Les hackers au service des entreprises

 

Emplois : Chrch pirate H/F pr poste stable. Ecrire REF : 3.14159

Peut-on, en toute sécurité, faire appel à un ex-pirate repenti pour lui confier un poste au sein de l’entreprise ?

Vaste débat qui ne date pas d’hier et qui continue à faire recette, notamment à l’occasion de la RSA Security Conference qui se déroule actuellement à San Francisco.

Deux éclairages sont donnés respectivement par Deborah Radcliff, du SecurityFocus, et Marcia Savage de CRN/Techweb.

Les arguments sont inchangés, avec d’un coté les « repentis » -tels Kevin Mitnick- qui estiment apporter une expérience et une vision particulière, de l’autre les rigoristes pour qui tout viol de la loi est une tâche qui ne peut être effacée.

Remarquons au passage une remarque de Christopher Painter, « deputy chief » auprès du Ministère de la Justice américain. Painter estime que ce blanc seing offert à d’anciens truands du code risque d’inciter de jeunes informaticiens à s’orienter dès les premières années d’étude vers la lutte armée (avec Nmap en guide d’AK47)… si un bon hack vaut mieux qu’une recommandation de doyen de faculté pour obtenir un emploi bien rémunéré, autant dès à présent constituer son « book » d’exploits.

A ce paradoxe, Painter ajoute : « les criminels sont des criminels, et en engager un, c’est comme dresser un « renard de garde » pour surveiller un poulailler ».

Une argumentation vite battue en brèche par Mitnick, qui fait remarquer qu’une des conférencière aurait, en des temps pas si reculés, engagé un groupe de casseurs de codes pour sécuriser son infrastructure.

Un Mitnick qui se serait vu, il y a peu de temps, refuser une consultation payante par cette même conférencière.

Le débat tourne au règlement de compte personnel.

Dure position que celle des supers-flics d’entreprise ou du gouvernement. Comment, en effet, nier l’efficacité de l’école de Vidocq ? Comment mettre à l’index une population alors que tout, dans la culture policière en générale, et américaine en particulier, favorise la thèse du « retournement » des criminels de tous crins ?

Source: Reseaux & Telecoms (17/04/2003)

 

Hacker professionnel : un nouveau profil pour les services informatiques

Le magazine en ligne américain Newsfactor.com s'interroge sur le phénomène en relevant la présence de plus en plus régulière d'anciens hackers brillants au sein de services informatiques d'entreprises. Ces dernières ont en effet renforcé leurs équipes de spécialistes en sécurité informatique, en particulier depuis les attaques terroristes du 11 septembre alors que dans le même temps la tendance du secteur était plutôt à la réduction des effectifs.

La présence des spécialistes de la lutte contre l'intrusion informatique dans les entreprises devient donc de moins en moins discrète et certains s'interrogent sur la formation de ces spécialistes. Même si les entreprises se défendent en général de compter dans leurs rangs d'anciens pirates déclarés, on constate une proximité étroite entre le profil de certains professionnels de la sécurité et les milieux undergrounds.

Le phénomène est identique en France où l'on murmure volontiers que certaines sociétés spécialisées dans la sécurité des systèmes d'informations auraient discrètement recruté quelques hackers assagis ou repentis.

Au point que, sur le marché américain, plusieurs entreprises préfèrent assumer ce choix. Newsfactor site ainsi le cas de Marc Maiffret, le très officiel "Chief Hacking Officer" (CHO), de la société californienne eEye Digital Security qui indique que pour lui, le recours aux services d'anciens hackers est le meilleur moyen pour une entreprise de se protéger contre les hackers (appelés aussi white hat) et crackers (black-hat) ces derniers étant les plus offensifs.

L'éditeur d'antivirus @Stake a lui aussi recruté le célèbre hacker Peiter Zatko, plus connu sous le nom de Mudge, au poste de directeur scientifique.

Les entreprises utilisent principalement ces "spécialistes" pour opérer des tests d'intrusions et si leur éventuel casier judiciaire peut gêner l'employeur, leur connaissance du milieu est un véritable avantage en terme de lutte contre l'intrusion et la piraterie.

Mais le risque majeur corrélatif est celui d'un retournement de ces derniers qui pourraient ainsi opérer un véritable chantage vis-à-vis de leur employeur avec le risque de divulgation des failles dans les systèmes de sécurité. Le magazine évoque également le cas de hackers plus subtils qui présentent à l'entreprise une faille qu'ils viennent de mettre à jour tout en lui proposant ses services pour un emploi éventuel... au cas où.

