Damien Bancal (Zataz)
: "Le problème de la sécurité? Surmédiatisé non, mal expliqué certainement"
Par le Journal
du Net (Benchmark Group)
URL : http://www.journaldunet.com/chat/retrans/031002_bancal.shtml
Lancer l'impression
Mardi 30 septembre 2003
Journaliste spécialisé dans la sécurité informatique
au travers, notamment, du site Zataz.com et du magazine papier du
même nom, Damien Bancal effectue une veille permanente sur l'actualité
du hacking en général et du piratage informatique en particulier.
Une heure de débat pour parler des virus et autres codes malicieux,
du cyber-terrorisme, des méthodes de protection et du métier
de Damien Bancal.
|
Invité :
Damien Bancal, Rédacteur en chef, Zataz Magazine |
Date
: mardi 30 septembre, 18h-19h |
Nombre
de questions retenues : 45 |
|
Faut-il vraiment craindre les intrusions
? Les virus oui, mais les intrusions, quand on est par exemple une
PME, il y a peu de risques non ?
Damien Bancal : Alors oui il faut craindre sans pour autant
tomber dans une paranoïa. Les intrusions comme les virus sont un risque
qui existe ! des solutions existent aussi pour s'en prémunir.
Les
antivirus sont-ils sûrs ?
Le problème des antivirus est qu'ils sont efficaces dans la majorité
des cas quand le virus est connu. Le premier antivirus reste l'utilisateur.
Comment contrer les retro-virus qui attaquent
les anti-virus
Première chose, pour contrer un virus, ver, worm ... il faut penser
à mettre à jour ses logiciels. Ne pas cliquer sur n'importe quel fichier
joint. Le problème des virus qui attaquent antivirus et firewall peut
déjà se contrer par une protection personnelle.
Quelles relations entretenez-vous avec la
communauté des pirates (si communauté il y a ?) ?
Je suis témoin de ce qu'ils font, je tente de
faire mon métier le mieux possible. Et moi aussi je pense que le terme
communauté est plus un vocabulaire marketing qu'autre chose.
Combien coûte une politique sécurité efficace
en entreprise ?
Des experts estiment que ne pas avoir de budget pour la sécurité informatique
est une grosse erreur. Il faut penser humain, les spécialistes qui
sont là pour protéger, penser formation... Pour ce qui est du coût,
difficile de donner un chiffre exact, mais un poste sécurité pour
une entreprise doit être réfléchit. Plus difficile effectivement pour
les PME/PMI.
Qu'entendez vous par protection personnelle
?
Par protection personnelle : 1/ mise à jour de
ses logiciels. 2/ contrôle du flux d'information rentrant et sortant
de la machine. 3/ s'équiper d'outils comme antivirus, firewall. 4/
Une veille technologique devient aussi obligatoire. Suivre l'actualité
informatique...
Quel anti-virus nous conseillez-vous ?
La rédaction a testé l'ensemble des antivirus du marché. Nous avons
apprécié Bitdefenders, KAV...
Hacking et pirate, ce n'est pas la même chose,
vous confirmez ?
Oui, pour moi il faut vraiment différencier les deux. Le premier,
le hacker, même si cela reste avant tout du vocabulaire est pour moi
un citoyen du Web. Quelqu'un qui va aider la communauté. Le second,
le pirate, n'a qu'un seul but, voler, détruire, modifier ... Ils sont
vraiment des opposés.
Votre site a-t-il déjà été hacké ?
Oui, une fois en 1998. Par un certains Stradivirus. L'autre
cas, daté d'il y a 1 mois, n'était pas un piratage mais un
audit en interne qui a ... réussi !
Quel est l'acte de piratage le plus impressionnant
de l'histoire à votre avis ?
Difficile question pour moi car cela voudrait dire qu'il y a des niveaux
dans la bêtise de certains pirates ! Je dirai peut être les virus
comme Code Red, Blaster... Ou encore l'attaque de Yahoo, CNN, par
un gosse qui avait trouvé comme pseudo MafiaBoy.
Ce n'est pas un problème quand vous discutez
en IRC avec un pirate recherché par la police ?
