|
Damien
Bancal (Zataz) : "Le problème de la sécurité? Surmédiatisé
non, mal expliqué certainement"
Mardi
30 septembre 2003 |
|
|
|
Journaliste spécialisé dans la sécurité informatique
au travers, notamment, du site Zataz.com et du magazine papier du
même nom, Damien Bancal effectue une veille permanente sur l'actualité
du hacking en général et du piratage informatique en particulier.
Une heure de débat pour parler des virus et autres codes malicieux, du
cyber-terrorisme, des méthodes de protection et du métier de Damien
Bancal.
|
Invité : Damien Bancal,
Rédacteur en chef, Zataz Magazine |
Date : mardi 30 septembre,
18h-19h |
Nombre de questions retenues
: 45 |
|
Faut-il vraiment craindre
les intrusions ? Les virus oui, mais les intrusions,
quand on est par exemple une PME, il y a peu de
risques non ?
Damien Bancal : Alors oui il faut craindre
sans pour autant tomber dans une paranoïa. Les intrusions
comme les virus sont un risque qui existe ! Des
solutions existent aussi pour s'en prémunir.
Les
antivirus sont-ils sûrs ?
Le problème des antivirus est qu'ils sont efficaces
dans la majorité des cas quand le virus est connu.
Le premier antivirus reste l'utilisateur.
Comment contrer les retro-virus
qui attaquent les anti-virus
Première chose, pour contrer un virus, ver, worm
... il faut penser à mettre à jour ses logiciels.
Ne pas cliquer sur n'importe quel fichier joint.
Le problème des virus qui attaquent antivirus et
firewall peut déjà se contrer par une protection
personnelle.
Quelles relations entretenez-vous
avec la communauté des pirates (si communauté il
y a ?) ?
Je suis témoin de ce qu'ils
font, je tente de faire mon métier le mieux possible.
Et moi aussi je pense que le terme communauté est
plus un vocabulaire marketing qu'autre chose.
Combien coûte une politique
sécurité efficace en entreprise ?
Des experts estiment que ne pas avoir de budget
pour la sécurité informatique est une grosse erreur.
Il faut penser humain, les spécialistes qui sont
là pour protéger, penser formation... Pour ce qui
est du coût, difficile de donner un chiffre exact,
mais un poste sécurité pour une entreprise doit
être réfléchi. Plus difficile effectivement pour
les PME/PMI.
Qu'entendez vous par protection
personnelle ?
Par protection personnelle :
1/ mise à jour de ses logiciels. 2/ contrôle du
flux d'information rentrant et sortant de la machine.
3/ s'équiper d'outils comme antivirus, firewall.
4/ Une veille technologique devient aussi obligatoire.
Suivre l'actualité informatique...
Quel anti-virus nous conseillez-vous
?
La rédaction a testé l'ensemble des antivirus du
marché. Nous avons apprécié Bitdefenders, KAV...
Hacking et pirate, ce n'est
pas la même chose, vous confirmez ?
Oui, pour moi il faut vraiment différencier les
deux. Le premier, le hacker, même si cela reste
avant tout du vocabulaire, est pour moi un citoyen
du Web. Quelqu'un qui va aider la communauté. Le
second, le pirate, n'a qu'un seul but, voler, détruire,
modifier ... Ils sont vraiment des opposés.
Votre site a-t-il déjà
été hacké ?
Oui, une fois en 1998. Par un certain
Stradivirus. L'autre cas, daté d'il y a un
mois, n'était pas un piratage mais un audit en interne
qui a ... réussi !
Quel est l'acte de piratage
le plus impressionnant de l'histoire à votre avis
?
Difficile question pour moi car cela voudrait dire
qu'il y a des niveaux dans la bêtise de certains
pirates ! Je dirais peut être les virus comme Code
Red, Blaster... Ou encore l'attaque de Yahoo, CNN,
par un gosse qui avait trouvé comme pseudo MafiaBoy.
Ce n'est pas un problème
quand vous discutez en IRC avec un pirate recherché
par la police ?
Pour moi non ! J'ai pas mal de pirates,
hackers, internautes qui viennent me parler sur
IRC. J'ai avec tous le même dialogue. Le piratage
est inutile et rapporte 5 minutes de pseudo gloire
et pas mal d'ennuis ensuite.
