Gérer les risques
Aujourd'hui et demain

Risques industriels et environnementaux

Mohammed Boumediane (HTTPCS) : « Attaquer un site Web pour trouver des failles est un droit »

En France, certaines attaques informatiques sont devenues légales. Depuis le 18 décembre dernier, la loi (2013-1168 - article 25) autorise le piratage lorsqu'il est motivé par la ‘‘recherche en sécurité’’. Cette situation ne doit pas effrayer les entreprises... bien au contraire! Explication de Mohammed Boumediane, président de HTTPCS, une société qui scanne les sites Web et les dote d'un sceau de certification pour la navigation sécurisée.

Qu’apporte la modification de la loi autorisant le piratage à des fins de recherche en informatique ?

Passée inaperçue, cette double modification du Code pénal et du Code de la propriété intellectuelle rompt avec une tradition en France qui consiste à se couper du monde et à assurer sa protection seul. Au final, cette politique de sécurité a abouti à une situation dramatique puisque 80% des sites web français sont aujourd’hui criblés de failles critiques. Or ces sites sont reliés d’une façon ou d’une autre au système d’information des entreprises qui les opèrent. En exploitant leurs vulnérabilités, un pirate peut donc accéder à leurs bases de données, à leurs informations personnelles, à la configuration de leurs serveurs et même à leurs mots de passe [les données sont ensuite revendues sur des Black Markets électroniques ou utilisées afin de nuire sur le long terme NDLR]. Concrètement, le nouveau contexte légal veut réunir, dans une logique de coopération, les chercheurs en sécurité informatique (surnommés White-Hat ou ‘‘Chapeaux blancs’’) et les entreprises, dans le but d’améliorer la sécurité informatique de leurs sites internet.

Qui sont ces White Hat et comment peuvent-ils améliorer la sécurité des entreprises ?

Il s’agit de passionnés de sécurité informatique qui, dans le monde entier, aident les organisations à détecter des failles et vulnérabilités au sein de leurs applications en ligne. Sur leur temps libre et souvent pour le plaisir, ils les étudient en profondeur et n’hésitent pas à triturer le code. Puis ils publient les problèmes décelés, sur des forums spécialisés ou – de manière plus confidentielle – en contactant directement les entreprises concernées. À l’étranger, leur aide est appréciée. Parmi les pays les plus avancés en la matière, citons le Royaume-Uni ou encore les États-Unis qui disposent notamment du Full-disclosure. Ce principe autorise la divulgation publique de problèmes de sécurité nouvellement décelés. Parfaitement à l’aise avec cette philosophie, des groupes comme Adobe ou IBM installent même des pages internet dotées de formulaires afin de recueillir les révélations des White Hat. D’autres, comme Google, rémunèrent carrément la découverte de failles… jusqu’à 400.000 dollars! En France, c’était l’inverse jusqu’à la modification de la loi. Jusqu’alors, l’activité des White Hat était totalement illégale. Longtemps, les autorités ont persisté à les assimiler à des pirates mal-intentionnés (à l’instar des Black Hat ou ‘‘Chapeaux Noirs’’). Aveuglées, les entreprises n’hésitaient donc pas à porter plainte dès qu’un chercheur voulait leur venir en aide. Désormais, cette incohérence est levée ! En modifiant la loi, l’Hexagone s’aligne sur le reste du monde en matière de sécurité informatique. Maintenant, tester la sécurité d’un site internet est un droit.

Les entreprises vont donc devoir travailler avec ces passionnés de sécurité. Comment s’y prendre ?

En effet, les entreprises n’auront pas le choix. La modification de la loi va sans doute provoquer une sorte d’effervescence chez les White Hat. Cela risque de se traduire cette année par une vague d’attaques sans précédent. Pourtant, celles-ci seront légales. Les entreprises ne doivent pas avoir peur de ces passionnés mais au contraire s’appuyer sur eux afin d’améliorer leur protection. Le premier pas, c’est l’acceptation de la critique. Le pire, en effet, serait que l’entreprise leur claque la porte au nez… En effet, même motivés par de nobles intentions, les découvreurs de faille peuvent se révéler très susceptibles… à l’instar, d’ailleurs, des pirates qu’ils combattent. Mieux vaut donc entretenir une bonne relation avec eux, de préférence sur le long terme. Dans le cas contraire, l’entreprise peut y laisser des plumes. Notamment parce que les White Hat installent la plupart du temps une porte dérobée vers le système d’information faillible avant même de dévoiler la vulnérabilité découverte. Pour eux, c’est une garantie. Au cas où l’échange se passerait mal…

Propos recueillis par Guillaume Pierre

Commentez

Participez à la discussion

Suivez-nous