Lundi 9 février 2004 |
Hacking
éthique : le "oui, mais..." de la sécurité
Le recours à des professionnels du hacking, pour tester et évaluer une architecture, est nécessaire mais loin d'être suffisant. Retour sur une activité qualifiée d'éthique par certains. --> |
|
En août dernier avait
lieu à Las Vegas un tournoi de hackers - le Root
Fu - dont le but était, pour les équipes
en compétition, de prendre d'assaut le système
adversaire. Des techniques traditionnelles de piratage
étaient bien entendu utilisées mais dans
un esprit constructif, qualifié par certains d'éthique.
Régulièrement, certaines entreprises font
appel à ce type de hackers spécialisés
pour tester la solidité de leur dispositif de sécurité,
faire l'inventaire des failles existantes, recenser les
trous par lesquels de véritables pirates pourraient
s'engouffrer, que ce soit au plan applicatif, des liaisons
sans fil ou de l'infrastructure physique. Une démarche
nécessaire mais en aucun cas suffisante car elle
doit s'intégrer dans une politique sécurité
beaucoup plus large.
Une simple liste ne suffit pas
La seule liste
des vulnérabilités détectées
au sein d'un système n'apporte en soi aucune information
de valeur à l'entreprise qui fait appel aux services
d'un hacker "éthique". L'entreprise sait,
certes, une fois le scan réalisé,
où se situent ses points faibles mais ne peut -
si aucune analyse ou mise en perspective n'est réalisée
- prendre les bonnes décisions.
Il est ainsi indispensable de classer ces failles par
ordre de gravité, d'urgence, sachant que certaines
d'entre elles peuvent s'avérer de nécessaires
portes d'accès, notamment pour échanger
des flux commerciaux ou informationnels avec partenaires
et fournisseurs réguliers.
Par ailleurs, certaines failles ne mèneront les
vrais pirates vers aucune zone sensible alors que d'autres
pourront donner accès aux données commerciales
les plus critiques. Le traitement, les délais,
les moyens mis en oeuvre ne seront donc pas les mêmes.
S'inscrire
dans la continuité et la globalité
Le recours à
des hackers professionnels permet de photographier, à
un instant "t", l'état d'une architecture.
Cet état, par définition mouvant, n'est
donc plus valable le lendemain de la "capture d'écran".
Cette dernière peut donc constituer, pour l'entreprise,
un idéal point de départ pour mettre en
oeuvre une politique de sécurité plus globale
et plus étalée dans le temps, notamment
pour suivre les évolutions de la plate-forme (ajout
d'applications, changements de machines, etc.).
Qui plus est, les "oeuvres"
d'un hacker professionnel doivent être très
strictement cadrées, non pas par manque de confiance,
mais par nécessité de savoir où commence
et où se termine la mission. Cela permet, entre
autres choses, de rester très précis sur
ce qui a été effectué, donc de bien
déterminer le périmètre exploré
et par là même d'éviter tout triomphalisme
trompeur, piège parmi les pièges en matière
de sécurité.
|
|
|
|