Quand vous testez vous-même
(la rédaction) des sites de société sans avoir leur
accord (sur des failles par navigateur web), ne
pensez vous pas que cette action est illégale ?
Il faut savoir qu'on ne teste jamais
sans l'accord de la société. Je fonctionne ainsi.
Dans 80 % des cas les failles découvertes le sont
par des lecteurs. Je contacte l'entreprise. Je lui
dit ce que l'on a reçu. Nous testons ensemble et
voilà. J'ai un courrier type qui dit, " Nous avons
ça comme info et bonne correction ". Je suis très
regardant avec la loi (Godfrain pour la France).
Pas question de jouer aux pirates ou hackers, juste
citoyen du Web.
Y a t-il des systèmes plus
exposés que d'autres ?
Chaque système est visé. Windows, Linux, ... Les
plus attaqués étant les plus distribués. Il suffit
de voir les sites qui proposent des "exploits" et
autres failles pour voir que chaque jour, ce sont
des dizaines de failles qui sont découvertes.
Wifi et Sécurité ? est-ce
conciliable ?
Le wifi peut être sécurisé, mais on perd totalement
l'esprit qui est le libre échange d'informations
par le sans fil. Il est en tout cas dramatique de
voir le nombre de connexions entreprises qu'il est
possible d'intercepter aujourd'hui.
Quel FireWall nous conseillez-vous
?
Difficile
question ! Nous n'avons pas testé suffisamment ce
genre de produit. Zone Alarm est l'un des plus connus.
Quelles sont les motivations
des créateurs de virus ? La notoriété, le panache
?
Disons
que nous avons plusieurs acteurs possibles : 1/
Le codeur, l'étudiant, l'ingénieur qui cherche à
comprendre tel ou tel bug. Apres tout, un virus
n'est rien d'autre que l'utilisation d'un problème
informatique. Il va rarement diffuser son code.
2/ Le trasher, crasher, celui qui a pour mission
de détruire. Soit nous avons affaire à l'idiot du
village dans toute sa splendeur, soit à une attaque
plus "économique". 3/ L'aspect politique. De plus
en plus de virus sont là aussi pour informer sur
telle ou telle cause comme ce virus Sri Lankais
ou dernièrement avec le ver Yaha qui participe à
la guerre entre le Pakistan et l'Inde.
Avez-vous des infos sur
l'importance de l'intelligence économique dans les
activités de piratage justement ?
Chose
est certaine, nous recevons beaucoup de courriers
de "sociétés" ou autres "enquêteurs" privés pour
trouver telle ou telle information, base de données...
Nous répondons toujours pas la négative, mais le
piratage est devenu aussi une arme économique très
importante.
Le danger ne vient-il pas
plus de l'intérieur de l'entreprise ?
Le danger pour l'entreprise vient de l'intérieur.
Un danger qui est souvent discret. Le fait de laisser
le mot de passe du compte mail à sa secrétaire par
exemple pour un patron. La cas de ce patron se retrouvant
délesté de 17 000 euros par sa secrétaire qui avait
pu jouer avec les comptes bancaires de l'entreprise
est assez marquant.
Les virus de l'été étaient
ils une préfiguration d'une attaque cyber-terroriste
?
Je ne pense pas ! Si on prend
le cas de Blaster l'effet n'avait rien de dramatique.
Cela aurait été tout autre si ce dernier n'avait
pas été mal codé. Je ne crois pas à ce cyber-terrorisme
Internet. Du moins pas celui qui pourrait tout détruire.
Avez-vous des exemples
de cyber-terrorisme ?
Oui ! Par exemple un site du gouvernement du Brésil,
http://www.gdh.ma.gov.br/. Le site a été piraté
! Est-ce du cyber-terrorisme ? Pour le gouvernement
brésilien oui, pour moi c'est un acte de vandalisme
idiot.
Intrusion = intelligence
économique le plus souvent ?
Disons que pour le site que je viens de vous montrer
on peut se dire "ce sont des gosses qui font les
idiots", mais qui dit que ces gamins sont manipulés
par des "grands frères" qui suivent les actions
de ces pirates afin de voir s'il n'y a pas mieux
à faire que de modifier la page. Voler des
informations par exemple en interne.
