Tous les hackers ne sont pas des criminels, et tous ne sont pas des héros. La seule chose qui détermine de quel côté de la loi se trouve un hacker, c'est l'autorisation, et le secteur de la sécurité classe les types de hackers selon cette unique ligne. Ce guide détaille chaque catégorie dont vous entendrez parler : white hat, black hat et grey hat, ainsi que les script kiddies, les hacktivistes, les groupes parrainés par des États et les menaces internes. Pour les mécanismes mêmes du métier, consultez notre guide pilier sur ce qu'est le hacking. Envie de pratiquer la version légale ? Commencez par le cours Ethical Hacking de HackerDNA.
Les couleurs des "chapeaux" viennent des vieux westerns, où le héros portait du blanc et le méchant du noir. Le monde de la cybersécurité a repris ce raccourci parce qu'il capture la seule distinction qui compte devant un tribunal : le propriétaire du système a-t-il dit oui. Tout le reste, les outils, les techniques, le niveau de compétence, peut être identique entre un pentester rémunéré et un opérateur de rançongiciel.
En bref : Les principaux types de hackers sont le white hat (autorisé, légal, payé pour trouver des failles), le black hat (non autorisé, criminel, profit ou sabotage) et le grey hat (non autorisé mais non malveillant, toujours illégal). Au-delà des trois chapeaux, vous croiserez des script kiddies, des hacktivistes, des groupes APT parrainés par des États et des initiés malveillants. La ligne qui définit chaque type est l'autorisation, pas la technique. Apprenez la voie légale via des labs en bac à sable, jamais sur des systèmes de production.
Les Trois Chapeaux : White, Black et Grey
Les principaux types de hackers sont le white hat, le black hat et le grey hat. Les white hats testent les systèmes avec une autorisation écrite pour corriger les vulnérabilités, et ils sont payés pour cela. Les black hats s'introduisent sans permission pour le profit, le sabotage ou le vol, ce qui est un crime. Les grey hats agissent sans autorisation mais divulguent ce qu'ils trouvent au lieu d'en abuser, se plaçant dans une zone grise juridique.
Ces trois catégories couvrent l'axe éthique du hacking. Là où une personne se situe n'a rien à voir avec son niveau de compétence et tout à voir avec le fait d'avoir eu un consentement. Un grey hat qui trouve la même faille d'injection SQL qu'un white hat a employé une compétence identique, mais un seul des deux peut la mettre sur son CV.
Les White Hat Hackers
Les white hats, aussi appelés hackers éthiques, travaillent sous un contrat signé qui définit exactement ce qu'ils peuvent tester et quand. Leur travail consiste à trouver les faiblesses avant les criminels, puis à transmettre les conclusions aux personnes capables de les corriger. Le travail est parfaitement légal car l'autorisation existe par écrit avant tout test.
Motivation : salaire, réputation et la satisfaction de renforcer les défenses. Légalité : légale, encadrée par un cahier des charges (Statement of Work) ou les conditions d'un programme de bug bounty. Exemples réels : les chercheurs derrière les divulgations coordonnées comme Heartbleed et Spectre, les chasseurs de bugs qui gagnent six chiffres sur HackerOne et Bugcrowd, et des équipes comme Project Zero de Google. Les pentesters seniors aux États-Unis gagnaient environ 130 000 à 200 000 dollars en 2025 selon plusieurs enquêtes salariales. Notre analyse pour savoir si la cybersécurité est une bonne carrière couvre le côté demande.
Les Black Hat Hackers
Les black hats attaquent sans permission, un point c'est tout. Ils volent des données, déploient des rançongiciels, mènent des opérations de phishing et vendent l'accès à des réseaux compromis. Leurs outils ressemblent souvent à ceux des white hats, mais l'absence d'autorisation transforme les mêmes frappes au clavier en délits sous des lois comme le Computer Fraud and Abuse Act américain.
Motivation : l'argent, presque toujours. L'économie moderne du black hat repose sur l'extorsion et la fraude. Légalité : criminelle partout, avec des peines atteignant une décennie ou plus de prison. Exemples réels : des groupes de rançongiciels comme LockBit et le groupe Conti aujourd'hui démantelé, les attaquants derrière la violation Equifax de 2017 qui a exposé 147 millions de dossiers, et des fraudeurs individuels exploitant des kits de phishing. Le rapport IBM 2024 sur le coût d'une violation de données chiffrait la violation moyenne à 4,88 millions de dollars dans le monde, dont une grande partie liée au hacking criminel.
