[Kitetoa, les pizzaïolos du Ouèb

Faux-cul et vrai con sont dans un bateau...

La tarte à la crème du full disclosure, c'est un peu comme la droite et la gauche en politique. Il faut toujours que les gens se déchirent dès qu'ils en discutent. C'est aussi un peu comme Nessie. C'est un serpent de mer. On en parle, on en parle plus, on en reparle, on en reparle plus... Quelques belles discussions ont refait surface ces temps-ci sur le thème en question. Sur le site de Maître Eolas ou encore sur le site Réseaux et Télécom. Et, bien entendu, dans BugTraq.

On y retrouve les partisans intégristes du full disclosure et, pas très loin, les partisans intégristes de la sécurité par l'obscurité.

On y retrouve encore les discussions sur les black hats et les white hats.

Enfin, revoici, pour notre plus grand plaisir, la thématique « les vrais gentils du monde de la sécurité n'embauchent pas de vilains pirates et n'ont dans leurs entreprises **que** des chapeaux blancs ».

Prenons les choses dans l'ordre...

A propos du full disclosure. L'argument selon lequel les éditeurs ne se fatigueront pas à corriger les bugs de leurs programmes si le risque d'une publication publique n'existe pas est juste. Ceci dit, lorsque BugTraq a commencé à être connue et à avoir une influence de ce type, il y avait bien peu de monde pour exploiter les failles de sécurité publiées. Ce n'est plus le cas aujourd'hui. Avec l'explosion des abonnés à Internet, il y a des flopées de pré-ados boutonneux (le trait est forcé volontairement. Il y a des pré-ados sans boutons...) qui pensent que hacker le monde leur donne des pouvoirs sexuels insoupçonnés et magiques avec lesquels ils pourront enfin emballer toutes les filles du bahut. Tout expert en sécurité sait bien que les patchs ne sont pas appliqués sur une majorité de machines, mais bien sur une minorité. Ce n'est rien de le dire. Le risque est donc grand de voir les failles publiées servir à pirater plutôt qu'à protéger. Mais il y a certaines choses que le petit monde feutré de la sécurité informatique ne veut dire ni entendre dire. Prenons un exemple simple de ce qu'est devenu, dans les faits, le concept de full disclosure et que vous ne lirez ni entendrez (probablement pas) ailleurs. La société eEye a sorti ces dernières années des tonnes d'advisories passionnantes. Sur la base de ces advisories, forcément dédiées à la protection du consommateur© et à l'amélioration du niveau général de la sécurité, quelques gros malins ont pondu des virus et des vers aux effets amusants comme Code Red, MyDoom ou Blaster pour ne citer qu'eux. Eeye s'est fait pas mal de pub avec ces advisories, mais les consommateurs© n'y ont pas gagné grand chose. C'est avec la plus grande coolitude que nous disons cela, Marc Maiffret étant un ami de très longue date.

Le règne du faux existe donc également dans la sécurité informatique où l'on peut dire sans rire: « le full disclosure protège le consommateur© » en lieu et place de « le full disclosure sert surtout sur un plan marketing ».

Maintenant, passons au concept de sécurité par l'obscurité. Nos amis d'ADM et de Security.is avaient lancé il y a quelques années le concept d'AntiSecurity. Un appel à plus d'obscurité pour le bien de tous. Ils se sont fait tailler un beau costard par le monde de la sécurité informatique. Crime de lèse-majesté... Vilains petits canards qui prononçaient les phrases interdites...

Pourtant, il y a un événement qui est passé un peu inaperçu sur le front de la sécurité informatique et qui méritait, à notre sens, un peu plus de publicité. Il y a quelques temps, était apparu un bug sur BGP. Pendant quelques semaines, le bidule a été gardé secret et tout le monde a réparé en silence avant que publication full disclosurienne n'intervienne. Tant mieux.

Maintenant, voilà ce qui s'est vraiment passé: des mois auparavant, une faille assez terrible avait été trouvée à propos de BGP. Un exploit avait été codé. Pour faire simple, disons que cela devait permettre de planter un backbone. Que s'est-il passé? Les vilains « black hats », comme les appellent les trop propres membres de la white hatitude, ont-ils planté Internet? Ont-ils lancé la cyber-guerre sur laquelle fantasment certains? Que néni. Ils ont rangé leur explloit au fond d'un tiroir et l'ont tout simplement oublié. Comme s'il n'avait jamais existé. Il a fallu attendre quelques mois pour qu'un « white hat » découvre ledit bug et organise une publication concertée, avec les CERT notamment, permettant aux FAI de réparer.