Pour moi non ! J'ai pas mal de pirates, hackers, internautes
qui viennent le parler sur IRC. J'ai avec tous le même dialogue. Le
piratage est inutile et rapporte 5 minutes de pseudo gloire et pas
mal d'ennuis ensuite.
Quand vous tester vous-même (la rédaction)
des sites de société sans avoir leurs accords (sur des failles par
navigateur web), ne pensez vous pas que cette action est illégale
?
Il faut savoir qu'on ne teste jamais sans l'accord de la
société. Je fonctionne ainsi. Dans 80 % des cas les failles découvertes
le sont par des lecteurs. Je contacte l'entreprise. Je lui dit ce
que l'on a reçu. Nous testons ensemble et voilà. J'ai un courrier
type qui dit, " Nous avons ça comme info et bonne correction ". Je
suis très regardant avec la loi (Godfrain pour la France). Pas question
de jouer aux pirates ou hackers, juste citoyen du web.
Y a t-il des systèmes plus exposés que d'autres
?
Chaque système est visé. Windows, Linux, ... Les plus attaqués étant
les plus distribués. Il suffit de voir les sites qui proposent des
"exploits" et autres failles pour voir que chaque jour se sont des
dizaines de failles qui sont découvertes.
Wifi et Sécurité ? est-ce conciliable ?
Le wifi peut être sécurisé, mais on perd totalement l'esprit qui est
le libre échange d'informations par le sans fil. Il est en tout cas
dramatique de voir le nombre de connexions entreprises qu'il est possible
d'intercepter aujourd'hui.
Quel FireWall nous conseillez-vous ?
Difficile question ! Nous
n'avons pas testé suffisamment ce genre de produit. Zone Alarm est
l'un des plus connu.
Quelles sont les motivations des créateurs
de virus ? la notoriété, le panache ?
Disons que nous avons plusieurs
acteurs possible : 1/ Le codeur, l'étudiant, l'ingénieur qui cherche
à comprendre tel ou tel bug. Apres tout un virus n'est rien d'autre
que l'utilisation d'un problème informatique. Il va rarement diffuser
son code. 2/ Le trasher, crasher, celui qui a pour mission de détruire.
Soit nous avons à faire à l'idiot du village dans toute sa splendeur,
soit à une attaque plus "économique". 3/ L'aspect politique. De plus
en plus de virus sont là aussi pour informer sur telle ou telle cause
comme ce virus Sri Lankais ou dernièrement avec le ver Yaha qui participe
à la guerre entre le Pakistan et l'Inde.
Avez-vous des infos sur l'importance de l'intelligence
économique dans les activités de piratage justement ?
Chose est certaine, nous
recevons beaucoup de courriers de "sociétés" ou autres "enquêteurs"
privés pour trouver telle ou telle information, base de données...
Nous répondons toujours pas la négative, mais le piratage est devenu
aussi une arme économique très importante.
Le danger ne vient-il pas plus de l'intérieur
de l'entreprise ?
Le danger pour l'entreprise vient de l'intérieur. Un danger qui est
souvent discret. Le fait de laisser le mot de passe du compte mail
à sa secrétaire par exemple pour un patron. La cas de ce patron se
retrouvant délesté de 17 000 euros par sa secrétaire qui avait pu
jouer avec les comptes bancaires de l'entreprise est assez marquant.
Les virus de l'été étaient ils une préfiguration
d'une attaque cyber-terroriste ?
Je ne pense pas ! Si on prend le cas de Blaster
l'effet n'avait rien de dramatique. Cela aurait été tout autre si
ce dernier n'avait pas été mal codé. Je ne crois pas à ce cyber-terrorisme
internet. Du moins pas celui qui pourrait tout détruire.
Avez-vous des exemples de cyber-terrorisme
?
Oui ! Par exemple un site du gouvernement du Brésil, http://www.gdh.ma.gov.br/.
Le site a été piraté ! Est-ce du cyber-terrorisme ? Pour le gouvernement
Brésilien oui, pour moi c'est un acte de vandalisme idiot.
Intrusion = intelligence économique le plus
souvent ?
Disons que pour le site que je viens de vous montrer on peut se dire
"Se sont des gosses qui font les idiots" mais qui dit que ces gamins
sont manipulés par des "grands frères" qui suivent les actions de
ces pirates afin de voir s'il n'y a pas mieux a faire que de modifier
la page. Voler des informations par exemple en interne.
