Chasseur de failles, espèce en voie d'extinction
Sale temps pour les chasseurs de failles. On avait assisté à la disparition des « enfants terribles » de l'Internet Explorer Hack Club dans le courant de l'année 2005 -Paul de Greyhat « première version », http-equiv, Liu Die Yu période radical coding...-, on avait été témoin des rodomontades et intimidations brutales d'Oracle envers David Litchfield, on avait suivi les rebondissements de l'affaire Cisco vs Michael Lynn... c'étaient bien là les signes avant-coureurs d'une situation générale : le métier de chasseur de failles, même sous la bannière Blanc-Persil de l'ethical hacking, est un métier dangereux. Il faut lire à ce sujet « Vulnerabilities is for the Brave » de Pascal Meunier, de l'Université de Purdue. Que l'on trempe dans le PenTest ou la quête du Buffer Overflow, « la preuve de la vulnérabilité est également la preuve que vous venez d'enfreindre la loi » explique l'auteur. Se pose alors la question des contrats d'intervention entre consultants -ou employés mêmes- et entreprise, fixant les limites de « l'immunité temporaire de fonction ». Sans aucun doute, un certain cadre juridique est nécessaire. Mais à y bien regarder, les limites de ce cadre fixent précisément les limites de la recherche. Et par là même les secteurs que nul ne pourra tester et par lesquels tenteront de pénétrer les pirates. Trait au blanc... ou trait aux noirs ? La profession de chasseur de failles, dont le rôle était précisément de tenir en « pat » (et non pas en échec) les intrus éventuels, doit de plus en plus faire face à un adversaire considérablement plus redoutable que le black hat : l'avocat. Wired passe une seconde couche avec un papier titrant « Trouves un bug, vas tout droit en prison ». Le catalyseur de cet article est le même que celui de Pascal Meunier, mais les développements sont sensiblement différents. A remarquer que la personne ayant écrit le papier enseigne le droit des S.I. à Stanford. Une approche strictement identique, à quelques détails près, aurait pu être signée par un Maître Iteanu, les règlementations européennes en la matière n'étant pas tellement éloignées des dispositions légales US. Les failles, d'accord pour les trouver, mais entre 9H et 18H, en semaine, et sans toucher à ce qui pourrait gêner le fonctionnement du service. Tout çà fait un peu penser aux fameux « pentest » certifiés et confidentiels qu'EDF publie pour témoigner de la solidité de ses centrales nucléaires. S'il est vrai qu'une utilisation anarchique des différents outils et méthodes de tests de pénétration peut provoquer de sérieux désagréments, il faut également admettre que les entreprises qui utilisent ce genre d'outil ont à la fois une image de marque à garantir et un comportement éthique à assurer.
