Nbs-system.com: "Antisec, Lulzsec, Anonymous : la sécurité par la réalité"

http://www.nbs-system.com/blog/antisec-lulzsec-anonymous-la-securite-par-la-realite/

Long et intéressant article dont voici la conclusion.

Je pense au contraire que la fin de Lulzsec est écrite ; contrairement à Anonymous, Lulzsec n'a pas vocation à s'inscrire dans la durée : c'est une équipe formée pour le Lulz, le fun et si cela est très populaire et médiatisé, n'est pas diffusé un message dans lequel les gens se reconnaitront et s'engageront. D'après moi, tout ce que nous allons gagner de cet épisode est un accroissement de la vitesse que nos dirigeants chéris mettront à imposer un réseau réglementé. Nous leur montrerons juste plus tôt qu'Anonymous est un joueur à ne pas mésestimer. Expect us.

Bonjour à tous,

Tout d'abord, ne faisant pas partit des Anons, cela ne me dérange pas que l'on voit mon visage sur ce forum.
Je suis l'auteur de l'article sur le blog de NBS System et le D.G de la société (ancien white hat). Merci de l'avoir commenté et d'en avoir repris la conclusion.

Évidemment, pour des raisons déontologiques, je ne peux me permettre de prendre une position sur les actions menées par les Anons, mais par contre je pense qu'il n'est pas logique que le silence des experts soit aussi pesant. Ce grand silence de mes confrères sur le sujet des mouvements cybercitoyens est peut être dû à une peur de s'attirer les foudres des Anons ?

Du coup le sujet, pourtant important à mon sens d'un point de vue sociétal, est très peu couvert par les personnes "du milieu". Je me suis fendu de cet article car je crois que les Anons, Lulzsec et quelques autres mouvements (que l'on soit pour ou contre les motivations de ceux-ci) montre un point important : la sécurité informatique (au sens défensif) est une vaste blagu chez la majorité des entités.

Je n'en peux plus de cette hypocrisie des sociétés pseudo compétentes qui clament que "tout est ok, tout est au vert, c'est bon ma bonne dame vous ne craignez rien" alors qu'ils ont à peine fait une revue de configuration. Aucun recul, aucune vision d'ensemble et pour nombre d'entre-elles, aucune compétence technique. Vous avez un firewall : OK, un antivirus : OK, c'est bon, vous ne craignez rien. Résultat, quand on fait un test d'intrusion dans ces sociétés, c'est le drame, ils sont psychologiquement atteints, car en 48h on est admin de l'ensemble des domaines/serveurs/sites. Si encore c'était très complexe a réaliser, pourquoi pas, mais là c'est dans 70% des cas ce sont des attaques d'une simplicité atterrantes qui permettent de rentrer.

Avoir un énième rapport de nos députés, plusieurs kilos d'études de cabinets de conseil en stratégie qui n'y comprennent rien ne changera rien à l'affaire. Par contre, les démonstrations récentes de la vulnérabilité de nombreux systèmes aidera surement d'autres entreprises, collectivité ou associations à prendre conscience du danger.

Car dans l'ombre et de manière beaucoup moins médiatique, de très nombreuses entités (de toutes tailles) se font piller leur savoir faire, leurs ressources et leurs fonds, ce qui met en danger des milliers d'emplois. Les piratages inter entreprises ou d'états étrangers se multiplient et pourtant, chacun se tait et l'éducation, la sensibilisation ne se fait donc pas. On perd notre patrimoine et notre savoir faire, des milliers de jours/hommes de R&D, pour des raisons économiquement contestables. Il faut passer du stade du "parachute" où certains DSI se donne bonne conscience avec un rapport tout plein de feux vert au stade du "réalisme" où chacun fait de la vraie sécurité, pour les bonnes raisons et de la bonne manière. En cela, les récents évènements sont en train de décaler les lignes je pense.