Qui vous a donné cette info sur le gouvernement
du brésil ?
Pour les sites piratés j'ai plusieurs sources dont des sites web de
veille. Comme zone h ou des "informateurs" plus discrets.
Quelles sont vos sources d'information principales
pour dénicher le scoop ? avez-vous des informateurs ?
Je travaille, comme la majorité des journalistes,
par sources diverses, revue de presse, contacts, interrogations personnelles...
Le piratage "hacktiviste", c'est du cyber-terrorisme
pour vous ?
L'hacktivisme est un cyber-manifestant qui va utiliser le web comme
support de protestation. Pour moi, ce n'est pas du cyber-terrorisme.
Mais comme je l'expliquais tout à l'heure, c'est une question de lecture.
Casser un Mac Donald pour parler de la mal bouffe est-ce un acte de
terroriste ou de citoyen souhaitant alerter sur le problème alimentaire
?
Ne pensez-vous que le problème de la sécurité
informatique est sur-médiatisé ?
Je ne pense pas qu'elle
soit correctement médiatisée. Le problème étant de parler de ce genre
de chose avec des mots simple sans tomber dans le burlesque, la caricature.
Sur-médiatisé je ne pense pas, mal expliqué, certainement.
Vous considérez-vous comme un hacktiviste
? quelles causes défendez-vous ?
Je suis un journaliste qui
traite d'un sujet qui le passionne depuis 15 ans. Je ne suis ni un
pirate, ni un hacker, ni un expert en sécurité informatique. Juste
un témoin. Si je devais défendre une seule cause avec ZATAZ cela serait
de faire comprendre que l'Internet n'est pas l'anarchie ou avoir une
connexion haut débit à 1024 est utile pour surfer.
Que pensez-vous des différents magazines
pirates & hackers en France ?
Je pense qu'il y en a trop et surtout trop de
mauvais. Chaque fois que je sors ZATAZ Magazine je suis malade. Je
tente de faire du reportage et des sujets qui puissent faire comprendre
ce qui existe, ce qu'il faut et ne faut pas faire. Et à chaque fois
je reçois des mails du genre "Comme je peux devenir un grand hacker
?" ... "Savez vous ou je peux trouver Tom raider 92 ?". Donc pour
revenir à la presse sécurité informatique je suis passionné par MISC
ou Le Virus informatique. J'ai du mal par contre avec "devenez hacker
en dix leçons" ou autre "construit ton virus avec une pelle à tarte".
Ne pensez-vous pas qu'il soit possible que
certains virus soient produits par ceux là même qui commercialisent
les produits pour s'en défaire ???
Je ne pense pas ! Honnêtement ils ont pas besoin de faire cela au
vu de la production virale mondiale. Des cas, comme le virus Lady
Diana, avait attiré les regards sur un éditeur. Mais un cas sur des
milliers de virus ne fait pas une majorité.
Comment se protéger du cyber-terrorisme d'état
?
Plusieurs choix : 1/ partir sur la lune. Coûteux. 2/ Eviter de faire
des bêtises. 3/ plus sérieusement éviter les centaines de cartes à
puces que l'ont peut nous fournir à chaque occasion (Magasins...)
Si vous étiez un Hacker .. Qui pirateriez-vous
?
Si j'étais un hacker je ne piraterai personne. J'irai peut être regarder
a mieux protéger ma fille face aux pédophiles qui pullulent aujourd'hui
sur le réseau. Un hacker n'est pas un pirate.
Votre métier vous rend-t-il prudent, paranoïaque
ou philosophe ?
Je suis les trois à la fois. Prudent, car je connais la loi et que
l'on a très vite fait de l'outrepasser. Paranoïaque car avec deux
fausses bombes à la maison, des convocations à la police après la
plainte de malade m'ont obligé à être très regardant. Philosophe car
après tout ceci n'est que de l'informatique.
Quand je parlais de cyber-terrorisme d'état
c'était dans le sens, comment éviter d'être fiché dès qu'on visite
un site traitant du hacking par exemple ou simplement la consultation
de sites politiquement incorrects. La vie privée ça existe encore
?