Les Grey Hat Hackers
Les grey hats vivent dans un entre-deux inconfortable. Ils sondent des systèmes qu'ils n'ont jamais été invités à tester, mais au lieu d'exploiter ce qu'ils trouvent, ils le signalent, parfois en privé à l'éditeur, parfois en le publiant ouvertement. Leur intention est généralement bienveillante. L'accès lui-même reste non autorisé, ce qui les maintient du mauvais côté de la loi.
Motivation : curiosité, reconnaissance ou conviction que l'éditeur doit être forcé à agir. Légalité : illégale dans la plupart des juridictions même quand personne n'est lésé, car la loi s'intéresse à l'accès, pas au résultat. Exemples réels : des chercheurs qui scannent l'internet public à la recherche de bases de données exposées et envoient un courriel aux propriétaires, et la longue histoire des récits "j'ai trouvé ce bug et on m'a menacé d'un procès". Le conseil honnête : si le travail de grey hat vous attire, canalisez-le dans un programme de bug bounty structuré. Le même frisson de trouver de vrais bugs dans de vrais systèmes, avec un contrat qui vous évite le tribunal.
White Hat vs Black Hat : La Ligne de l'Autorisation
La façon la plus claire de comprendre les types de hackers est de comparer les deux extrémités du spectre. Un white hat et un black hat peuvent lancer le même scan Nmap contre le même serveur. L'un a un document de périmètre signé ouvert dans un autre onglet. L'autre non. Ce document est la différence entre un salaire et des poursuites.
Prenons un scénario concret. Un testeur trouve un contournement d'authentification sur une application bancaire. Le white hat le documente, rédige un rapport et guide les développeurs vers un correctif, en étant payé. Le black hat utilise le même contournement pour vider des comptes. Même vulnérabilité, même exploit, mondes juridiques opposés. L'intention compte moralement, mais la première question d'un procureur est de savoir si vous aviez la permission.
En pratique, cette ligne est aussi ce qui rend la carrière de white hat viable. Vous bâtissez un portefeuille public de CVE divulguées et de classements CTF sans jamais regarder par-dessus votre épaule, tandis que le meilleur travail d'un black hat ne peut être montré à personne et que le portefeuille d'un grey hat est une responsabilité en attente d'une assignation à comparaître.
Au-delà des Chapeaux : Autres Types de Hackers
Le modèle des trois chapeaux capture l'éthique, mais le monde de la sécurité utilise plusieurs autres étiquettes pour le niveau de compétence, la motivation ou qui paie. Ces catégories recoupent les chapeaux : un hacktiviste est généralement un black hat aux yeux de la loi, un script kiddie peut porter n'importe quel chapeau maladroitement. Le vocabulaire vous aide à lire les rapports de menaces et à comprendre qui se cache derrière une attaque.
Les Script Kiddies
Les script kiddies utilisent des outils prêts à l'emploi et des exploits publics sans comprendre leur fonctionnement. Le nom est dédaigneux à dessein. Ils téléchargent un booter DDoS tout prêt ou copient une commande Metasploit et la pointent vers la première cible venue. Motivation : généralement la vantardise ou l'ennui. Légalité : leurs attaques restent des crimes, et le manque de compétence fait qu'ils se font souvent prendre vite car ils laissent des traces évidentes. Quand le code source du botnet Mirai a fuité en 2016, il a mis une puissante capacité de DDoS entre les mains de milliers d'imitateurs peu qualifiés du jour au lendemain.
Les Hacktivistes
Les hacktivistes piratent pour défendre une cause politique ou sociale plutôt que pour l'argent, généralement par des défigurations de sites web, des attaques par déni de service et des fuites de données destinées à embarrasser une cible. Motivation : idéologie, protestation ou militantisme. Légalité : presque toujours illégale, peu importe à quel point la cause semble sympathique. Exemples réels : le collectif diffus Anonymous et ses ramifications, qui ont visé aussi bien des agences gouvernementales que des forums extrémistes. Une cause n'accorde pas d'autorisation, et les hacktivistes sont poursuivis sous les mêmes lois sur la criminalité informatique que n'importe qui.
Les Hackers Parrainés par des États et les APT
Les hackers parrainés par des États travaillent pour ou au nom d'un gouvernement. Les rapports de renseignement sur les menaces les suivent comme des Advanced Persistent Threats (APT) : des groupes numérotés disposant d'un financement de longue durée, d'outils sur mesure et d'une patience qui se mesure en mois ou en années. Motivation : espionnage, vol de propriété intellectuelle, sabotage d'infrastructures critiques et avantage géopolitique. Légalité : illégale selon les lois du pays victime, mais les attaquants opèrent avec une immunité de fait chez eux. Exemples réels : le ver Stuxnet qui a endommagé les centrifugeuses iraniennes vers 2010, et la compromission de la chaîne d'approvisionnement SolarWinds de 2020 attribuée à un groupe étatique russe qui a touché des milliers d'organisations. Ce sont les attaquants les mieux dotés de la planète.
