IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Pourquoi les hackers éthiques sont-ils très mal perçus par les firmes ?

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 558
    Points
    32 558
    Par défaut Pourquoi les hackers éthiques sont-ils très mal perçus par les firmes ?
    Pourquoi les hackers éthiques sont-ils très mal perçus par les entreprises ?
    l’un d'eux fait les frais du FBI

    Le 16 mars dernier, le FBI rendait une petite visite de courtoisie à un certain Helkowski. Agents spéciaux, matériels ultras Tech, tout est en place pour ce qui s’annonce comme un raid mémorable. Le FBI précèdera Helkowski à sa maison, lui qui était sorti avec sa dame.

    De retour, Helkowski remarque la présence des voitures du FBI devant sa porte avec des agents postés là. Comme toute personne normale, il se demande en son for intérieur « est-ce que quelque chose de grave s’est produit ? » puis il se rapproche de son domicile. Une chose que s’il y avait à refaire, il aurait surement pensée par deux fois.

    Il a été intercepté rapidement par un agent du FBI. Et avant de comprendre ce qui se passait réellement, lui et sa dame sont invités à descendre du véhicule. Ils sont ensuite conduits à l’intérieur sous escorte des agents. La femme fut emmenée dans une pièce où elle reçut comme consigne de faire taire le chien, et son mari dans une autre ou il devait subir l’interrogatoire de l’agent spécial Jeremy Bucalo. Qu’a donc fait réellement Helkowski pour que le FBI intervienne ?

    L’histoire remonte au 27 février. Helkowski travaille alors pour Canton Group une petite firme de création de site web. Lors d’une descente relative à l’emploi chez un de leurs clients (Université du Maryland), il repère une faille de sécurité critique dans le réseau de l’université du Maryland, qui donnait la possibilité à un hacker distant de rentrer en possession d’informations personnelles des utilisateurs du réseau. Il a fait un rapport en bonne et due forme au département concerné de l’institution universitaire.

    Cependant, rien n’a été fait, même si à Maryland on annonçait aux nouvelles que des correctifs avaient été apportés. Pour se faire entendre et attirer l’attention, Helkowski a pénétré le réseau de l’université et récupéré les informations personnelles d’utilisateurs, parmi lesquels ceux du département IT. Il les a ensuite contactés de façon anonyme, pour leur demander d’apporter des solutions au problème.

    L’université a alors contacté le FBI, qui a pu remonter jusqu'à Helkowski après investigations. Le hacker clame que ses intentions n’étaient pas malhonnêtes. Il ne s’est pas servi de ces données à des fins personnelles, il voulait juste attirer l’attention.

    Non seulement il s’est fait viré de son boulot, sa femme a reçu un traumatisme important, mais l’histoire ne s’arrête pas là. Helkowski ne sait pas si des charges seront retenues contre lui pour des poursuites judiciaires, même si pour l’instant rien n’a été fait.

    Morale de l’histoire : lorsqu’on est un hacker éthique, il faut surtout éviter d’exploiter les failles de sécurité d’un système pour attirer l’attention, sous peine de finir comme Helkowski ou encore le chercheur Pakistanais Khalil Shreateh, qui a piraté le compte de Mark Zuckerberg pour attirer lui aussi l’attention.

    Source: Rapport PDF de l'agent spécial du FBI

    Et vous ?

    Quel est le meilleur moyen pour un hacker éthique d'attirer l'attention sans heurt ?

  2. #2
    Expert éminent sénior
    Profil pro
    Inscrit en
    décembre 2007
    Messages
    6 678
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : décembre 2007
    Messages : 6 678
    Points : 30 975
    Points
    30 975
    Par défaut
    Celui qui dit la vérité, celui-là doit être fusillé. Rien de nouveau sous le soleil.
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  3. #3
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 024
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 024
    Points : 27 447
    Points
    27 447
    Par défaut
    Il y a toujours 2 manieres de reagir, la bonne vieille methode ou on tape sur le messager, et la methode intelligente qui consiste a admettre le probleme (et aussi chercher a le resoudre).