Personnellement, la décision des vilains black-hats de faire disparaître leur exploit et leur trouvaille m'allait tout aussi bien que la décision du gentil white hat de publier.

Passons maintenant aux black hats et aux white hats...

« jamais chez moi il n'y a eu de hackers », « nous n'embauchons pas de hackers », et patati et patata. La gadgetophrase est toujours brandie par les patrons de boites de sécurité informatique.

Sauf que c'est faux et ils le savent. Toute ladite communauté des experts en sécurité informatique sait qu'il y a nombre de script kiddies et autres hackers noirs qui ont été embauchés par telle ou telle boite de sécurité. Mais chuuuuuutttttt... Le full disclosure, c'est pas pour nous. Ca ne s'applique ni aux politiques de recrutement, ni aux pratiques commerciales, ni, bien entendu, à la non gestion des canards boiteux.

Mais encore faudrait-il s'entendre sur le terme hackers. S'agit-il de pirates? Et qu'est-ce qu'un pirate? Un chapeau noir? Une chapeau gris? Un chapeau blanc qui fait des bêtises le soir, une fois rentré chez lui? Peut-on être tout blanc ou tout noir? La terre tourne-t-elle sur orbite parfaite et immuable? Et de quoi demain sera-t-il fait? Hein?! Etrange, cette manie du monde de la sécurité informatique de vouloir classer les gens dans des cases proprettes desquelles il est impossible de bouger.

Le pire terme marketing qui ait été inventé par le secteur est sans doute celui de « Ethical hacking ». Il porte en lui l'idée qu'il y aurait un hacking propre et un hacking pas propre... cf. le paragraphe précédent pour ceux qui n'auraient pas saisi où nous voulons en venir avec celui-ci...

Le sujet évoqué dans l'article de Marc Olanie est sans aucun doute un must. Il ne fait pas bon évoquer le terroriste connu du FBI et de la DST Guillermito au sein du SSTIC, haut lieu, c'est bien connu, du ethical hacking. Voilà un endroit où jamais un black hat ou un grey hat viendrait faire une conférence. Un endroit tellement propre et tellement éthique que tout le monde doit venir habillé en blanc. Passée la note d'humour, disons que le SSTIC fait venir des gens pas aussi blancs que ce qu'il voudrait, mais qui sont présentés comme des experts en sécurité informatique et non pas comme des grey ou des black hats. Avec un titre comme ça, tout va bien. Suffit de s'en convaincre. Pour ce qui est du nom de ce terroriste connu du FBI et de la DST, si l'on exclut le règne du faux, on peut imaginer qu'il pose un problème aux organisateurs dans la mesure où ils ne veulent pas avoir un front ouvert avec (ex)Tegam. Tous cela nous amène enfin aux fausses valeurs du monde de la sécurité informatique. Ces gens sont légion et, puisqu'ils ont mis un pied dans le secteur, tout le monde fait mine de croire qu'ils sont des experts. Fait mine. Et le SSTIC ne fait pas exception. (note pour les neuneus: kitetoa.com ne fait pas partie de la communauté de la sécurité informatique. Nous sommes trop nuls en informatique et cela se voit)

Bouclons ce papier fleuve par une réflexion personnelle sur le full disclosure et Guillermito (puisque l'on parle de lui). Si Kitetoa.com est converti aux idées défendues par AntiSecurity, c'est à dire par une pause sérieuse dans le full disclosure, nous défendrons toujours le droit à publier des failles. Paradoxal? Non. Nous ne sommes simplement pas sectaires.

:)

Autant, il nous semble que publier les failles n'apporte plus grand chose au consommateur©, autant il nous semble que les chercheurs de failles ne doivent pas être muselés par les entreprises qui aimeraient mieux que leurs bugs restent dans l'ombre. Ne parlons pas de celles dont les pratiques devraient, logiquement (mais est-on vraiment logique dans un monde bisounoursien tel que celui de la sécurité informatique?), déclencher une action de saine gestion (mise à l'index) des canards boiteux par "le secteur". Un peu comme un antivirus ou un controleur d'intégrité le ferait... Mouarf...

Kitetoa

k-version: 5.0

Liens de navigation

Naviguer, lire...

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Le dossier d'instruction Kitetoa versus Jean-Paul Ney

D'autres choses...

Reflets.info

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney