Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Flic ou Voyou ?

Flic ou Voyou ?
2009-01-302013-02-11actualités et événementsfr
A la lumière du développement de certaines affaires (Zataz) et de certains de vos commentaires, il convient de faire un point sur ce que pourrait être « faire de la sécurité » ou « être expert sécurité » à l’heure actuelle. On s’aperçoit (mais...
Publié le 30 Janvier 2009 par Philippe Maltere dans actualités et événements

 

 

 

A la lumière du développement de certaines affaires (Zataz) et de certains de vos commentaires, il convient de faire un point sur ce que pourrait être « faire de la sécurité » ou « être expert sécurité » à l’heure actuelle. On s’aperçoit (mais n’est ce pas le cas depuis toujours)que la limite est floue entre le bon côté et le côte obscur de la sécurité. Quelle différence entre un pirate et un expert des tests d’intrusion ?

 

La réponse n’est pas si simple que cela. Si je voulais être polémique, je dirais, qu’il n’y a aucune différence, seule la motivation peut être différente (et encore !). Il ne faut pas jouer les vierges effarouchées un outil de sécurité peut et sera utilisé par des pirates. C’est un fait. Un compilateur pouvant réalisé une gestion de stock, peut aussi créer un immonde virus.Je rajouterai même que l’underground utilise des versions bodybuildées de vos logiciels. A la fois simplifiées de toutes les fonctions qui ne (leur?)servent pas, et augmentées de fonctions d’attaque. Il existe, en cherchant bien des versions Nessus ou Metasploit assez agressives…(voir développement des modules ou plugins)

L’affaire Zataz est très révélatrice de cette mince frontière. Je vous rappelle les faits, une société pour laquelle sûrement la sécurité n’est pas une priorité s’est vu référencée par un moteur de recherche (quel bel outil de piratage, s’il en est !) qui a aspiré l’arborescence d’un serveur FTP en accès libre contenant (bien sûr) des données confidentielles et des numéros de cartes de crédit. Les rédacteurs de Zataz ont alors contacté cette société qui n’a pas apparemment daigné répondre. Zataz a publié son article, et hop procès que Zataz vient de perdre. Cette affaire est à rapprocher de celle du fameux internaute qui a vu toute sa vie mis à jour grâce à des données publiques publiées sur Internet. Faut il ou non utiliser les données publiques auxquelles tout le monde peut accéder ? Telle est l’éternelle question qui divise la communauté gravitant autour de la sécurité… En fait, pour le cas ZATAZ, la justice a amalgamé professionnels de la sécurité et pirates. Une voie, si elle est confirmée par une jurisprudence, va compliquer le travail de la sécurité (même si certains contrats peuvent border cette activité).

La sécurité ne doit surtout pas être vue comme une course à l’armement du meilleur logiciel de sécurité/piratage ou une version amélioré du mien est plus gros que le tien. Car dans ce cas, ceux qui jouent en défense perdront tout le temps. Il faut absolument voir la sécurité comme un tout, et par exemple l’éducation des utilisateurs est primordiale. Avec celle-ci réalisée, les professionnels de la sécurité pourraient envisager de gagner la guerre…

2 Commentaires

  • 2 Février 2009
    2009-02-02
    par
    Excellente remarque. Rien à redire.
  • 30 Janvier 2009
    2009-02-02
    par
    Florent
    La vraie référence sur le sujet reste l'affaire "KITETOA contre TATI" http://www.e-juristes.org/L-affaire-Kitetoa

    Zataz fait un gros travail de veille et agit derrière parfois maladroitement. Ils trouvent une faille, ils l'exploitent (ou pas) et la colle sous le nez du propriétaire...
    Parfois cela enfreint la loi Godfrain (loi n°88-19 du 5 janvier 1988 relative à la fraude informatique) pour intrusion et maintient dans un système informatique.

    http://www.zataz.com/news/18456/jugement_-zataz.html
    Ici il n'y a justement rien de tout ça. Aucune intrusion. Seulement un expert judiciaire en informatique visiblement incompétent...

    Est-ce que la bonne solution dans ce genre de situation ne serait pas d'avertir la DST ou la CNIL pour avoir une légitimité devant l'entreprise en faute ?

    Le problème de la sécurité c'est que ça coûte (cher) et que ça ne rapporte rien (ça peut potentiellement éviter de perdre... potentiellement). Alors ceux qui trouvent des failles de sécurité ils coûtent cher...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage