Mardi 12 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

Le gentleman-hacker laisse sa carte derrière lui

Imprimer Envoyer à un ami Contacter la rédaction
Par Barbara Landrevie le 22/03/2001 - indexel.net
 

Pirate, hacker : derrière ces termes se cachent souvent des individus très différents. Entre des gamins avides de reconnaissance et des prédateurs qui s´attaquent aux données confidientielles, il existe des pirates civilisés. Indexel en a rencontré un. Il est directeur informatique.

 

"Je sais par expérience qu´il y a beaucoup de sites dans lesquels on peut facilement entrer. On peut d´ailleurs trouver sur internet de nombreux sites anglophones d´informations sur les différentes vulnérabilités des systèmes", affirme ce directeur informatique qui a tenu à rester anonyme, car il est lui aussi, à ses heures perdues, un gentleman-hacker. Assis confortablement derrière son bureau, le regard clair rivé sur son écran, il répond aux questions avec bonhomie.

Une forme d'entraînement ?

Ce gentleman-hacker s´exerce en effet à entrer dans certains systèmes d´entreprises privées, "à des fins d´informations pour mieux sécuriser mon propre système", explique-t-il sereinement, "j´ai une éthique. Je me contente de regarder le site et d´étudier ses faiblesses". S´il réussit à entrer "par effraction", il envoie généralement un mail pour prévenir les responsables des dysfonctionnements du système de sécurité qu´il a pu constater. "Il y a des erreurs ou des oublis qui peuvent faire mal. Certains administrateurs omettent simplement de supprimer les démonstrations-test", explique l´espiègle. Ce qui équivaut à laisser la porte d´entrée grande ouverte : "une fois à l´intérieur, rien n´est plus facile pour un pirate que d´effacer tout le site ou de récupérer données et mails et de faire du spam (envoi d´informations non sollicitées, ndlr)", prévient-il.

Administrateurs et pirates ont la même approche

Quand notre gentleman-hacker arrive sur un site, il lui faut d´abord identifier le logiciel. "Je fais une requête web pour analyser l´en-tête retransmise par le serveur car il n´est pas évident de repérer la différence entre deux logiciels tels que Cold fusion et Spectra. Une fois le logiciel identifié, je recherche les trous de sécurité, je les essaie et les exploite". Paradoxalement, les administrateurs réseaux et les hackers procèdent souvent de la même manière pour détecter les failles d´un système, en utilisant parfois des outils analogues comme le logiciel Satan, disponible sur net.Sur certains sites web, les scripts offrent une ouverture directe sur les données. "Avec des "/admin", on peut parfois entrer directement sur l´interface d´administration. Il s´agit ensuite de découvrir l´URL", indique-t-il sans donner plus de détails, question de déontologie "je ne vais tout de même pas donner le bâton pour me faire battre ! ", conclue-t-il en souriant.

Les sites utiles

Voici quelques sites anglophones pour obtenir des informations sur les failles de sécurité :
http://www.cert.org
http://www.securiteam.com
http://www.safermag.com/

Pour des informations en français sur la sécurité informatique :
Observatoire de la Sécurité des Systèmes d´Information et des Réseaux (association loi 1901)

Pour plus d´informations sur le Service d´Enquête des Fraudes aux Technologies de l´Information

Serveurs et informations sur la sécurité informatique dans le monde :
http://www.ossir.org/sur/veille/index.html

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages