Gérer les risques aujourd'hui et demain

Mohammed Boumediane (HTTPCS) : « Attaquer un site Web pour trouver des failles est un droit »

15-01-2014

En France, certaines attaques informatiques sont devenues légales. Depuis le 18 décembre dernier, la loi (2013-1168 - article 25) autorise le piratage lorsqu'il est motivé par la ‘‘recherche en sécurité’’. Cette situation ne doit pas effrayer les entreprises... bien au contraire! Explication de Mohammed Boumediane, président de HTTPCS, une société qui scanne les sites Web et les dote d'un sceau de certification pour la navigation sécurisée.

Mohammed Boumediane, président de HTTPCS,
société spécialisés dans la recherche automatique
de vulnérabilités.
Qu'apporte la modification de la loi autorisant le piratage à des fins de recherche en informatique ?
Passée inaperçue, cette double modification du Code pénal et du Code de la propriété intellectuelle rompt avec une tradition en France qui consiste à se couper du monde et à assurer sa protection seul. Au final, cette politique de sécurité a abouti à une situation dramatique puisque 80% des sites web français sont aujourd'hui criblés de failles critiques. Or ces sites sont reliés d'une façon ou d'une autre au système d'information des entreprises qui les opèrent. En exploitant leurs vulnérabilités, un pirate peut donc accéder à leurs bases de données, à leurs informations personnelles, à la configuration de leurs serveurs et même à leurs mots de passe [les données sont ensuite revendues sur des Black Markets électroniques ou utilisées afin de nuire sur le long terme NDLR]. Concrètement, le nouveau contexte légal veut réunir, dans une logique de coopération, les chercheurs en sécurité informatique (surnommés White-Hat ou ‘‘Chapeaux blancs’’) et les entreprises, dans le but d'améliorer la sécurité informatique de leurs sites internet.

Qui sont ces White Hat et comment peuvent-ils améliorer la sécurité des entreprises ?
Il s'agit de passionnés de sécurité informatique qui, dans le monde entier, aident les organisations à détecter des failles et vulnérabilités au sein de leurs applications en ligne. Sur leur temps libre et souvent pour le plaisir, ils les étudient en profondeur et n'hésitent pas à triturer le code. Puis ils publient les problèmes décelés, sur des forums spécialisés ou – de manière plus confidentielle – en contactant directement les entreprises concernées. À l'étranger, leur aide est appréciée. Parmi les pays les plus avancés en la matière, citons le Royaume-Uni ou encore les États-Unis qui disposent notamment du Full-disclosure. Ce principe autorise la divulgation publique de problèmes de sécurité nouvellement décelés. Parfaitement à l'aise avec cette philosophie, des groupes comme Adobe ou IBM installent même des pages internet dotées de formulaires afin de recueillir les révélations des White Hat. D'autres, comme Google, rémunèrent carrément la découverte de failles... jusqu'à 400.000 dollars! En France, c'était l'inverse jusqu'à la modification de la loi. Jusqu'alors, l'activité des White Hat était totalement illégale. Longtemps, les autorités ont persisté à les assimiler à des pirates mal-intentionnés (à l'instar des Black Hat ou ‘‘Chapeaux Noirs’’). Aveuglées, les entreprises n'hésitaient donc pas à porter plainte dès qu'un chercheur voulait leur venir en aide. Désormais, cette incohérence est levée ! En modifiant la loi, l'Hexagone s'aligne sur le reste du monde en matière de sécurité informatique. Maintenant, tester la sécurité d'un site internet est un droit.

Les entreprises vont donc devoir travailler avec ces passionnés de sécurité. Comment s'y prendre ?
En effet, les entreprises n'auront pas le choix. La modification de la loi va sans doute provoquer une sorte d'effervescence chez les White Hat. Cela risque de se traduire cette année par une vague d'attaques sans précédent. Pourtant, celles-ci seront légales. Les entreprises ne doivent pas avoir peur de ces passionnés mais au contraire s'appuyer sur eux afin d'améliorer leur protection. Le premier pas, c'est l'acceptation de la critique. Le pire, en effet, serait que l’entreprise leur claque la porte au nez... En effet, même motivés par de nobles intentions, les découvreurs de faille peuvent se révéler très susceptibles... à l'instar, d'ailleurs, des pirates qu'ils combattent. Mieux vaut donc entretenir une bonne relation avec eux, de préférence sur le long terme. Dans le cas contraire, l'entreprise peut y laisser des plumes. Notamment parce que les White Hat installent la plupart du temps une porte dérobée vers le système d’information faillible avant même de dévoiler la vulnérabilité découverte. Pour eux, c'est une garantie. Au cas où l’échange se passerait mal...

Propos recueillis par Guillaume Pierre

Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.

Vos réactions (6)

  • J'utilise HTTPCS pour magento et je suis satisfait

    19.05.2015 | 11:27

    Pour ma part j'utilise HTTPCS sur les sites de mes clients (magento).
    Ils assurent maintenant la sécurité, la disponibilité et l'intégrité
    Bref j'aime bien ;)

  • Je pense que vous êtes jaloux non ?!

    10.05.2015 | 16:33

    @SysDream (05.03.2015 | 08:26) je pense que vous êtes jaloux non ?!
    Boumediane je le connais depuis ses débuts chez VUPEN. Et je peux te dire (@sysdream si tu es vraiment sysdream et pas un usurpateur ;) ) que c'est un gars vraiment brillant et très serviable.
    Désolé mais votre commentaire est abject et reflète votre état d'esprit et votre jalousie envers une personne qui réussit.
    Affaire à suivre
    *Boumediane BRAVO pour votre belle entreprise. Longue VIE
    IsacNah

  • HTTPCS = solution open source mais payante!

    05.03.2015 | 08:26

    Franchement, qui peut croire à des absurdités mentionnés dans l'article...
    Google ou Adobe utiliseraient la solution... non mais franchement je pense qu'il y a vraiment une incompréhension sur la nature même de la sécurité informatique! M.Boumediane est un simple opportuniste qui cherche la médiatisation a outrance et ne produit rien. Bien évidemment, Google n'a même pas idée de l'existence de cette société!

    HTTPCS ne fait que réutiliser des logiciels de sécurité open source, gratuits, ou il a ajouté un dashboard graphique. C'est tout!! Et c'est très loin derrière des solutions de même type comme Qualys, Acunetix qui sont des solutions professionnelles!
    Clairement, un informaticien lamba peut utiliser gratuitement les mêmes logiciels, au lieu d'utiliser leur solutions à plusieurs milliers d'euros!

    Bravo M.Boumediane, vous êtes très fort pour tromper les gens qui ne sont pas de la partie sécurité informatique!

  • faille de sécurité critique

    11.07.2014 | 12:50

    Pourquoi alors quand des voleurs braquent une banque pour trouver des failles ils vont en prison s'ils tombent sur des flics.Ce qui est amusant dans les lois française c'est qu'il y a deux poids deux mesures.

  • Septique

    27.05.2014 | 21:42

    Malheuresement, les failles détectées sont souvent trop basiques pour apporter une réelle plus-values...

    Bonne continuation pour la suite

  • Fan de la solution

    15.01.2014 | 17:56

    Nous utilisons HTTPCS depuis plusieurs mois. Cette solution nous a permis d'identifier quelques failles de sécurité qui auraient pu nous coûter TRES cher. Nous remercions ZIWIT la société éditrice pour cette solution complète et pleine d'avenir !

    Nous affichons depuis fièrement le sceau sur notre site Internet.

Réagissez

Votre adresse email ne sera pas publiée
Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.