    Taper sur le messager, c'est tout de meme plus simple non ?
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  4. #4
    Membre actif
    Avatar de Thomas404
    Homme Profil pro
    dev
    Inscrit en
    novembre 2009
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : dev

    Informations forums :
    Inscription : novembre 2009
    Messages : 99
    Points : 231
    Points
    231
    Par défaut
    Comme quoi, aider les gens, ca paye .

  5. #5
    Membre éclairé Avatar de alves1993
    Homme Profil pro
    Développeur Java/Dart/Javascript/Android (FullStack)
    Inscrit en
    décembre 2012
    Messages
    222
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Développeur Java/Dart/Javascript/Android (FullStack)
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2012
    Messages : 222
    Points : 652
    Points
    652
    Par défaut
    rien a dire tout juste admirer la bêtise humaine............ il voulait tout juste les aider ces
    Un geek ne vieillit pas, il se met à jour.

    Pour plus d'informations sur Android regarder la faq Android.
    Ensuite les tutoriels Android sont disponibles ici
    Pour les mecs, qui n'arrivent pas toujours à digérer le Javascript, Dart peut-être une solution pour vous.

  6. #6
    Membre confirmé
    Profil pro
    Inscrit en
    janvier 2011
    Messages
    120
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2011
    Messages : 120
    Points : 459
    Points
    459
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    [B][SIZE="4"]Quel est le meilleur moyen pour un hacker éthique d'attirer l'attention sans heurt ?
    Je vais me faire l'avocat du diable, mais il y a une différence entre signaler une faille et exploiter une faille pour la signaler. Cette histoire comme celle du compte de Zuckerberg hacké montre l'égo de ces deux hackers dont leur aide n'a pas été reconnu. On peut signaler une faille et si cela n'est pas traité tant pis pour le site, mais on dépasse les limites quand on l'exploite même si le but initial était louable.

  7. #7
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 030
    Points : 4 121
    Points
    4 121
    Par défaut
    Le hacker a été puni pour sa conscience professionnelle.

    Mais ce traitement n'est pas réservé qu'aux hackers. Quand on est trop critique/consciencieux sur les applis de l'entreprise (même si à juste titre), on se fait dégager, sans que les critiques n'aient été prises en compte (sauf quand le drame arrive). C'est un peu du vécu.

    Si tu exploites la faille pour faire réagir les gogos (je les appelle comme ça), ça fait une mauvaise pub à l'entreprise, et tu représentes aussi une "menace" potentielle (sous-entendu : menace pour l'intégrité financière de l'entreprise).

    Genre : tu pirates un distributeur de billet sans conserver aucune données sensibles, tu représenteras une "menace" car capable de le faire, et tu feras une mauvaise pub à la banque concernée, qui préfèrera te museler plutôt que de payer pour un correctif.

    C'est malheureusement courant. C'est pour ça que je suis très sélectif sur les endroits où je bosse.

  8. #8
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    c'est toujours comme ça car les décideurs sont des cons imbus d'eux même
    qui pensent tout savoir mieux que le reste du monde et quand ils sont en Default
    il ne font que massacrer les autres(oui j'inclus les dictateurs !)
    Rien, je n'ai plus rien de pertinent à ajouter

  9. #9
    Futur Membre du Club
    Inscrit en
    décembre 2010
    Messages
    4
    Détails du profil
    Informations forums :
    Inscription : décembre 2010
    Messages : 4
    Points : 9
    Points
    9
    Par défaut
    je vous signale que Khalil Shreateh est un Palestinien

  10. #10
    Rédacteur
    Avatar de eclesia
    Profil pro
    Inscrit en
    décembre 2006
    Messages
    2 106
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 106
    Points : 3 164
    Points
    3 164
    Par défaut
    Citation Envoyé par xormind Voir le message
    je vous signale que Khalil Shreateh est un Palestinien
    Encore un lobby religieux pro-israelien derriere cette histoire ? si c'est le cas c'est vraiment la décadence intellectuelle aux usa.
    Systèmes d'Informations Géographiques
    - Projets : Unlicense.science - Apache.SIS