Je ne pense pas que vous
soyez fiché en passant lire le JDNet ou ZATAZ. Il existe des
outils qui permettent de protéger vos surfs, de vous donner un minimum
d'anonymat. La vie privée est de plus en plus réduite, mais il est
toujours possible de la sauvegarder un minimum.
Que pensez-vous du rapport sur Microsoft
qui soutient la thèse que le monopole de Microsoft constitue un risque
technologique ? Et que pensez-vous du fait que l'un de ses auteurs,
Dan Geer, ait été viré par Microsoft ?
Je n'ai pas assez de recul
pour apporter une réponse claire et précise. Mais il est clair que
Microsoft est un risque si on ne patche pas sa machine. Prenons, encore,
l'exemple de Blaster. Les alertes avaient été données avant l'attaque.
Donc Microsoft, Linux ... même combat face aux pirates.
N'est-ce pas au hacké a se protéger , une
porte mal fermée c'est au yeux de la loi impardonnable ???
Les portes mal fermées il
en existe des milliers. Le hacker, notre citoyen du Web, vous, nous,
... pouvons avertir la société, l'internaute de son problème. Ca reste
de l'informatique. Il est difficilement acceptable par contre qu'une
entreprise d'e-commerce laisse fuire ses fichiers clients.
Moi aussi j'ai envie de mieux protéger mes
enfants (cf. votre réponse + haut). Vous me conseillez quoi?
Pour protéger nos enfants.
D'abord ne pas penser que Internet est devenu le nouveau Baby Sitter.
Il y a 10/15 ans les enfants étaient devant la TV, passif. Aujourd'hui
avec le web, ils sont actifs. Peuvent causer avec d'autres personnes,
copier des fichiers, visiter des sites. Je considère qu'un enfant
ne doit pas surfer seul. C'est comme lui laisser un vélo dans les
mains dans la rue. Il peut s'amuser comme un petit fou... ou avoir
un accident.
L'audit dont vous parliez pour ZATAZ a t'elle
été réalisée par un prestataire extérieur ? Est-ce que des services
style Intranode ont de l'avenir ?
Donc jamais laisser ses
enfants seul. Pour l'audit interne, c'est réalisé par des amis.
Combien vous êtes sur ZATAZ ?
Sur ZATAZ nous sommes 2, Eric Romang et moi. Pour le magazine
papier nous sommes une dizaine.
ZATAZ papier ça tire à combien d'exemplaires
?
72 000 exemplaires. vente moyenne 40 000.
Et tout ça c'est rentable ??
Le site étant "perso" il
n'a pas pour but de rapporter de l'argent juste ne pas m'en coûter.
Le magazine papier rapporte comme un magazine. Il faudra en parler
avec notre éditeur ! Mais j'ai comme un doute sur le fait de devenir
riche en étant journaliste.
Quel est votre parcours et votre formation
?
Bac économique, BTS Communication Publicité, maîtrise info communication.
J'ai débuté comme pigiste dans des magazines informatique à l'age
de 16 ans (Amstar et cpc, Tilt...)
ZATAZ c'est un truc perso ou une vraie structure
commerciale ?
zataz.com est un structure perso. Le côté pro est sur
zataz.net. Le magazine est une structure commerciale. Un magazine
papier.
Est-ce que vos livres sont consultables en
ligne ?
Les livres, non. "Hackers
et pirates sur Internet" le sera une fois que la nouvelle version,
sera en kiosque. Pour les magazines papiers, les anciens numéros sont
sur le site.
Pour qui travaillez-vous ?
Pour moi ! Sinon pour Media
Stone (Netscope, ...) ou encore les Editions Desmaret. Je travaille
aussi pour une vingtaine de radios et en tant que pigiste pour qui
souhaite.
Quels sont vos trois sites Web préférés ?
ojuice.net . l'ensemble des sites d'actualité français et zataz.com.
Avez-vous la trouille que ce chat soit piraté
?
Moi non, mais je pense que les organisateurs oui ! Mais
il n'y a pas vraiment de défit. Pirater le chat voudrait dire que
je dois me taire, autant me le demander :) Je suis accessible via
le site et taz@zataz.com
[Rédaction, JDNet]
|
|