Les Initiés Malveillants
Les initiés disposent déjà d'un accès légitime. La menace apparaît lorsqu'un employé ou un sous-traitant en abuse pour voler des données, saboter des systèmes ou vendre des identifiants. Motivation : pression financière, vengeance après avoir été écarté ou licencié, ou recrutement par un groupe externe. Légalité : criminelle, et souvent plus facile à poursuivre car les journaux d'accès pointent directement vers un compte nommé. Exemples réels : des employés qui exfiltrent des listes de clients avant de démissionner, et l'abus d'identifiants que le DBIR Verizon 2024 signale à plusieurs reprises comme un moteur majeur de violations. Le risque interne est la raison pour laquelle le "moindre privilège" et la journalisation des accès sont des contrôles de sécurité fondamentaux.
Rouge, Bleu et Violet : Couleurs d'Équipe, pas de Chapeaux
Une source de confusion : le secteur utilise aussi des couleurs pour les rôles au sein d'une organisation, et celles-ci n'ont rien à voir avec les chapeaux éthiques. Tout membre d'une équipe rouge, bleue ou violette est un white hat travaillant sous autorisation. Les couleurs décrivent de quel côté d'un combat simulé ils se trouvent.
L'équipe rouge joue l'attaquant. Elle simule un véritable adversaire contre les systèmes de son propre employeur, souvent sur plusieurs semaines, pour tester si les défenseurs peuvent détecter et réagir à un intrus déterminé. Le red teaming va plus loin qu'un test d'intrusion standard, qui est généralement une chasse aux bugs plus courte et limitée à un périmètre.
L'équipe bleue regroupe les défenseurs : analystes SOC, intervenants en réponse à incident et chasseurs de menaces qui surveillent les journaux, ajustent les détections et traquent les alertes. Ils construisent et maintiennent les défenses que l'équipe rouge tente de contourner.
L'équipe violette est moins un groupe qu'une façon de travailler. Elle réunit le rouge et le bleu dans la même pièce pour que chaque attaque réussie par l'équipe rouge devienne une nouvelle détection écrite par l'équipe bleue. Vous entendrez aussi "green hat" pour un débutant qui apprend les bases. Aucun de ces termes ne concerne la légalité : ce sont des fonctions, toutes fermement white hat.
Quel Type de Hacker Devriez-Vous Devenir ?
Si vous lisez ceci pour savoir où vous vous situez, la réponse est presque certainement white hat, et les raisons sont pratiques, pas seulement morales. La voie légale est la seule à laquelle est attachée une carrière : elle paie bien, la demande est énorme, et les compétences se transfèrent directement d'un lab à un emploi. Les voies illégales n'offrent aucun CV, une exposition juridique constante et une fin statistiquement sombre.
L'apprentissage technique est identique quel que soit le chapeau que vous imaginez porter. Vous étudiez les mêmes vulnérabilités, utilisez les mêmes outils et pensez de la même manière adverse, seulement contre des cibles qui sont explicitement les vôtres à attaquer. Pour une feuille de route sur la façon dont les hackers en activité ont bâti leurs compétences, lisez comment les hackers apprennent à hacker, et si les compétitions vous attirent, le guide CTF pour débutants. Quand vous serez prêt à prouver vos compétences à un employeur, l'OSCP est la certification offensive d'entrée de gamme la plus respectée ; notre guide de préparation OSCP l'aborde. Familiarisez-vous avec les outils essentiels via notre aide-mémoire Nmap et notre tutoriel Burp Suite.
Considérations Légales et Éthiques
Rappel essentiel : Le type de hacker que vous devenez est décidé par une seule chose : l'autorisation. Accéder à un système sans permission écrite explicite de son propriétaire est une infraction pénale dans tous les pays développés. Aux États-Unis, le Computer Fraud and Abuse Act (18 USC 1030) prévoit des peines allant jusqu'à 10 ans de prison fédérale par infraction ; le Royaume-Uni applique le Computer Misuse Act 1990 et l'Union européenne la directive 2013/40/UE. Les bonnes intentions ne rendent pas l'accès grey hat légal. Obtenez la permission par écrit, signée par une personne habilitée à l'accorder, avant de toucher à quoi que ce soit.