Même si les services de l'état font leur possible, leurs moyens restent limités, alors l'action (encore une fois sans jugement) menée par de nombreux groupes déclarant publiquement leurs hacks est probablement plus "forte" et efficace en terme de sensibilisation. Il est complexe d'être totalement défendu, de faire un parfaite cohérence dans la surface exposée sur Internet ou même en interne mais il y a une différence entre "même pas le minimum" et "tout

PS : FYI, nous avions déjà posté sur le sujet des Anons et les mouvements cybercitoyens il y a quelques temps de cela, si ca vous intéresse :
http://www.nbs-system.com/blog/operation-payback-ddos-wikileaks-la-premiere-cyber-emeute/

PPS : Je partage le point de vue de Gilbert, il me semble que Lulzsec soit un mouvement beaucoup plus éphémère de part ses motivations (et accessoirement ils semblent avoir eu des soucis hier avec Teampoison et peut être avec la police UK).

Au plaisir, messieurs & mesdames, de partager des points de vues.

Philippe.

Bienvenue et merci de cet avis sans langue de bois.

Il me semble que "Inside job"est un moyen simple et impartial pour bien comprendre comment cette situation : bankster=suckout : c'est transformé en crise mondiale (2008) Mais n'allez surtout pas le voir en streaming, c'est contre la loi. Tiens au fait, c'est sony qui l'a produit */_

Bienvenu,

J'ai une question. Dans quelle mesure cela nous affecte-t-il? c'est des méchants les TeaMpOIsen ?

------->

Les hackers auront toujours une longueur d'avance sur les systèmes de sécurité parce que l'évolution des systèmes de sécurité n'est qu'une réponse aux attaques informatiques.
Article très intéressant en effet, merci du partage.

Axocu : Disons qu'ils ne sont pas dans la même catégorie, ce n'est pas du hacking "4 fun" comme les lulz ou politique comme Anon. C'est déjà un peu plus trash, c'est un groupe de 2 kids avec très peu de recul sur la vie et c'est plus du combat de coq.

Ca sent la testostérone à plein nez, "je suis meilleur hacker que toi".

http://www.gizmodo.fr/2011/06/22/lulzsec-vs-teampoison-les-hackers-hackes-par-dautres-hackers.html

Ceci dit, ca fait des années que certains server/chan IRC regorgent de ce genre de fights. Je suis à peu prêt persuadé que l'annonce avec "des anons onboard" est juste faite pour se faire de la pub et tenter d'être repris par les médias.

Après que Lulzsec se soit fait hacker, c'est étrange en terme de recul de la part de lulz qui aurait dû être plus prudent. Une forme d'arroseur / arrosé moderne I guess.

Once again : un vrai blackhat (ou un groupe de), on ne le trouve jamais. Un kid qui joue avec des SQLi, en général, il laisse des traces de pattes dans le beurre et il est prouvé depuis quelques années que les ados n'ont pas le sens du danger, qu'il n'est pas encore développé cérébralement avant l'age adulte, ce qui leur fait prendre des risques insensés.

anonymous historique reste axé sur la lutte contre la secte scientologie et ses societés ecrans

C'est là où tu fais erreur mon bon Maitre-Clown ; Anonymous est maintenant beaucoup plus que cela, en France comme à l'internationale : le combat en faveur des libertés individuelles, droit d'expression et droit à la communication en tête, est aujourd'hui ce qui anime la majorité de ceux se revendiquant d'Anonymous.
Je connais ton engagement, et celle de la fine équipe, dans la lutte contre la Scientologie et tous le soutiennent et le respecte mais, de grâce, ne parlons pas d'Anonymous historique car nous sommes tous Anonymous. Nous sommes Legion mais nous sommes Un.

Ca fait "Corse", style ..."FLNC" canal historique........
De toute façon en luttant contre la scientologie, tu fais d'une pierre plusieurs coups .............. tu luttes pour la liberté d'expression, contre l'oppression, pour les libertés individuelles, contre l'escroquerie, contre la manipulation mentale, contre l'espionnage économique, contre le foutage de gueule, contre les violences aux personnes, contre le mépris, contre la connerie, contre la connivence avec les pouvoirs aux mépris du principe de réalité ................ (et même contre le réchauffement climatique, puisque les éléctromètres nécessitent une dépense d'énergie pour être construits à des fins d'utisations relevant de l'arnaque )

PS : je ne me moque pas....