    Pour un monde sans BigBrother IxQuick ni censure RSF et Les moutons

  11. #11
    Expert confirmé Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 094
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 094
    Points : 4 227
    Points
    4 227
    Par défaut
    Citation Envoyé par eclesia Voir le message
    Encore un lobby religieux pro-israelien derriere cette histoire ? si c'est le cas c'est vraiment la décadence intellectuelle aux usa.
    Euh, je crois que ce que xormind a voulu dire c'est qu'il y a une erreur dans l'article; il y est écrit que Khalil Shreateh est Pakistanais:

    Citation Envoyé par Cedric Chevalier Voir le message
    ... Morale de l’histoire : lorsqu’on est un hacker éthique, il faut surtout éviter d’exploiter les failles de sécurité d’un système pour attirer l’attention, sous peine de finir comme Helkowski ou encore le chercheur Pakistanais Khalil Shreateh, qui a ...
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  12. #12
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Plus qu'à vendre la faille à des crackers pour payer ses factures maintenant.
    Comme d'habitude : pourquoi payer pour renforcer la sécurité d'un système tant qu'il n'est pas attaqué ?

  13. #13
    Membre du Club
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    23
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 23
    Points : 51
    Points
    51
    Par défaut
    Bonjour,

    Le véritable problème est que les entreprises ou les organismes chez lesquels des failles ont été repérées, sont eux mêmes très, voire trop, orgueilleux pour admettre la faille !!!
    Pour la petite histoire, il y a 15 ans j'ai été victime de piratage de ma CB après un 1er achat en ligne sur un site français. Je l'ai signalé au site (avec tous les détails) ... qui n'a jamais rien voulu savoir, et m'a même répliqué que son site était ultra sûr ... quelques mois après, il fermait, trop de clients avaient été piratés !!!

    Alors que faire ? Fermer les yeux et passer à autre chose ?
    Alors oui, il peut être tentant de faire ce qu'à fait cet hacker éthique. En l'occurrence il a passé la ligne jaune, mais pour le bien de tous. Faut il le condamner ? Surement pas, ou alors juste une petite tape sur la joue

    Personnellement je ne pense pas qu'il faille qu'un hacker éthique se mette en péril pour des (censurés) qui ne comprennent rien. S'il travaille pour une société, il doit s'en remettre à son attitude officielle et ne rien faire d'autre. S'il est indépendant, alors là il peut "agir" mais plutôt en contactant les autorités (mairie, justice, etc ...) suivant l'importance de la faille.

    Mis à part les situations extraordinaires, style menace sur la sécurité d'une centrale nucléaire par exemple, je ne pense pas qu'un hacker éthique doit se servir de données personnelles pour aboutir à ses fins. Même si en l'occurrence il a été honnête dans ses motivations.

  14. #14
    Expert éminent
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    juillet 2012
    Messages
    1 181
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : juillet 2012
    Messages : 1 181
    Points : 8 947
    Points
    8 947
    Par défaut
    Citation Envoyé par LSMetag Voir le message
    Le hacker a été puni pour sa conscience professionnelle.

    ... ça fait une mauvaise pub à l'entreprise, et tu représentes aussi une "menace" potentielle (sous-entendu : menace pour l'intégrité financière de l'entreprise). ...

    Genre : tu pirates un distributeur de billet sans conserver aucune données sensibles, tu représenteras une "menace" car capable de le faire, et tu feras une mauvaise pub à la banque concernée, qui préfèrera te museler plutôt que de payer pour un correctif.
    Voir l'exemple de Serge Humpich: (http://fr.wikipedia.org/wiki/Serge_Humpich)

    "En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

    Épaulé d'un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

    Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire.

    Ensuite, il fonde une entreprise aux États-Unis et quelques années plus tard, revient en France où il travaille pour la société Bearstech1."
    http://bhami.com/rosetta.html A Sysadmin's Unixersal Translator (ROSETTA STONE)
    AIX A/UX DG/UX FreeBSD HP-UX IRIX Linux Mac OS X NCR Unix NetBSD OpenBSD Reliant SCO OpenServer Solaris SunOS 4 Tru64 Ultrix UNICOS

    Club des professionnels en informatique Le plus important club en langue française pour les professionnels en informatique
    À qui s'adresse le Club ... La plus grande équipe de rédaction à votre service - Pourquoi pas de cotisations ?

