Suivez nous
sur Twitter >
sur Twitter >
La sécurité au Québec
Par Nathalie Ramonda
Le jeudi 10 décembre 2009
Le 7 novembre dernier, je suis allée à Québec pour le congrès Hackfest, LA place pour les passionnés de la sécurité de l’information et des technologies au Québec. Le Hackfest, c’est aussi l’événement par excellence pour faire du réseautage, discuter de sécurité, de piratage informatique et même d’opportunités d’emplois.
Au départ, mon collègue informaticien et moi pensions retrouver un Black Hat québécois. Pour ceux qui ne le savent pas, le Black Hat est un des congrès de cracks informatiques les plus prisés lors duquel près de 2 000 personnes se rencontrent pour échanger sur les failles de sécurité et les autres sujets préoccupant les pirates. Arrivés sur les lieux, nous avons constaté que c’était des compagnies en sécurité qui menaient le bal et non les pirates eux-mêmes. Il est certain que cela n’enlevait en rien l’aspect éducationnel et intéressant aux conférences.
Par la suite, j’ai remarqué que le monde de la sécurité au Québec est assez restreint. Étonnamment, j’ai vu quelques visages familiers, dont certains de l’Université de Sherbrooke, et d’autres de firmes telle que IBM, tous des amis/amants des failles informatiques.
Pour une stratège Web comme moi, avec des bases plus marketing qu’informatiques, les conférences portant sur le « sniffage » de données et les audits PHP étaient un peu… Disons que ce n’est pas le genre de choses qui m’intéressent ! Mais bon, même si l’intérêt n’était pas présent, j’ai retenu qu’en gros, malgré le fait que vous ayez des pare-feu, ou quelque chose de semblable en entreprise, vous pouvez toujours vous faire pirater, car la grande majorité des systèmes n’ont pas été bien configurés.
Venons à la conférence qui m’a le plus intéressée : Henry Stern, Cisco Systems : The Bad Boys of Social Networks.
En résumé, Facebook et Twitter sont les médias sociaux les plus attaqués. Les fouineurs sont toujours plus inventifs… Non, je ne vous citerai pas tous les exemples de failles qu’on nous a présentés ! Je vous présenterai plutôt les conseils que nous avons reçus.
Ce que j’ai retenu : pour ceux qui utilisent le téléphone voIP, si vous entendez des mots venus de nulle part qui s’insèrent dans la conversation (généralement des mots qui n’ont pas leur place dans ce genre de conversation), c’est qu’une personne malveillante désirant se distraire a capté votre conversation et y fait des intrusions.
Ce genre de personne peut aussi récupérer tous les courriels que vous envoyez, voir les sites que vous visitez, voir les images que vous téléchargez, etc.
C’est ainsi qu’une grosse compagnie nord-américaine (que je ne citerai pas, car très proche de nous…) a constaté que la majorité de ses employés allait voir des sites « peu catholiques » durant la pause du midi. Grâce à ce procédé, d’autres entreprises se sont rendu compte que tous les informaticiens passaient outre les autorisations pour aller voir leur compte Facebook alors que le PDG lui-même n’y avait plus accès (il faut donner le bon exemple).
Bref, au Québec, rares sont les vrais pirates informatiques. Généralement, ils sont capables de s’infiltrer dans les systèmes et les sites Web, mais laissent souvent des traces. Les vrais de vrais, nettement plus rares, entrent, modifient des informations à leur guise et ressortent sans que personne n’ait pu voir quoi que ce soit ni ne puisse prouver leur intrusion. Ils sont une cinquantaine au Québec à pouvoir le faire et la majorité (heureusement) travaille dans des firmes de sécurité. Ce qu’ils en disent ? C’est que la sécurité au Québec n’est prise au sérieux qu’une fois les malfaiteurs ayant fait leur œuvre. Avant ça, l’entreprise se croit intouchable et n’investit pas assez en temps et en argent côté sécurité. D’où le problème que je perçois dans l’industrie du Web. On voit souvent des développeurs Web qui sont « experts » dans leur domaine, mais qui ne regardent pas cet aspect. Informez-vous avant de faire concevoir votre site. Demandez à la personne avec qui vous faites affaire quels sont les aspects importants d’un site pour elle et si la réponse « sécurité » n’en fait pas partie… Faites attention !
Quel est donc encore le meilleur moyen contre les intrusions et les failles de sécurité ? Ne pas être connecté ! Ne pas être connecté sur le Web à notre époque ? Vous en conviendriez que la prévention reste tout de même le meilleur moyen !
Soyez donc vigilants !
Pour plus de détails, consultez le www.hackfest.ca
Au départ, mon collègue informaticien et moi pensions retrouver un Black Hat québécois. Pour ceux qui ne le savent pas, le Black Hat est un des congrès de cracks informatiques les plus prisés lors duquel près de 2 000 personnes se rencontrent pour échanger sur les failles de sécurité et les autres sujets préoccupant les pirates. Arrivés sur les lieux, nous avons constaté que c’était des compagnies en sécurité qui menaient le bal et non les pirates eux-mêmes. Il est certain que cela n’enlevait en rien l’aspect éducationnel et intéressant aux conférences.
Par la suite, j’ai remarqué que le monde de la sécurité au Québec est assez restreint. Étonnamment, j’ai vu quelques visages familiers, dont certains de l’Université de Sherbrooke, et d’autres de firmes telle que IBM, tous des amis/amants des failles informatiques.
Pour une stratège Web comme moi, avec des bases plus marketing qu’informatiques, les conférences portant sur le « sniffage » de données et les audits PHP étaient un peu… Disons que ce n’est pas le genre de choses qui m’intéressent ! Mais bon, même si l’intérêt n’était pas présent, j’ai retenu qu’en gros, malgré le fait que vous ayez des pare-feu, ou quelque chose de semblable en entreprise, vous pouvez toujours vous faire pirater, car la grande majorité des systèmes n’ont pas été bien configurés.
Venons à la conférence qui m’a le plus intéressée : Henry Stern, Cisco Systems : The Bad Boys of Social Networks.
En résumé, Facebook et Twitter sont les médias sociaux les plus attaqués. Les fouineurs sont toujours plus inventifs… Non, je ne vous citerai pas tous les exemples de failles qu’on nous a présentés ! Je vous présenterai plutôt les conseils que nous avons reçus.
- Changez vos mots de passe : n’utilisez pas les mêmes pour votre adresse électronique et votre Facebook par exemple.
- Si un de vos amis vous dit par le biais de MSN qu’il est dans le trouble monétairement : appelez-le !
- Les développeurs et autres employés de Facebook ne vous demanderont jamais de leur redonner votre mot de passe. Même si un jour l’un deux vous contactait personnellement, rien ne vous garantit l’identité de la personne.
- Faites attention aux personnes que vous acceptez dans vos amis : de nombreux profils sont faux (ils vont dire qu’ils travaillent dans la même compagnie que la vôtre par exemple) !
- Éduquez votre entourage. Apprenez à votre grand-mère et à votre petit frère que ce n’est pas parce qu’il y est marqué « cliquez ici pour télécharger l’antidote au virus que vous venez d’attraper » qu’il faut le
faire !
Ce que j’ai retenu : pour ceux qui utilisent le téléphone voIP, si vous entendez des mots venus de nulle part qui s’insèrent dans la conversation (généralement des mots qui n’ont pas leur place dans ce genre de conversation), c’est qu’une personne malveillante désirant se distraire a capté votre conversation et y fait des intrusions.
Ce genre de personne peut aussi récupérer tous les courriels que vous envoyez, voir les sites que vous visitez, voir les images que vous téléchargez, etc.
C’est ainsi qu’une grosse compagnie nord-américaine (que je ne citerai pas, car très proche de nous…) a constaté que la majorité de ses employés allait voir des sites « peu catholiques » durant la pause du midi. Grâce à ce procédé, d’autres entreprises se sont rendu compte que tous les informaticiens passaient outre les autorisations pour aller voir leur compte Facebook alors que le PDG lui-même n’y avait plus accès (il faut donner le bon exemple).
Bref, au Québec, rares sont les vrais pirates informatiques. Généralement, ils sont capables de s’infiltrer dans les systèmes et les sites Web, mais laissent souvent des traces. Les vrais de vrais, nettement plus rares, entrent, modifient des informations à leur guise et ressortent sans que personne n’ait pu voir quoi que ce soit ni ne puisse prouver leur intrusion. Ils sont une cinquantaine au Québec à pouvoir le faire et la majorité (heureusement) travaille dans des firmes de sécurité. Ce qu’ils en disent ? C’est que la sécurité au Québec n’est prise au sérieux qu’une fois les malfaiteurs ayant fait leur œuvre. Avant ça, l’entreprise se croit intouchable et n’investit pas assez en temps et en argent côté sécurité. D’où le problème que je perçois dans l’industrie du Web. On voit souvent des développeurs Web qui sont « experts » dans leur domaine, mais qui ne regardent pas cet aspect. Informez-vous avant de faire concevoir votre site. Demandez à la personne avec qui vous faites affaire quels sont les aspects importants d’un site pour elle et si la réponse « sécurité » n’en fait pas partie… Faites attention !
Quel est donc encore le meilleur moyen contre les intrusions et les failles de sécurité ? Ne pas être connecté ! Ne pas être connecté sur le Web à notre époque ? Vous en conviendriez que la prévention reste tout de même le meilleur moyen !
Soyez donc vigilants !
Pour plus de détails, consultez le www.hackfest.ca
| Nom : |
| Commentaire : | |
Partage ton opinion