A la lumière du développement de certaines affaires (Zataz) et de certains de vos commentaires, il convient de faire un point sur ce que pourrait être « faire de la sécurité » ou « être expert sécurité » à l’heure actuelle. On s’aperçoit (mais n’est ce pas le cas depuis toujours)que la limite est floue entre le bon côté et le côte obscur de la sécurité. Quelle différence entre un pirate et un expert des tests d’intrusion ?
La réponse n’est pas si simple que cela. Si je voulais être polémique, je dirais, qu’il n’y a aucune différence, seule la motivation peut être différente (et encore !). Il ne faut pas jouer les vierges effarouchées un outil de sécurité peut et sera utilisé par des pirates. C’est un fait. Un compilateur pouvant réalisé une gestion de stock, peut aussi créer un immonde virus.Je rajouterai même que l’underground utilise des versions bodybuildées de vos logiciels. A la fois simplifiées de toutes les fonctions qui ne (leur?)servent pas, et augmentées de fonctions d’attaque. Il existe, en cherchant bien des versions Nessus ou Metasploit assez agressives…(voir développement des modules ou plugins)
L’affaire Zataz est très révélatrice de cette mince frontière. Je vous rappelle les faits, une société pour laquelle sûrement la sécurité n’est pas une priorité s’est vu référencée par un moteur de recherche (quel bel outil de piratage, s’il en est !) qui a aspiré l’arborescence d’un serveur FTP en accès libre contenant (bien sûr) des données confidentielles et des numéros de cartes de crédit. Les rédacteurs de Zataz ont alors contacté cette société qui n’a pas apparemment daigné répondre. Zataz a publié son article, et hop procès que Zataz vient de perdre. Cette affaire est à rapprocher de celle du fameux internaute qui a vu toute sa vie mis à jour grâce à des données publiques publiées sur Internet. Faut il ou non utiliser les données publiques auxquelles tout le monde peut accéder ? Telle est l’éternelle question qui divise la communauté gravitant autour de la sécurité… En fait, pour le cas ZATAZ, la justice a amalgamé professionnels de la sécurité et pirates. Une voie, si elle est confirmée par une jurisprudence, va compliquer le travail de la sécurité (même si certains contrats peuvent border cette activité).
La sécurité ne doit surtout pas être vue comme une course à l’armement du meilleur logiciel de sécurité/piratage ou une version amélioré du mien est plus gros que le tien. Car dans ce cas, ceux qui jouent en défense perdront tout le temps. Il faut absolument voir la sécurité comme un tout, et par exemple l’éducation des utilisateurs est primordiale. Avec celle-ci réalisée, les professionnels de la sécurité pourraient envisager de gagner la guerre…
_