  15. #15
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 030
    Points : 4 121
    Points
    4 121
    Par défaut
    Citation Envoyé par Squisqui Voir le message
    Plus qu'à vendre la faille à des crackers pour payer ses factures maintenant.
    Comme d'habitude : pourquoi payer pour renforcer la sécurité d'un système tant qu'il n'est pas attaqué ?
    C'est exactement ça : profit à court terme. Comme raisons connues, on a les primes à chaque mois et le versement des dividendes aux actionnaires.

    Mais si les décideurs écoutaient un peu leurs développeurs, on aurait par exemple pu éviter le bug de l'an 2000...

  16. #16
    Expert éminent sénior

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    2 574
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 2 574
    Points : 17 232
    Points
    17 232
    Par défaut
    La bêtise humaine dans toute sa splendeur. Exemple : si jamais un jour un astronome fait une alerte au sujet d'un Astéroide géant qui se prépare à heurter la terre, la solution : Détruire tous les télescopes. Version Pol Pot / Khmer Rouge : exécuter tous les astronomes, et le problème sera résolu.
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  17. #17
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : avril 2014
    Messages : 2 324
    Points : 1 943
    Points
    1 943
    Billets dans le blog
    1
    Par défaut
    Ce qui est délicat, c'est qu'un tribunal est obligé de faire appliquer la loi en faisant fi de sa conviction quant à qui a raison ou tort. Un acte illégal, même commis dans le but d'alerter, reste un acte illégal.

  18. #18
    Membre éprouvé
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2010
    Messages : 657
    Points : 1 237
    Points
    1 237
    Par défaut
    Ne jamais révéler un exploit si l'entreprise compromise n'a pas une politique précise et écrite concernant la découverte d'exploits par une tierce personne.

    Tout simplement parce que l'entreprise peut se retourner contre le "hacker éthique" pour piratage.

  19. #19
    Expert éminent
    Homme Profil pro
    Big Data / Freelance EURL
    Inscrit en
    mars 2003
    Messages
    2 124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Big Data / Freelance EURL

    Informations forums :
    Inscription : mars 2003
    Messages : 2 124
    Points : 7 283
    Points
    7 283
    Par défaut
    Il faut faire attention à la susceptibilité mal placée de l'entreprise mais aussi au sentiment d'intrusion.

    Moi si je vois un soir un inconnu assis dans mon canapé qui m'explique qu'il a voulu me prévenir que ma porte d'entrée était ouverte ça me générait quand même.

    C'est pour cela que les gens devraient plus utiliser les voies officielles de toute sorte, quitte à insister.

    Mais tout cela n'excuse pas le FBI d'avoir débarqué comme des cow-boys.

  20. #20
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : avril 2014
    Messages : 2 324
    Points : 1 943
    Points
    1 943
    Billets dans le blog
    1
    Par défaut
    D'autant plus que ça doit revenir sacrément plus cher au contribuable que d'envoyer deux flics standards lui demander de les suivre à son domicile.

Discussions similaires

  1. Pourquoi les programmeurs systèmes sont-ils trop attachés au C ?
    Par Hinault Romaric dans le forum Débats sur le développement - Le Best Of
    Réponses: 81
    Dernier message: 18/05/2015, 10h55
  2. Réponses: 2
    Dernier message: 17/09/2011, 10h42
  3. Pourquoi les mails ne sont ils pas envoyés?
    Par Sunsawe dans le forum Développement
    Réponses: 3
    Dernier message: 13/04/2007, 00h49
  4. [WebForms][2.0] Pourquoi mes liens ne sont-ils pas valides ?
    Par ben_popcorn dans le forum Général Dotnet
    Réponses: 3
    Dernier message: 19/09/2006, 17h11
  5. Les drivers ODBC sont-ils nécessairement payants ?
    Par Draekonyss dans le forum 4D
    Réponses: 5
    Dernier message: 20/04/2006, 19h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo