Dans le monde de la sécurité informatique tout n’est pas «rose» : les éditeurs de logiciels et les développeurs web sont en combat permanent avec les pirates, appelés aussi «hackers». Ces derniers traquent l’existence de portes dérobées (les failles de sécurité) pour pouvoir les utiliser à leurs fins, s’ils sont mal intentionnés (*).
Ce genre de pratique est, généralement, utilisé pour un but mal saint comme la prise de contrôle à distance de l’ordinateur, altérer son intégrité ou carrément provoquer une panne matérielle irréversible. De ce fait, les éditeurs de logiciels et les développeurs web veillent à combler les failles dès leur découverte par ces hackers.
«Je t’aime… moi non plus !»
Au fil des années, une relation de symbiose s’est établie entre les deux camps : les éditeurs de logiciels comblent les failles de sécurité détectées par les hackers et ces derniers se positionnent en challengers pour en trouver davantage. Avec un peu de recul, on peut affirmer que sans les hackers, les éditeurs de logiciel ne sauront probablement jamais l’existence de failles dans leurs codes. Aussi burlesque que ça puisse paraître, ces nouveaux pirates des temps modernes sont en train d’améliorer notre propre sécurité… d’une façon indirecte du moins !
M. Hafedh Trimeche, directeur technique de la société High Level Programming (HLP), a bien compris le concept et a fait appel à ces compétences hors normes de l’underground tunisien.
Pour un max de tranquillité, il faut bien se faire attaquer !
Récemment, la société HLP a mis en service plusieurs serveurs qui ont réussi avec succès plusieurs tests d’audit de sécurité. Mais dans le souci d’assurer un maximum de sécurité à ses clients, M. Hafedh Trimeche a eu l’idée de lancer un défi aux hackers tunisiens (les white hats et les black hats *) en les invitant publiquement à s’infiltrer dans ces serveurs.
Pour ce faire, M. Hafedh Trimeche s’est rallié à un forum tunisien à vocation technologique. Nous lui avons demandé qu’est-ce qui motive ce choix : «Vu l’audience de ce forum, il m’était plus logique que le bouche-à-oreille soit plus efficient pour faire parvenir l’information à ces testeurs de sécurité, qui, je vous le rappelle, sont la cible de ce concours. Or, ce bouche-à-oreille ne fonctionnerait probablement pas si on a officialisé notre demande dans les medias tunisiens. Pourquoi ? Parce qu’il faut savoir que beaucoup d’internautes de l’underground tunisien ne lisent guère nos journaux d’information (électroniques ou papiers). Ils ont un mode de vie très spécial par rapport au commun des mortels !».
Le concours a été lancé samedi 26 octobre et M. Trimeche a donné carte blanche pour altérer la sécurité de ces serveurs qui sont hébergés en Tunisie. La personne qui arrivera à casser la sécurité établie devra faire un «Deface» (défigurer la page d’accueil) pour prouver qu’une ou plusieurs vulnérabilités ont été détectées.
La société HLP demande en contrepartie que tous les participants envoient, sous réserve d’anonymat s’ils le souhaitent, un rapport non exhaustif et clair sur la démarche technique qu’a suivie le hacker pour s’infiltrer.
Ce concours est ouvert au grand public et sans inscription préalable.
Bien qu’elles soient nombreuses, M. Trimeche nous a signalé qu’aucune tentative d’infiltration n’a pu aboutir à ce jour. Ceci confirme les résultats des rapports d’audit que sa société a reçus.
* Dans le camp des hackers, il existe deux groupes : les black hats (chapeaux noirs») et les white hats («chapeaux blancs»). Les white hats contribuent à l’amélioration du code en communiquant les failles à l’éditeur du programme. Par contre, les black hats ne divulguent pas la faille afin d’en tirer profit (exploitation mal intentionnée).
—————————————————————————–
A propos de High Level Programming
High Level Programming (HLP) est une société spécialisée dans le domaine de l’édition et du développement des logiciels. Elle se présente comme fournisseur de serveur d’applications, offrant aux entreprises les solutions informatiques temps réel dans les domaines de la mobilité, le libre service et les transactions sécurisées. Les solutions informatiques temps réel fournies par HLP couvrent les champs des transactions électroniques avec ses trois branches: HLP e-pay (paiement électronique en ligne avec cartes de crédit et cartes de débit via internet (e-commerce), guichets (POS) et bornes interactives), HLP e-sign (virement de masse avec signature électronique) et HLP e-check (télécompensation des chèques). HLP implante les réseaux sécurisés et assiste les entreprises à concevoir et installer des solutions fiables pour leurs systèmes d’informations.
Plus : Net
