1000 $ à qui pirate le Web CSO ?
Tout est parti d'une fanfaronnade. Celle d'Acunetix, docte entreprise versée dans la sécurité, et qui osa un jour prétendre que 70% des sites Web étaient piratables. Des chiffres comme çà, la rédaction de CSO France en récupère une bonne vingtaine pour son petit déjeuner. A croire que les attachées de presse sont payées au pourcentage... pourcentage de chiffres catastrophistes, cela va sans dire. Dans la majorité des cas, les communiqués les plus tapageurs sont rapidement recyclés en allume-feu, partant du principe que n'importe quel adolescent sachant lancer Nessus, Snort, Metasploit et quelques autres outils de ce calibre découvrira une multitude de fissures dans le plus sérieux des sites Internet. Colmater ou ne pas colmater, là est la question de la gestion du risque et du coût de la réparation. C'est un tout autre débat. Toujours est-il que le plus modeste des RSSI rétorquerait « 70% ? mon oeil... 85% serait plus proche de la réalité ».. et irait continuer sa sieste vespérale, plus ou moins réconforté par l'idée qu'il y a loin de la découverte d'une faille à son exploitation effective. Mais voilà que chez nos grands frères américains, l'on n'est pas du tout de cet avis. Paul McNamara de Network World rétorque en substance « tout çà, c'est du Fud, du marketing... et je parie 1000 dollars que leur produits n'atteignent pas ces statistiques dans le cadre d'un véritable test Network World : nous allons prendre 3200 sites au hasard, en choisir 10 parmi eux, et voir si nos pourfendeurs de http sont capables d'y extraire des informations privées » Ce à quoi Acunetix répond du tac au tac « Impossible, c'est illégal... ce serait du piratage organisé ». Position prudente et sage, lorsque l'on sait qu'Outre Atlantique, il se traduit en justice chaque année moins de véritables pirates que de responsables sécurité « coupables » d'avoir conduit une opération de Pentesting sans le secours d'un pool d'avocats sérieux. Et c'est là que chez Matasano, Joel Snyder (de la même famille que Window Snyder, la patronne sécu de Mozilla) reprend la genèse de l'affaire et lance une proposition : plutôt que de tomber à bras raccourcis sur des sites innocents, pourquoi ne pas utiliser les serveurs Web d'IDG « Worldwide » ? Après tout, si McNamara a autant le courage de ses opinions que son homonyme durant la guerre du Vietnam, et si la Direction Générale d'IDG veut bien supporter les assertions de ses journalistes, tout çà peut se révéler fort instructif. Comme il fallait s'y attendre,le débat s'est mis à enfler. Sur Slashdot, notamment, ou Snyder défend âprement ses opinions. Sur Chargen également, où les commentaires vont bon train. Depuis, l'ensemble de la rédaction se ronge les ongles, la Correctrice des Notes de la Correctrice est précipitamment rentrée de vacance en disant au Webmestre « Le php, ca doit pas être plus difficile à relire qu'une dictée de Bernard Pivot... je vais te le décoquiller ! » et l'on croit distinguer, dans les bougonnements de l'Admin errant derrière ses armoires de brassage, des bribes de phrases évoquant « ceux qui feraient mieux de la fermer avant que de l'ouvrir et réciproquement ». Au moins, une chose est sure : Depuis que l'on est passé du statut de « spectateur du monde du hacking » à celui de « victime potentielle », on fait moins les fiers, au journal.
