesquelles les opérateurs de programmes de rançongiciel en mode service, des franchises mafieuses de la cyberdélinquance, indiquent chercher à recruter des capacités offensives. 

Le terme « pentester » est là détourné de son sens original. En réalité, un pentester, ou testeur d’intrusion, est un professionnel de la sécurité informatique qui procède à des activités de cybersécurité offensive sur un périmètre déterminé d’un système d’information, suivant un cadre précisément défini, pour aider à identifier des faiblesses qu’un acteur malveillant serait susceptible de mettre à profit.

Pour faire une analogie avec une fonction légitime dans une entreprise, un pentester pourrait être comparé à un auditeur, interne ou externe. Un auditeur examine les processus et les contrôles en place pour s’assurer qu’ils fonctionnent efficacement et qu’ils protègent l’entreprise contre les pertes financières, les fraudes ou les violations réglementaires. 

De la même manière, un testeur d’intrusion évalue les défenses de sécurité informatique pour s’assurer qu’elles sont robustes et capables de résister aux attaques.

Dans le contexte de la cybercriminalité, si des cybercriminels se réfèrent à un « pentester », ils désignent un individu qui utilise des compétences similaires à celles d’un testeur légitime, mais dans le but de découvrir et exploiter des faiblesses à des fins illégales, sans l’autorisation des propriétaires des systèmes considérés. Le tout en mettant à profit et en cherchant à rentabiliser des accès initiaux obtenus préalablement. 

Cette utilisation du terme est incorrecte et malhonnête, car la pratique légitime du pentesting est une activité autorisée et éthique qui vise à renforcer la sécurité, et non à l’affaiblir.