Foll Cédric

La pratique d’un test d’intrusion externe pour un auditeur s’apparente souvent à une partie de roulette. Outre les compétences et l’expérience, à moins de recourir à des techniques de social engineering et autres envois de messages piégés, la compromission du réseau cible tient pour beaucoup à la chance. Et pour une fois, l’avantage est plutôt du côté du défenseur. À moins de disposer d’une surface d’attaque monstrueuse, tout en étant particulièrement peu regardant sur ce qui se passe sur son réseau. L’insécurité généralisée d’Internet faisant que lorsque l’on dispose de failles béantes son réseau tombe sous les coups de boutoir des scripts kiddie bien avant le passage d’un auditeur.

En 2010, Jean-Marc Manach publiait « La vie privée, un problème de vieux cons ? ». Cet ouvrage discute, pour la mettre à mal, l’opinion répandue selon laquelle les natifs du numérique considéreraient qu’il est légitime d’être tracé numériquement et que leur vie privée est une marchandise échangée contre le droit d’accéder gratuitement à des services en ligne.

Le bon fonctionnement des systèmes d’information est devenu tellement critique pour toute organisation, que ce soit ou non son cœur de métier, que toute interruption de service est devenue inenvisageable. Il ne s’agit plus uniquement d’impatience des usagers pestant lorsque leur messagerie n’est plus accessible ou, comme c’est de plus en plus souvent le cas, que leur téléphone est également inutilisable.

Après un début d’année 2016 anxiogène en matière de privation de nos vies privées, les députés ont choisi de détendre l’atmosphère en nous inventant un (nouveau) grand projet numérique souverain. Cette habitude française est née avec le plan-calcul de 1966, et depuis, nos élus et hauts fonctionnaires ont des tonnes d’idées de projets grandioses pour le rayonnement numérique du pays et son indépendance vis-à-vis du reste du monde.

Suite au massacre de Virginia Tech en 2007, Bruce Schneier publia un billet dans Wired intitulé « Virginia Tech Lesson : Rare Risks Breed Irrational Responses » [1]. Il y expliquait combien il était difficile d’évaluer les risques et à quel point notre perception était biaisée. Aussi dangereuses et meurtrières que puissent être certaines menaces, leur rareté induit un risque relativement faible comparé à d’autres menaces que nous sous-évaluons. Schneier explique que paradoxalement nous avons tendance à surévaluer le risque des événements rares et à adopter des mesures de sécurité irrationnelles lorsqu’ils se produisent.

Au début des années 2000, un professeur enseignant la théorie des systèmes d’exploitation m’a affirmé ceci : « Unix a toujours été le système de demain, un jour ce sera le système d’hier sans jamais avoir été celui d’aujourd’hui ». La suite lui a plutôt donné tort, mais s’il est vrai que l’avenir d’Unix en 2000 n’appelait pas forcément à l’optimisme, celui d’IPv6 semblait assuré. L’épuisement des adresses IPv4 induirait mécaniquement l’obligation à plus ou moins courte échéance de passer sur IPv6. Et en attendant d’y être obligé, disposer d’une adresse IPv6 permettait de voir bouger la vache [1].

Coup de tonnerre automnal (ou d’épée dans l’eau) dans le milieu des fournisseurs de services : l’accord dit « Safe Harbor » vient d’être invalidé par la Cour de Justice de l’Union Européenne (CJUE).

L’été 2015 restera marqué par deux leaks massifs de données professionnelles et personnelles très largement relayés par la presse grand public. Deux événements encore relativement inhabituels, mais qui risquent de se reproduire et vont certainement changer profondément la perception des utilisateurs sur la sécurité de leurs données privées stockées en ligne

Beaucoup d’outils de sécurité ont déjà été présentés dans MISC, mais nous souhaitions réaliser un numéro « hors-série » dédié aux différents logiciels pouvant se révéler indispensables à l’expert en sécurité que ce soit pour un pentest, une vérification du bon fonctionnement de ses mesures de protection ou pour un challenge de sécurité.