| Vous êtes perdus au milieu des techniques de défense, des failles découvertes chaque jour et des nouvelles menaces en matière de sécurité informatique ? Et si la solution était de se mettre dans la peau d´un pirate et d´anticiper ses attaques ? Plusieurs SSII et organismes de formation proposent aujourd´hui aux informaticiens cet échange de rôles via des "cours de piratage". Tout en veillant à ce que leur enseignement ne tombe pas entre de mauvaises mains. Explications de Philippe Jumelle, de Vigilante University, qui propose ces formations.
Indexel : Comment l´idée d´un cours de piratage est-elle née ?
Philippe Jumelle : Les informaticiens ont aujourd´hui une soif d´information sur la sécurité. Il y a très peu de formation dans ce domaine dans les écoles d´ingénieur et même si les DSI ont quelques notions en sécurité, ils n´ont pas une vue d´ensemble. Or, avec le développement de l´Internet, ils ont des impératifs beaucoup plus importants et doivent anticiper et prévenir les problèmes. Ils ont besoin d´un regard différent pour détecter les vulnérabilités et empêcher les attaques.
Qui peut participer à ces cours ?
Nos cours sur la sécurité informatique en général sont ouverts à tous les informaticiens, DSI, chefs de projets, responsables sécurité ou techniciens réseaux. Mais les "cours de piratage" sont en accès limité. Nous les réservons à nos clients existants, qui ont déjà suivi d´autres cours sur la sécurité et qui souhaitent approfondir leurs connaissances. Apprendre les techniques de piratage ne peut pas être la première étape pour un stagiaire. Nous voulons ainsi éviter que ces cours tombent entre de mauvaises mains.Comment se déroule la formation ?
Après avoir expliqué les différentes techniques de piratage et des moyens de protection, nous mettons à disposition des stagiaires des machines cibles, qui sont reliées à notre réseau de test. Ils devront essayer de s´infiltrer dans le réseau avec les outils qu´on leur fournit et pirater un site de test que nous avons créé.
Vous enseignez carrément des techniques comme l´IP Spoofing, le deni de service ou l´attaque par cheval de Troie ?
Ces techniques ne sont pas très sérieuses, elles sont utilisés en général par des "script-kiddies" qui n´ont pas de compétences pour voler des données importantes et qui se contentent de défigurer un site. Les pirates plus pointus et qui veulent accéder aux données confidentielles font appel à d´autres moyens comme le scan des ports ou l´exploitation des failles de sécurité. L´injection SQL fait aussi partie des techniques les plus efficaces : il s´agit d´entrer des données non prévues par le programmeur dans un formulaire. Le logiciel est "troublé" par cette mauvaise manipulation et ouvre des fichiers qu´il ne devrait pas normalement ouvrir. Et le pirate peut ainsi accéder aussi bien aux numéros de carte bleue qu´à des mots de passe.Les responsables qui participent à ces stages sont-ils conscients des risques ?
Beaucoup ne savent pas que lorsqu´un site fonctionne avec une base de données, il est potentiellement vulnérable. Nous voyons tous les jours des sites qui présentent des bugs qui sont pourtant connus depuis longtemps. Dans les cours, nous ne travaillons qu´avec des serveurs de test, mais si un stagiaire a la responsabilité d´un site web, nous pouvons aussi faire des essais sur son site. Si l´URL en question est vulnérable, il est en général content de l´apprendre car il peut ensuite tourner vers son prestataire ou sa direction pour demander des budgets supplémentaires. Mais il arrive aussi qu´il perde un peu la face vis-à-vis d´autres stagiaires.
Pour plus d'informations Plusieurs organismes et SSII spécialisées proposent des formations sur la sécurité informatique. Certains -comme Bull, Lexsi et Vigilante - enseignent aussi des techniques de piratage pour donner aux stagiaires la possibilité d´anticiper les attaques. Il s´agit en général des formations de quelques jours. Prix : à partir de 1000 euros.
|