La sécurité, c'est aussi votre ISP
| Les comptes-rendus |
| Les images |
Rien n'est moins sur nous a expliqué avec humour Jonathan Wignal. Il a rappelé pour ceux qui l'auraient oublié trop vite que l'ISP héberge les serveurs de mail sur lesquels transitent le courrier électronique de l'entreprise. Or il n'y a plus une société qui n'utilise l'e-mail dans ses échanges commerciaux. Mais pratiquement aucune n'utilise de moyens de cryptographie pour en protéger le contenu. Aucune entreprise ou presque (3 mains se sont levées dans une salle de 500 personnes) n'a mis en place de politique de surveillance de ce qui se dit sur elle sur Internet. Enfin, peu de sociétés ont les moyens de vérifier que leur ISP a mis en place une politique de sécurité qui ne risque pas de compromettre son image ou les données présentes sur le serveur Web (ou les bases de données reliées).
L'orateur n'a pas manqué de rappeler que pas grand monde n'était à l'abri, le site de Defcon en ayant lui-même fait les frais. [---bîîîîîppppp ----- stop: anecdote amusante à ce propos qui fera rire qui de droit et d'autres peut-être --- Kitetoa se présente dans la salle de presse pour demander à rencontrer l'organisateur de Defcon, comme cela a été prévu par mail. Il est accompagné d'un membre du groupe ADM qui a légèrement modifié son badge et sur lequel on peut désormais lire "ADMCON". La jeune femme, attachée de presse, regarde le badge et s'écrie: "Mais... Vous êtes ADM, c'est vous qui avez hacké notre serveur!!" Réponse de l'intéressé, très polie et posée: "Non, pas exactement mademoiselle, je fais partie d'ADM, mais je n'ai pas ***personnellement*** hacké votre site". "Si, si, il y avait bien marqué ADM sur le serveur". Répétée deux fois, la réponse de ce membre d'ADM a fini par porter. Elle appelle donc l'organisateur de Defcon qui dormait et lui dit: "j'ai là un français et... ****un membre d'ADM**** qui souhaitent te parler".... Je crois qu'il s'est recouché en se disant qu'il faisait un mauvais rêve vu le temps qu'il a mis à sortir de sa chambre ;))...]
Cette conférence sur les faiblesses éventuelles de maillons comme l'ISP était intéressante en ce sens qu'elle permettait de revenir aux racines des problèmes. Car notez le bien, les ISP n'ont pas forcément, comme le disait l'orateur, la meilleur politique en matière de sécurité. Et si vous n'avez pas un serveur Web ou de mail chez un ISP, vous avez une ligne spécialisée qui vous relie à lui... Pensez alors à tout ce qui est possible: usurpation d'identité par création de comptes POP sur le serveur de mail, lecture des mails, modification du contenu de votre serveur, visite des bases de données, modification des DNS primaires et secondaires... Bref, plein d'ennuis.
Cette conférence était assez proche de celle de Kitetoa sur la guerre de l'information financière, tout en étant un peu plus technique et moins centrée sur l'utilisation de l'information comme arme de destruction (massive).