Qui vous a donné cette
info sur le gouvernement du brésil ?
Pour les sites piratés, j'ai plusieurs sources dont
des sites Web de veille. Comme zone h ou des "informateurs"
plus discrets.
Quelles sont vos sources
d'information principales pour dénicher le scoop
? Avez-vous des informateurs ?
Je travaille, comme la majorité
des journalistes, par sources diverses, revue de
presse, contacts, interrogations personnelles...
Le piratage "hacktiviste",
c'est du cyber-terrorisme pour vous ?
L'hacktivisme est un cyber-manifestant qui va utiliser
le Web comme support de protestation. Pour moi,
ce n'est pas du cyber-terrorisme. Mais comme je
l'expliquais tout à l'heure, c'est une question
de lecture. Casser un Mac Donald pour parler de
la mal bouffe, est-ce un acte de terroriste ou de
citoyen souhaitant alerter sur le problème alimentaire
?
Ne pensez-vous que le problème
de la sécurité informatique est sur-médiatisé ?
Je ne
pense pas qu'elle soit correctement médiatisée.
Le problème étant de parler de ce genre de chose
avec des mots simple sans tomber dans le burlesque,
la caricature. Sur-médiatisé, je ne pense pas, mal
expliqué, certainement.
Vous considérez-vous comme
un hacktiviste ? Quelles causes défendez-vous ?
Je suis
un journaliste qui traite d'un sujet qui le passionne
depuis 15 ans. Je ne suis ni un pirate, ni un hacker,
ni un expert en sécurité informatique. Juste un
témoin. Si je devais défendre une seule cause avec
ZATAZ, cela serait de faire comprendre que l'Internet
n'est pas l'anarchie ou avoir une connexion haut
débit à 1024 est utile pour surfer.
Que pensez-vous des différents
magazines pirates & hackers en France ?
Je pense qu'il y en a trop et
surtout trop de mauvais. Chaque fois que je sors
ZATAZ Magazine, je suis malade. Je tente de faire
du reportage et des sujets qui puissent faire comprendre
ce qui existe, ce qu'il faut et ne faut pas faire.
Et à chaque fois je reçois des mails du genre "Comme
je peux devenir un grand hacker ?" ... "Savez vous
ou je peux trouver Tom raider 92 ?". Donc, pour
revenir à la presse sécurité informatique, je suis
passionné par MISC ou Le Virus informatique. J'ai
du mal par contre avec "devenez hacker en dix leçons"
ou autre "construis ton virus avec une pelle à tarte".
Ne pensez-vous pas qu'il
soit possible que certains virus soient produits
par ceux là même qui commercialisent les produits
pour s'en défaire ???
Je ne pense pas ! Honnêtement, ils ont pas besoin
de faire cela au vu de la production virale mondiale.
Des cas, comme le virus Lady Diana, avaient attiré
les regards sur un éditeur. Mais un cas sur des
milliers de virus ne fait pas une majorité.
Comment se protéger du
cyber-terrorisme d'état ?
Plusieurs choix : 1/ partir sur la lune. Coûteux.
2/ éviter de faire des bêtises. 3/ plus sérieusement
éviter les centaines de cartes à puces que l'ont
peut nous fournir à chaque occasion (Magasins...)
Si vous étiez un Hacker
.. Qui pirateriez-vous ?
Si j'étais un hacker je ne piraterais personne.
J'irais peut être regarder à mieux protéger
ma fille face aux pédophiles qui pullulent aujourd'hui
sur le réseau. Un hacker n'est pas un pirate.
Votre métier vous rend-t-il
prudent, paranoïaque ou philosophe ?
Je suis les trois à la fois. Prudent, car je connais
la loi et que l'on a très vite fait de l'outrepasser.
Paranoïaque car avec deux fausses bombes à la maison,
des convocations à la police après la plainte de
malade m'ont obligé à être très regardant. Philosophe
car après tout ceci n'est que de l'informatique.
Quand je parlais de cyber-terrorisme
d'état c'était dans le sens, comment éviter d'être
fiché dès qu'on visite un site traitant du hacking
par exemple ou simplement la consultation de sites
politiquement incorrects. La vie privée ça existe
encore ?