Vision très franco-française des choses. Et elle n'est même pas correcte historiquement.

De toute façons entre franco-francais on a un problème avec l'histoire depuis qu'on a coupé la tête au roi...

Bouahahahahahah, ma phrase coup de cœur du jour!

... c'est pour cela que depuis, en France, il n'y a plus que chez les cons qu'il y a un roi ... (généralement c'est celui/ceux qui se font baiser à la fin...)

Bonjour Anon Gin,

Je ne retrouve pas de version en ligne de l'article (que j'ai lu dans science & avenir de mémoire) mais le principe était déjà suspecté depuis plusieurs années. Il ne faut pas prendre cela comme une critique de l'adolescent ou de la condescendance, on est tous passé par là et heureusement, puisque c'est à cet age justement et grâce à ces explorations du danger, que le cerveau construit certains repères lié à la sécurité personnelle. Cette prise de risque rend plus "facile" l'exploration des limites et l'apprentissage de certains aspects de la vie.

Je n'ai retrouvé qu'un article qui traite partiellement de ceci mais depuis la recherche a fait des progrès sur ce sujet :

http://www.jeunesviolencesecoute.fr...cence/la-prise-de-risques-a-ladolescence.html

La version scientifique était plus intéressante à mon sens car elle ne parlait pas de l'aspect "société" mais plus de l'aspect hormonale, développement, apprentissage etc.

Salut Philippe,
merci pour l'article. J'ai pris ça à la rigolade mais après m'être un peu renseigné, et avec l'aide de ton article cela me paraît scientifiquement sérieux.
En lurkant un peu j'ai trouvé cette article très intéressant en rapport avec le sujet:

http://www.newscientist.com/article/dn6738

ça reprend exactement les conclusions de beaucoup de scientifiques sur le travail hormonal et cérébral lors du processus de prise de décision des ados.

je le fais expres anonymous histerique
faites come vous voulerz et le pouvez
faitesdans la legalité
moi je reste un "zec"
c'est comment le kosovo aujourd'hui quelqu'un a des informations sur mitrovica ?

Ben écoute, comme d'hab: j'y vais avec Monique et les gosses ce weekend, ça fait un moment que je leurs aies promis.
Je t'enverrais une carte. Embrasse Murielle de ma part.

Ca ne se passe pas trop mal.

ca y'est le kosovo est en marche contre qui ?

C'est le coup des conduites "ordaliques" à l'adolescence ; "on" l'a tous fait le coup de la prise de prise de risques à l'adolescence (faire du Ddos , sortir avec un boudin aussi boutonneux que soit et franchement casse pied, boire trop de coca, ne pas se brosser les dents...etc.)

Pour info. (c'est un peu littéraire, intéressant quand même pour les qui pipent pas grand chose en informatique, comme moi)

cf. :http://www.lemonde.fr/technologies/...formatiques_1540672_651865.html#xtor=RSS-3208
LulzSec, l'ascension éclair d'un groupe de pirates informatiques

