Dans l’article
sur Anonymous parut sur le blog
du Hackfest. La question suivante
était lancer; que devrait être le corpus de connaissance minimale que tout
professionnel de sécurité informatique devrait posséder ? J’ai vous vous
en doutez, sinon quel serait la pertinence de se papier, quelques opinions à ce
sujet.
En premier lieu examinons la question,
pour ce faire ramenons le dans sont contexte. L’auteur nous dépeint une
situation ou il est renversé par le fait que beaucoup de professionnel de la
sécurité ne connaissent pas Anonymous
le groupe underground de l’heure. Surprise que je partage aussi d’ailleurs car Anonymous
ont fait parlé d’eux a plusieurs reprise dans les dernières années jusque dans
les médias traditionnel (tv, radio, journaux, bouche à oreille, signaux de
fumée, etc). Alors si votre grand-mère à la possibilité d’avoir entendu parler
d’Anonymous
on peut dès lors se questionner sur la volonté de resté à jours d’un
professionnel de la sécurité.
À la lumière de cette mise en contexte,
nous pouvons comprendre que la question de l’auteur sous entendait par
connaissance minimale, une certaine place laissez à l’underground, la
contre-culture et l’historique du hacking. Donc serait-il pertinent d’inclure
dans la formation de nos professionnel en sécurité informatique des
connaissances sur Phrack,
The
Cult of the Dead Cow, Kevin Mitnick,
The
hacker manifesto, Anonymous,
Lulzsec,
Antisec,
et autre groupe d’importance mondiale ou locale auquel ils devront vraisemblablement
être confronté durant leurs carrières.
Sun Tzu
disait dans l’art de la guerre,
que de posséder le maximum d’information sur sont ennemi était essentiel pour
le maitriser. Donc en suivant cette logique, la réponse serait définitivement
oui. Par contre deux facteurs sont à prendre en compte afin de nuancer cette
évidence.
·
Le domaine de la sécurité
informatique ne comprend pas de volet, contre-attaque n’y de maitrise de
l’adversaire. Il doit se limiter pour des raisons légales (dans la plus part
des pays civilisés). Les professionnels de la sécurité doivent donc ainsi se
contenté de bâtir des murs et de monté des forteresses technologique et espérer
que personne ne réussira à s’y creusé un trou pour rentré.
·
Confiné à l’unique rôle de
défenseur, l’ennemi devient l’exploit, le DoS ou la technique utilisée pour by-passer
les protections, le hacker ne devient qu’un vecteur. En voyant les réalités
sous cet angle, le professionnel de la sécurité se devra de connaitre les
différents exploits plus que le nom de ceux qui les expédie. Dans cette optique
on peu considérer que les formations pour nos professionnels y sont tout à fait
adapter.
Si la sécurité informatique n’aurait qua se
limiter à faire des matchs entre des versions de software et des listes
d’exploit, connaitre le nom et l’historique des principaux groupe n’aurait aucun
autre intérêt que de servir les connaissances générale du professionnel de la
sécurité. Cependant, l’ingéniosité des hackers ne se défini pas par des règles
pré établie. Ceux-ci feront preuve de beaucoup d’imagination pour arriver à
leurs fins, donc des connaissances sur la contre-culture et l’underground
informatique aideront le professionnel de la sécurité à se faire une idée sur
la façon dont les hackers peuvent réfléchir et posséder une maitrise de « l’esprit
du hacker » permettra de pousser la
sécurité d’un serveur au-delà des pentest standardisé. Permettra de détecter
des failles de logique, ou même de prévoir des filets protecteurs en cas de
brèche causé par le facteur humain. Le facteur humain étant impossible à
patcher avec du code, et demande des compétences social que bien peu de
professionnel en sécurité maitrise.
Pour ces raisons je crois qu’il serait
pertinent que les professionnels de la sécurité soit à tout le moins briefé sur
la psychologie des hackers. D’un côté plus ludique, ces connaissances aiderais
aussi à combler le faussé qui se creuse de plus en plus entre les
professionnels de la sécurité et l’alma mater underground dont ceux-ci émerge.
Cette article fait
parti de la série, réplique à l’article sur anonymous parut sur le blog du
hackfest. Vous pouvez lire les 3 autres articles reliés ici.
Aucun commentaire:
Enregistrer un commentaire