Logo Le Polyscope
De toute façon, on est les meilleurs depuis 1967.

Chialage : Hacker éthique malmené

Saviez-vous que ça existe, des bons hackers? Ils sont qualifiés de « white hat » ou « éthiques » dont le but n’est pas de nuire à quiconque, mais de prévenir le pire causé par leurs homologues obscurs. Ce côté obscur est composé de hackers malveillants qualifiés de « black hat » cherchant à faire des profits égocentriques sans considération pour leurs victimes. Mais même un « bon » hacker qui découvre comment stopper un rançongiciel se fait maltraiter par les autorités, faute d’une culture hacker qui s’affiche en public et qui « suit les règles » de la société.

Que nul « faille » sécuriser?

Si vous êtes doué pour trouver des failles de sécurité en informatique et que vous en trouvez une dans un système qui ne vous appartient pas, mais que vous n’êtes pas employé pour faire un tel travail, que feriez-vous? Votre choix sera-t-il de :

  • Débrancher votre accès à Internet durant quelques instants puis faire l’autruche;
  • Alerter l’entreprise à qui appartient le système informatique;
  • Alerter l’entreprise, tout en prenant soin de mettre des mesures pour que personne ne puisse vous retrouver;
  • Avoir préalablement anonymisé son accès Internet avant de partir en exploration à la découverte de failles informatiques pour ensuite, préférablement, alerter les gens concernés de façon anonyme.

Avant de prendre une décision finale, il faut savoir que dès que n’importe qui dit avoir découvert une faille informatique, sans avoir eu l’autorisation de faire la recherche et la découverte de ce genre de problème dans un système informatique privé, cette personne sera socialement considérée coupable jusqu’à preuve du contraire et se fera coller une poursuite pénale ou se faire séquestrer contre son gré par des agents gouvernementaux obscurs selon le niveau de la faille. Sachant tout cela, avez-vous fait votre choix précédent de façon plus éclairée?

Quand le silence règne, le crime sourit

Tout le monde, absolument tout le monde, doit comprendre que tout système informatique n’est pas infaillible. Si un bon samaritain ne se donne pas la peine de cacher son identité et signale qu’il a découvert un problème, ne lui faites donc pas d’ennuis hâtivement! Prendre des actions coercitives contre des individus qui ont signalé de bonne foi un problème aux responsables dudit système informatique n’améliore aucunement le système informatique, ni même sa sécurité. De plus, ces responsables ont pu connaître l’existence d’un problème, sans avoir dépensé des milliers de dollars à des spécialistes pour le chercher et le trouver! C’est du cheap labor! On devrait, non pas encourager tout le monde à faire subir des tests d’intrusion aux systèmes qui ne leur appartiennent pas, mais minimalement remercier ces gens s’ils n’ont pas causé d’ennui. Par exemple, découvrir un bogue sur un appareil que vous avez acheté et alerter le fabricant, il n’y a aucun problème là. Cependant, chercher activement, avec efforts et énergie, des failles de sécurité sur des serveurs d’une entreprise ou d’une institution (que vous n’avez pas acheté, donc qui ne vous appartiennent pas), c’est une mauvaise idée! C’est juste du gros bon sens.

Il reste que si une personne découvre une faille subitement, sans avoir fait d’effort, en seulement 0,5 seconde et 0,1 watt d’électricité, sans causer de désagrément à quiconque, il ne faut pas encourager la loi du silence! Les dirigeants d’entreprises qui encouragent la loi du silence en utilisant l’oppression méritent de se tirer dans le pied, parce qu’ils se tirent dans le pied en tentant d’étouffer le problème, en tentant de jeter le bébé avec l’eau du bain. Faut-il attendre que les dégâts soient faits pour enfin se décider de régler la source du problème? Est-ce qu’il faut attendre un vrai piratage de données pour ensuite se dire : « Ah! on aurait donc dû… » ?

Mieux vaut prévenir que guérir!

Réfléchissez aux derniers piratages pour vol d’informations qui ont été médiatisés : Equifax, Bell Canada, Yahoo!… Si ce sont vos données qui ont été volées, auriez-vous préféré que des gens qui auraient pu découvrir la faille de sécurité plus tôt puissent signaler le problème aux responsables des compagnies respectives pour que ces derniers résolvent le problème plus tôt, avant que tout pète?

Il faut donc que cette mentalité d’oppression à la va-vite cesse et il faut apprendre à accueillir non seulement la critique constructive, mais aussi le fait de se remettre à l’ordre par les autres quand c’est justifié, avant que ce soit trop tard. Tout le monde en retirera des bénéfices, sauf les mauvaises personnes. Je parle seulement du fait de lancer l’alerte concernant les failles de sécurité nouvellement découvertes. Pour le reste, ce sera une autre histoire…




*Les auteurs ont l’entière responsabilité de leurs articles et n’engagent d’aucune façon l’équipe du Polyscope ou de l’AEP, sauf lorsque la signature en fait mention. Nous laissons au lecteur la jugeote de déceler le sarcasme saupoudré sur nos pages.

Dans la même catégorie

Abolissons la St-Valentin !

13 février 2009

Il y a un an, j’étais un fervent partisan de la fête du 14 février. Vous m’avez certainement vu marcher dans toute l’école afin de livrer des roses. Aujourd’hui, je me révolte et j’aimerais abolir le jour de la Saint-Valentin. Bin oui, comme dit mon regretté ami Christian : « il n’y a que les cons qui ne changent pas d’avis ». Pourquoi ? La réponse est simple : j’ai tout simplement fait la...

À Poly sans ma voiture

18 septembre 2009

La chronique « Les nerfs en sphère » débute tout doucement avec une petite crise de vert. Même si j’aimerais bien dénoncer les mauvaises habitudes de certains automobilistes compulsifs, ma description de la Journée sans voiture du mardi 22 septembre prend plus l’allure d’une fête urbaine ou, si vous voulez bien, d’un changement de mode de vie par solidarité. Ainsi, si vous prenez votre voiture mardi parce que vous avez peur de descendre trois étages sous...

Fashion sheep

15 janvier 2010

On considère qu’il y a un mouvement ou une vague lorsque 20 % d’une population adopte quelque chose. Étonnant, mais surtout intéressant. Par exemple, les téléphones cellulaires : à partir du moment où 20 % de la population s’était munie d’un cellulaire il y a une quinzaine d’année, c’était fini, tout le monde allait suivre la vague et maintenant c’est devenu une norme. C’est ce qui se passe avec les sites comme face de twit ou bien...