Chaque ligne éthique de cet article se ramène à la même règle. Les white hats restent légaux parce qu'ils ont un périmètre écrit. Les black hats sont des criminels parce qu'ils n'en ont aucun. Les grey hats s'attirent des ennuis parce qu'ils supposent que la bonne intention remplace le consentement, et ce n'est pas le cas. Les lieux légitimes de pratique sont sans ambiguïté : plateformes CTF en bac à sable, machines virtuelles vulnérables que vous possédez, et fournisseurs de labs dont les cibles sont autorisées à l'attaque. Les programmes de bug bounty étendent cela aux systèmes de production, mais uniquement dans les règles publiées par chaque programme.
Vos Prochaines Étapes
Vous connaissez désormais la taxonomie complète des types de hackers, des trois chapeaux aux APT et aux initiés, ainsi que le seul facteur qui sépare un professionnel respecté d'un accusé : l'autorisation. Les étiquettes vous aident à lire les rapports de menaces, mais pour votre propre parcours, une seule d'entre elles est une carrière. Choisissez le white hat et le reste du voyage devient une question de compétence, pas de risque juridique.
Le moyen le plus rapide de bâtir des compétences white hat est de le faire légalement, aujourd'hui, dans un bac à sable. Le cours Ethical Hacking de HackerDNA vous guide à travers la reconnaissance, le scan et l'exploitation contre des cibles autorisées dans votre navigateur. Ensuite, les labs de cybersécurité vous offrent des centaines de machines vulnérables, et le cours bug bounty fundamentals montre comment transformer la compétence en travail rémunéré. Pour les mécanismes du fonctionnement réel des attaques, le guide pilier sur ce qu'est le hacking approfondit la méthodologie et les outils. L'offre gratuite ne demande ni carte bancaire ni installation locale : ouvrez un navigateur, choisissez un lab et commencez à hacker de la manière légale.
Questions Fréquentes sur les Types de Hackers
Quels sont les trois principaux types de hackers ?
Les trois principaux types de hackers sont le white hat, le black hat et le grey hat. Les white hats testent les systèmes légalement avec permission pour améliorer la sécurité. Les black hats s'introduisent illégalement pour le profit ou pour nuire. Les grey hats agissent sans autorisation mais divulguent les failles au lieu de les exploiter, ce qui reste illégal malgré la bonne intention.
Quelle est la différence entre white hat et black hat ?
Les white hats travaillent légalement avec une autorisation écrite pour trouver et corriger les vulnérabilités, et ils sont payés pour cela. Les black hats s'introduisent dans les systèmes sans permission à des fins malveillantes ou pour un gain financier. Les compétences techniques peuvent être identiques. La différence qui compte au tribunal est l'autorisation : les white hats l'ont, les black hats non.
Les grey hat hackers sont-ils illégaux ?
Oui, le hacking grey hat est illégal dans la plupart des juridictions même quand le hacker ne veut pas nuire. La loi s'intéresse à l'accès non autorisé, pas au résultat, donc accéder à un système que vous n'avez pas été invité à tester est un crime, que vous signaliez le bug ensuite ou non. Les programmes de bug bounty offrent une alternative légale avec le même type de cibles réelles.
Qu'est-ce qu'un script kiddie ?
Un script kiddie est un attaquant peu qualifié qui utilise des outils prêts à l'emploi et des exploits publics sans comprendre leur fonctionnement. Il s'appuie sur des logiciels tout prêts comme des booters DDoS ou des commandes Metasploit copiées. Ses attaques restent illégales, et le manque de compétence fait qu'il laisse souvent des traces évidentes et se fait prendre rapidement.
Qu'est-ce qu'un hacker parrainé par un État ?
Un hacker parrainé par un État travaille pour ou au nom d'un gouvernement, généralement suivi comme une Advanced Persistent Threat (APT). Ces groupes disposent d'un financement de longue durée, d'outils sur mesure et de patience, et se concentrent sur l'espionnage, le vol de propriété intellectuelle et le sabotage d'infrastructures critiques. Stuxnet et la compromission SolarWinds sont des exemples connus d'opérations au niveau étatique.
Les équipes rouge et bleue sont-elles différentes des white hats ?
Non. Les équipes rouge, bleue et violette sont toutes des rôles white hat travaillant sous autorisation. Les équipes rouges simulent des attaquants contre leur propre organisation, les équipes bleues défendent et réagissent, et les équipes violettes coordonnent les deux pour que les attaques deviennent de nouvelles détections. Les couleurs d'équipe décrivent une fonction, pas la légalité.
Fait partie de notre guide sur le hacking : Qu'est-ce que le Hacking ? Le Guide Complet
- Comment les Hackers Apprennent-ils à Hacker ?
- Types de Hackers : White Hat vs Black Hat
- CTF pour Débutants