Source: Journal du Net (30/05/2002)

 

Dans la peau d'un pirate

Vous êtes perdus au milieu des techniques de défense, des failles découvertes chaque jour et des nouvelles menaces en matière de sécurité informatique ? Et si la solution était de se mettre dans la peau d´un pirate et d´anticiper ses attaques ? Plusieurs SSII et organismes de formation proposent aujourd´hui aux informaticiens cet échange de rôles via des "cours de piratage". Tout en veillant à ce que leur enseignement ne tombe pas entre de mauvaises mains. Explications de Philippe Jumelle, de Vigilante University, qui propose ces formations.

Indexel : Comment l´idée d´un cours de piratage est-elle née ?

Philippe Jumelle : Les informaticiens ont aujourd´hui une soif d´information sur la sécurité. Il y a très peu de formation dans ce domaine dans les écoles d´ingénieur et même si les DSI ont quelques notions en sécurité, ils n´ont pas une vue d´ensemble. Or, avec le développement de l´Internet, ils ont des impératifs beaucoup plus importants et doivent anticiper et prévenir les problèmes. Ils ont besoin d´un regard différent pour détecter les vulnérabilités et empêcher les attaques.

Qui peut participer à ces cours ?

Nos cours sur la sécurité informatique en général sont ouverts à tous les informaticiens, DSI, chefs de projets, responsables sécurité ou techniciens réseaux. Mais les "cours de piratage" sont en accès limité. Nous les réservons à nos clients existants, qui ont déjà suivi d´autres cours sur la sécurité et qui souhaitent approfondir leurs connaissances. Apprendre les techniques de piratage ne peut pas être la première étape pour un stagiaire. Nous voulons ainsi éviter que ces cours tombent entre de mauvaises mains.

Comment se déroule la formation ?

Après avoir expliqué les différentes techniques de piratage et des moyens de protection, nous mettons à disposition des stagiaires des machines cibles, qui sont reliées à notre réseau de test. Ils devront essayer de s´infiltrer dans le réseau avec les outils qu´on leur fournit et pirater un site de test que nous avons créé.

Vous enseignez carrément des techniques comme l´IP Spoofing, le deni de service ou l´attaque par cheval de Troie ?

Ces techniques ne sont pas très sérieuses, elles sont utilisés en général par des "script-kiddies" qui n´ont pas de compétences pour voler des données importantes et qui se contentent de défigurer un site. Les pirates plus pointus et qui veulent accéder aux données confidentielles font appel à d´autres moyens comme le scan des ports ou l´exploitation des failles de sécurité. L´injection SQL fait aussi partie des techniques les plus efficaces : il s´agit d´entrer des données non prévues par le programmeur dans un formulaire. Le logiciel est "troublé" par cette mauvaise manipulation et ouvre des fichiers qu´il ne devrait pas normalement ouvrir. Et le pirate peut ainsi accéder aussi bien aux numéros de carte bleue qu´à des mots de passe.

Les responsables qui participent à ces stages sont-ils conscients des risques ?

Beaucoup ne savent pas que lorsqu´un site fonctionne avec une base de données, il est potentiellement vulnérable. Nous voyons tous les jours des sites qui présentent des bugs qui sont pourtant connus depuis longtemps. Dans les cours, nous ne travaillons qu´avec des serveurs de test, mais si un stagiaire a la responsabilité d´un site web, nous pouvons aussi faire des essais sur son site. Si l´URL en question est vulnérable, il est en général content de l´apprendre car il peut ensuite tourner vers son prestataire ou sa direction pour demander des budgets supplémentaires. Mais il arrive aussi qu´il perde un peu la face vis-à-vis d´autres stagiaires.

Source: Indexel (30/05/2002)

 

Hacker ”éthique ” précoce

Il a 16 ans, il est hacker "éthique", il est Indien et vient d´être embauché par une agence du gouvernement américain. Cherchez l´erreur?

A 16 ans, l´indien Ankit Fadia s´est déjà forgé sa propre vision du hacking, et une certaine réputation dans le milieu. Pour lui, hacking ne rime pas avec attaques de sites, et " les hackers sont en fait des gens bien, plaisants et très intelligents "... Sa devise : " donne aux autres autant que tu peux ". C´est peut-être pour cela qu´il a créé le site " Hacking Truths ", destiné au début à des amis intéressés par le hacking, et qui reçoit aujourd´hui environ 100 000 visites par jour. Il a aussi publié un livre, à l´âge de 15 ans ! " The unofficial guide to ethical hacking " explique en 750 pages comment se protéger de hackers mal intentionnés... Ankit Fadia est donc ce qu´on appelle un " hacker éthique ". Aux Etats-Unis, des hackers de ce type sont couramment employés par des sociétés pour se protéger contre d´éventuelles attaques. En Inde, la pratique se répand depuis la cyber-guerre lancée par des hackers basés au Pakistan, et visant les sites du ministère des Affaires étrangères et le département à l´énergie atomique indiens. Andit est, depuis dix jours, employé en tant que consultant pour une agence du gouvernement américain.

Source: Transfert (18/04/2002)