Je ne
pense pas que vous soyez fiché en passant
lire le JDNet ou ZATAZ. Il existe des outils qui
permettent de protéger vos surfs, de vous donner
un minimum d'anonymat. La vie privée est de plus
en plus réduite, mais il est toujours possible de
la sauvegarder un minimum.
Que pensez-vous du rapport
sur Microsoft qui soutient la thèse que le monopole
de Microsoft constitue un risque technologique ?
Et que pensez-vous du fait que l'un de ses auteurs,
Dan Geer, ait été viré par Microsoft ?
Je n'ai
pas assez de recul pour apporter une réponse claire
et précise. Mais il est clair que Microsoft est
un risque si on ne patche pas sa machine. Prenons,
encore, l'exemple de Blaster. Les alertes avaient
été données avant l'attaque. Donc Microsoft, Linux
... même combat face aux pirates.
N'est-ce pas au hacké de
se protéger , une porte mal fermée c'est aux yeux
de la loi impardonnable ???
Les portes
mal fermées, il en existe des milliers. Le hacker,
notre citoyen du Web, vous, nous, ... pouvons avertir
la société, l'internaute de son problème. Ca reste
de l'informatique. Il est difficilement acceptable
par contre qu'une entreprise d'e-commerce laisse
fuire ses fichiers clients.
Moi aussi j'ai envie de
mieux protéger mes enfants (cf. votre réponse +
haut). Vous me conseillez quoi?
Pour protéger
nos enfants. D'abord, ne pas penser que Internet
est devenu le nouveau Baby Sitter. Il y a 10/15
ans, les enfants étaient devant la TV, passifs.
Aujourd'hui, avec le Web, ils sont actifs. Ils peuvent
causer avec d'autres personnes, copier des fichiers,
visiter des sites. Je considère qu'un enfant ne
doit pas surfer seul. C'est comme lui laisser un
vélo dans les mains dans la rue. Il peut s'amuser
comme un petit fou... ou avoir un accident. Donc
ne jamais laisser ses enfants seuls.
L'audit dont vous parliez
pour ZATAZ a-t'il été réalisé par un prestataire
extérieur ? Est-ce que des services style Intranode
ont de l'avenir ?
Pour l'audit
interne, c'est réalisé par des amis.
Combien vous êtes sur ZATAZ
?
Sur ZATAZ nous sommes 2, Eric Romang
et moi. Pour le magazine papier, nous sommes une
dizaine.
ZATAZ papier, ça tire à
combien d'exemplaires ?
72 000 exemplaires. Vente moyenne 40 000.
Et tout ça c'est rentable
??
Le site
étant "perso", il n'a pas pour but de rapporter
de l'argent juste ne pas m'en coûter. Le magazine
papier rapporte comme un magazine. Il faudra en
parler avec notre éditeur ! Mais j'ai comme un doute
sur le fait de devenir riche en étant journaliste.
Quel est votre parcours
et votre formation ?
Bac économique, BTS Communication Publicité, maîtrise
info communication. J'ai débuté comme pigiste dans
des magazines informatiques à l'age de 16 ans (Amstar
et cpc, Tilt...)
ZATAZ c'est un truc perso
ou une vraie structure commerciale ?
Zataz.com est un structure perso. Le côté
pro est sur Zataz.net. Le magazine est une structure
commerciale. Un magazine papier.
Est-ce que vos livres sont
consultables en ligne ?
Les livres,
non. "Hackers et pirates sur Internet"
le sera une fois que la nouvelle version sera en
kiosque. Pour les magazines papiers, les anciens
numéros sont sur le site.
Pour qui travaillez-vous
?
Pour moi
! Sinon pour Media Stone (Netscope, ...) ou encore
les Editions Desmaret. Je travaille aussi pour une
vingtaine de radios et en tant que pigiste pour
qui souhaite.
Quels sont vos trois sites
Web préférés ?
ojuice.net . l'ensemble des sites d'actualité français
et zataz.com.
Avez-vous la trouille que ce chat soit piraté ?
Moi non, mais je pense que les organisateurs oui ! Mais il n'y a pas
vraiment de défit. Pirater le chat voudrait dire que je dois me taire, autant
me le demander :) Je suis accessible via le site et taz@zataz.com
|
|
Propos recueillis par [Rédaction, JDNet] |
|