Spécial sécurité : Wikileaks, bientôt la fin des analyses post-mortem ?
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, pointent du doigt un article qui expliquent comment éviter de se faire piéger les désormais fameux anonymes, puis se penchent une nouvelle fois sur le cas Wikileaks et sur l’utilité d’un tel service.
Sommaire
1 - Anonymes : les portes ouvertes s’enfoncent à la pelle
2 - Wikileaks : bientôt la fin des analyses post-mortem ?
1 - Anonymes : les portes ouvertes s’enfoncent à la pelle
Tim Green, de Network World, vient de publier un article intitulé « 7 façons d’éviter d’être attaqué par les Anonymes ». Il y reprend les principales erreurs et mauvaises pratiques qui ont permis la mise à sac du cabinet HB Gary Federal. L’on y apprend comment observer à la lettre une bonne politique de création et d’usage de mots de passe et l’on se fait sermonner sur le manque de préparation des employés envers les tentatives de récupération d’information par ingénierie sociale.
Si ces conseils sont bels et bons, il y a peu de chances qu’ils soient un jour appliqués à la lettre (car bien souvent trop complexes à suivre), ou qu’ils puissent constituer une garantie absolue d’invulnérabilité… il existe tellement de défauts ou d’imperfection dans un système d’information.
L’affaire HBGary est essentiellement politique et tactique. Cette longue succession d’erreurs de jugement et de poussées de testostérones n’a prouvé qu’une chose : l’agressivité aveugle répond à l’agressivité aveugle, l’infantilisme à l’infantilisme et la fanfaronnade à la fanfaronnade. Et contre ce genre d’attitude, il n’existe ni norme iso, ni patch de sécurité. Seule l’éducation et l’intelligence auraient pu mettre un terme à cette situation, et elles ont fait défaut d’un côté comme de l’autre. Ce qui est inexcusable de la part de collaborateurs responsables occupant des postes clef au sein d’une entreprise de sécurité.
A noter, dans la masse de documents HBGary « fuités » sur Pirate Bay et autres médias, quelques analyses de botnet dignes des papiers du Luhrq haute époque et sélectionnés amoureusement par Cryptome.
2 - Wikileaks : bientôt la fin des analyses post-mortem ?
Mark Gibbs de Network World revient une dernière fois sur les « trois leçons à tirer de Wikileaks ». Des leçons inégales, parfois très justes (une fois divulguée, il est impossible de stopper une révélation, aucun organisme n’est à l’abri d’une fuite), parfois plus discutables (« les gens veulent absolument tout savoir des secrets des gens qui nous gouvernent, leurs raisons d’imposer le secret sur certaines choses, la personne à l’origine de cette mise au secret et le temps durant lequel ce secret a été maintenu »). Sans secret, il n’y aurait plus de diplomatie… et c’est précisément ce point en particulier qui a fait réagir les politiques de tous les pays, concernés ou non. Certes, le côté « scandale à la une » a pu amuser, intéresser, révéler quelques affaires et passionner le public. Mais l’absence de secret, l’espoir d’une politique régie par une honnêteté absolue, l’utopie d’une transparence gouvernementale exposée à tous les habitants de la planète frise l’angélisme (bisounoursing en leet speak) le plus béat et irréfléchi. L’on attribue à Napoléon Bonaparte le conseil suivant : si l’on souhaite prendre un bon repas, il ne faut pas passer par la cuisine. En d’autres termes, si l’on désigne des « commis » par voie électorale, c’est aussi et en partie pour éviter d’avoir à contempler les recettes parfois écœurantes et les pratiques douteuses de la realpolitik.
Gibbs aurait pu tout de même ajouter un dernier point à la liste des leçons Wikileaks, et pas l’une des moindres : les entreprises et structures gouvernementales vont commencer à comprendre les affres des éditeurs de musique de variétés et autres industriels du divertissement qui voient le fruit de leur labeur exposé sur les index de Pirate Bay ou de IsoHunt. Tant que le risque n’impactait que les fins de mois de Britney ou le compte en banque de Justin, l’on pouvait encore s’illusionner sur l’efficacité d’une Hadopi et l’espérance de peur instillée par quarteron de supplétifs de la justice sans juge et sans tribunal. Mais depuis que l’on peut y piocher les détails des contrats et courriels d’un HBGary, les notes diplomatiques d’un Etat ou les écarts de conduite d’une armée sur le terrain, il faudra peut-être trouver un peu plus dissuasif qu’un envoi de lettres recommandées ou qu’un « kill switch » Internet.