 Pirate, hacker : derrière ces termes se cachent souvent des individus très différents. Entre des gamins avides de reconnaissance et des prédateurs qui s´attaquent aux données confidientielles, il existe des pirates civilisés. Indexel en a rencontré un. Il est directeur informatique.
"Je sais par expérience qu´il y a beaucoup de sites dans lesquels on peut facilement entrer. On peut d´ailleurs trouver sur internet de nombreux sites anglophones d´informations sur les différentes vulnérabilités des systèmes", affirme ce directeur informatique qui a tenu à rester anonyme, car il est lui aussi, à ses heures perdues, un gentleman-hacker. Assis confortablement derrière son bureau, le regard clair rivé sur son écran, il répond aux questions avec bonhomie.
Une forme d'entraînement ? Ce gentleman-hacker s´exerce en effet à entrer dans certains systèmes d´entreprises privées, "à des fins d´informations pour mieux sécuriser mon propre système", explique-t-il sereinement, "j´ai une éthique. Je me contente de regarder le site et d´étudier ses faiblesses". S´il réussit à entrer "par effraction", il envoie généralement un mail pour prévenir les responsables des dysfonctionnements du système de sécurité qu´il a pu constater. "Il y a des erreurs ou des oublis qui peuvent faire mal. Certains administrateurs omettent simplement de supprimer les démonstrations-test", explique l´espiègle. Ce qui équivaut à laisser la porte d´entrée grande ouverte : "une fois à l´intérieur, rien n´est plus facile pour un pirate que d´effacer tout le site ou de récupérer données et mails et de faire du spam (envoi d´informations non sollicitées, ndlr)", prévient-il.
Administrateurs et pirates ont la même approche Quand notre gentleman-hacker arrive sur un site, il lui faut d´abord identifier le logiciel. "Je fais une requête web pour analyser l´en-tête retransmise par le serveur car il n´est pas évident de repérer la différence entre deux logiciels tels que Cold fusion et Spectra. Une fois le logiciel identifié, je recherche les trous de sécurité, je les essaie et les exploite". Paradoxalement, les administrateurs réseaux et les hackers procèdent souvent de la même manière pour détecter les failles d´un système, en utilisant parfois des outils analogues comme le logiciel Satan, disponible sur net.Sur certains sites web, les scripts offrent une ouverture directe sur les données. "Avec des "/admin", on peut parfois entrer directement sur l´interface d´administration. Il s´agit ensuite de découvrir l´URL", indique-t-il sans donner plus de détails, question de déontologie "je ne vais tout de même pas donner le bâton pour me faire battre ! ", conclue-t-il en souriant.
Les sites utiles Voici quelques sites anglophones pour obtenir des informations sur les failles de sécurité :
http://www.cert.org
http://www.securiteam.com
http://www.safermag.com/
Pour des informations en français sur la sécurité informatique :
l´Observatoire de la Sécurité des Systèmes d´Information et des Réseaux (association loi 1901)
Pour plus d´informations sur le Service d´Enquête des Fraudes aux Technologies de l´Information
Serveurs et informations sur la sécurité informatique dans le monde :
http://www.ossir.org/sur/veille/index.html
|