Un grey hat (en français, « chapeau gris »), dans la communauté de la sécurité de l'information, et généralement de l'informatique, est un hacker ou un groupe de hackers, qui agit parfois avec éthique, et parfois non. Ce terme est employé pour désigner ceux qui se situent entre hacker white hat et hacker black hat. Un hacker éthique est un professionnel qui applique ses connaissances dans la légalité et la moralité, un hacker non-éthique par opposition n'a pas de dogme, ne suit pas de morale, et se permet l'illégalité pour arriver à son but.
Un exemple courant est une personne qui accède illégalement à un système informatique sans rien détruire ou endommager (du moins, pas volontairement), et qui ensuite informe les responsables de ce système informatique de l'existence de la faille de sécurité et émet éventuellement certaines suggestions pour régler ce problème. Malgré ces bonnes intentions, ceci est tout de même considéré comme un crime dans la plupart des pays. En effet, des personnes ont même déjà été condamnées au niveau criminel pour avoir comblé des trous de sécurité dans un système informatique auquel elles avaient illégalement accédé.
Entre également dans cette catégorie une personne qui va découvrir une nouvelle faille de sécurité dans un logiciel ou un système informatique (incluant les erreurs de conception d'un protocole ou des équipements tels que les routeurs) et qui va publier cette vulnérabilité en donnant un préavis raisonnable au fabricant et aux utilisateurs pour trouver une solution à l'image de Tavis Ormandy[1],[2].
Un type de hacker grey hat est le hacker agissant au nom d'une idéologie qu'il considère juste, commettant des délits non pas pour son propre profit mais dans le but de lutter pour une cause, telles que la liberté d'expression et la protection de la vie privée pour les hackers grey hat des groupes LulzSec et Anonymous. Cependant, la communauté d'exploit-db peut aussi être considérée comme des grey hat bien qu'éloignée de toute idéologie ou hacktivisme.