La scène n'existe pas!
Si vous n'avez pas encore lu les papiers récents de Thomas C Greene dans le Register, je vous engage à le faire au plus vite. Voilà que quelqu'un ose dire que la communauté des hackers dits « white hats » n'est pas si éthique que ça. Que la plupart d'entre eux se font mousser pour obtenir un bon boulot dans des sociétés de sécurité informatique, qu'ils entretiennent des relations avec les services de renseignement et de police, bref, que tout n'est pas aussi romantique que ce que l'on veut bien croire. Premiers visés, le groupe L0pht (devenu la société @stake). Mais aussi Securityfocus et un membre du Cult of the Dead Cow. Lisez les articles du Register et vous jugerez... Tout n'est peut-être pas si simple. Tout noir ou tout blanc. Que L0pht ait entretenu des relations avec les services de police américains ne fait pas vraiment de doute. Dans le cas contraire, lesdits services seraient vraiment encore plus nuls que ce que l'on a dit d'eux après le 11 septembre... Oui L0pht a participé à la diffusion de F.U.D. Oui, la presse est coupable de relayer ce F.U.D et de ne pas avoir une vision globale de ce qu'ils appellent la « scène ». Y a-t-il une scène? Française, américaine ou autre, globale? Sûrement pas. On nous présente certains hackers comme étant les meilleurs, les plus forts, disposant des moyens de mettre à mal les réseaux planétaires. Or, les gamins qui sont les interlocuteurs habituels des journalistes spécialisés ne sont pas, loin de là, les meilleurs. Ils n'ont généralement qu'un moteur, conscient ou inconscient: la reconnaissance. Si on parle d'eux, ils existent. Ce sont des enfants incapables de garder leurs informations (trouvailles) ou celles qu'ils ont glanées auprès d'autres personnes pour eux. Il ne peuvent s'empêcher d'en parler, à leurs amis, à la presse, parfois à la police. Mais leurs informations sont souvent de mauvaise qualité. La scène est-elle ces quelques pirates du dimanche qui vont hacker des sites web et trouvent deux ou trois failles mineures, ou bien les super evil hax0rs qui ne font jamais parler d'eux? Ceux qui ne cherchent ni publicité, ni reconnaissance? Ceux qui ont, cette fois, les moyens de faire plier réseaux, entreprises, ou même, pourquoi pas, le système (et n'ont aucune intention de le faire)? La scène n'existe pas. Ce n'est ni l'un ni l'autre. C'est un concept journalistique sans intérêt. L'existence d'une scène arrange la presse et ses lecteurs. Et même peut-être la police et les services de renseignement. Ca fait du folklore et permet a tout le monde d'entrevoir ce que peut être le monde des hackers. C'est une sorte de truc concret dans un univers impalpable, celui des réseaux.
Sociétés de sécurité et hackers
Mais revenons à nos moutons. Les papiers du Register évoquent le fait que les hackers médiatiques entrent par le suite dans des sociétés de sécurité informatique pour y gagner beaucoup d'argent. Une révélation... Tout le monde le sait et en plus c'est d'une logique singulière. Que pourrait faire un hacker s'il cherchait un travail? Heu... De la sécurité informatique? Est-ce bien, est-ce mal? Est-ce que les membres de L0pht ont trahi des idéaux (le Manifeste du hacker par The Mentor?) en gagnant de l'argent avec la sécurité informatique? Ils sont sans doute animés de sentiments moins purs qu'il y a cinq ou six ans. Mais n'est-ce pas un processus d'évolution logique et très classique. On a souvent des idées plus entières à 20 ans qu'à 30 ou 40. La scène américaine traitait de « media whore » John Vranesevich et Caroline Meinel il y a 3 ou 4 ans. Qu'est-elle devenue cette scène si ce n'est une « media whore »? Rien d'autre. Personne ne dit rien parce que tout le monde connaît l'histoire de chacun. Untel sait qu'avant d'être responsable de la R&D dans cette société bien connue de sécurité informatique, machin était un pirate informatique ayant visité tous les réseaux militaires américains, pakistanais et indiens. C'était il y a longtemps. Il y a prescription. Hein?! Hein qu'il y a prescription! Obligée cette prescription, parce que sinon, si quelqu'un lâchait cette information, machin pourrait bien se sentir agressé et raconter comment truc a piraté un nombre incroyable d'ordinateurs sur le réseau avant de devenir la coqueluche des media et d'être le spécialiste incontournable dans la sécurité liée aux programmes de Microsoft... Je te tiens, tu me tiens par la barbichette... Or aujourd'hui, un hacker a osé dire tout cela dans une de ces conférences sur la sécurité organisée par la scène. Et en plus, un journaliste, Thomas Greene, a rapporté ses propos, détruisant ainsi l'image d'Epinal qui avait été forgée... Démystifier c'est toujours mal vu par ceux qui participent au mythe.
Obscurité et Full Disclosure
Faut-il que les hackers munis d'une « conscience sociale » et qui officient du côté obscur de la force, dans l'obscurité, par opposition au concept de full disclosure (on révèle toutes les failles que l'on trouve), soient majoritaires? Sont-ils ceux qui suivent au plus près les préceptes du vrai hacker? Pas sûr. Voici ce que rapporte et dit Thomas Greene: « "The rush to publish and take credit for discovering and patching a new exploit hobbles the positive efforts of blackhats with a social conscience (though admittedly no one knows how big a category that is)." It would be cool if that category would grow -- assuming it contains at least one, that is.... ». Cette branche existe. Elle est très vaste, très active contrairement aux apparences et potentiellement très puissante. En soi, elle est une menace pour le « système ». Mais elle n'a aucune « conscience sociale ». Encore moins « politique ». Cela ne veut pas dire qu'un membre ou un autre n'a pas d'idées politiques, cela veut dire que l'ensemble n'en a pas de définies. Voilà qui met le « système » hors de danger tant qu'il laisse la branche en question tranquille. Et certains membres de cette branche peuvent avoir des relations avec la police ou les services de renseignement locaux. Quoi de plus évident?
Les adeptes de l'obscurité sont probablement aussi puissants que ceux du full disclosure. Les deux branches sont complémentaires dans leurs effets: une avancée globale dans le domaine de la sécurité. Les moyens utilisés sont différents. Mais le résultat est globalement positif, comme disait l'autre. Même si l'on est loin d'une situation réellement positive dans le domaine de la sécurité des systèmes et réseaux.
Etat des lieux
Dans ce brouhaha créé par les déclarations de ce hacker metteur de pieds dans le plat, on retiendra que la scène et l'anti-scène se tapent dessus, comme toujours. Une vérité a éclaté au grand jour, rompant avec le discours traditionnel de la bonne presse classique. C'est bien. Mais le bilan, celui de la sécurité des systèmes informatiques auxquels nous confions nos données personnelles et finalement, nos vies, ne sont pas sûrs. Ce n'est pas participer au F.U.D que de dire cela. Il suffit de lire la rubrique du monde fou, fou, fou des admins de Kitetoa.com pour en avoir la preuve. Tout est vérolé ou vérolable. Et ce que nous trouvons n'est probablement que la partie émergée de l'iceberg puisque nous n'avons aucunes connaissances techniques particulières... Et alors? Alors rien. C'était une discussion pour rien.
:)