Pour autant, LulzSec n’est pas nécessairement un groupe de pirates d’élite. Si les cibles choisies – CIA, sous-traitants du FBI, grandes entreprises – sont impressionnantes, les techniques utilisées par le groupe ne font pas forcément appel à des compétences techniques poussées. Les attaques de déni de service, qui consistent à saturer un site Internet de connexions pour le bloquer, sont simples à mettre en place – pour peu que l’assaillant dispose d’une force de frappe suffisante, le plus souvent un botnet. Les intrusions perpétrées par LulzSec, qui ont permis au groupe de prendre possession de documents internes d’entreprises et d’administrations, ne sont pas non plus des prouesses. .....................................................................................................................................................................................................................................
Il y a, en revanche, un domaine dans lequel tous s’accordent à reconnaître les compétences de LulzSec : le marketing du piratage. Inconnu il y a deux mois, le groupe et ses divers logotypes s’affichent presque quotidiennement en une de la presse internationale ; son compte Twitter est passé en quelques semaines de quelques dizaines à plus de 250 000 followers, soit presque autant que le compte du Monde.fr. Chaque nouvelle fuite du groupe est savamment orchestrée, annoncée en avance sur le compte Twitter de LulzSec ; le groupe n’hésite pas à manier le paradoxe, menaçant par exemple de représailles un pirate qui s’était introduit dans les serveurs de l’éditeur de jeux vidéo Sega... alors que LulzSec venait de s’en prendre à Nintendo et à Sony. .............................................................................................................................................................
Pourtant, derrière le côté bravache, le groupe n’est pas aussi sûr de lui lorsque ses membres discutent entre eux. Peu après le piratage d’Infragard, Sabu écrit dans le canal IRC du groupe : "Vous vous rendez compte que nous avons mis une claque au FBI. Cela veut dire que nous devons tous rester extrêmement prudents." Il explique ensuite avoir, par mesure de précaution, effacé l'ensemble des données volées précédemment sur un serveur de la chaîne de télévision PBS..............................................................................................................................................................................................................
Les archives IRC de LulzSec montrent, en effet, que la modestie n'est pas la vertu cardinale du groupe. "Si je faisais partie de la CIA, je chercherais sûrement un groupe comme le nôtre, écrit par exemple Topiary. Sérieusement, si on nous donnait un emploi du temps, un bâtiment et un salaire, on détruirait le monde."


Je ne voudrais pas jouer les casseurs de mythes, à peine nés , mais bon, c'est l'éternel problème ; est-il préférable de durer ou de briller ?
Et, surtout, pour quoi faire ? (et non pourquoi faire)

info ou intox ?

Pour ma part, il est préférable de Durer.
Les Lulzsec n'ont aucun sens profond, et agissent en chamboulant tout, ce qui n'est pas le cas d'un Anon.
Les Anon sont respectables, engagés, pas comme ces scripts kiddies qui utilisent des outils d'une provenance incertaine, et qui lâchent tout sans faire gaffe.

Le resultat des LulzSec?
Une médiatisation certes, mais qui sera oublié d'ici les prochains mois, car ils vont se faire chopper, et mis au silence.
ça va faire comme la guerre en Iran dans le journal télévisé, maintenant, plus personne en à quelque chose à faire.

Une autre conséquence, peux être bénéfique malgré ce qu'ils voulaient faire, une sécurisation des données sensibles, mais ça reste à voir, comme l'a expliqué Phillippe.

Pour ma part, j'attends que des Grey hat ou black hat, exaspérés, les expulsent du milieu pour de bon.

si le lien ;
http://forums.whyweprotest.net/thre...a-sécurité-par-la-réalité.90141/#post-1795918
n'est pas pourri, il conduit à un article du Monde.fr, "signé" par son auteur ; après je ne sais pas si il est payé pour faire de l'intox ou si le monde à l'habitude d'en faire.
C'est juste un article ; à considérer comme tel, le "débat" est ouvert, pour savoir si s'en est de l'intox ce qui est évoqué dans l'article, ou pas.
Perso je suis incompétent pour hacker quoi que ce soit (sur le plan informatique s'entend

@Axocu : ils utilisent des attaques très simples. Les injections SQL c'est connu de longue date, simple a réalisé et pourtant personne n'y fait attention. Bilan la moitié des sites en circulation (plus ?) sont vulnérables à ces attaques bateau. Zeev Suraski me disait que 1/3 des sites dans le monde repose sur PHP, on peut déjà compter la majorité de ceux-ci et les injections SQL, ca ne touche pas que PHP.

Avec un simple howto, tout le monde peut aller faire son shopping dans les DB des sites web, ce n'est même pas complexe. Je ne dis pas qu'ils se limitent à cela mais c'est la plus grande partie de leur activité. C'est simplissime à faire dans 80% des cas et il y a 20% des cas où il faut utiliser des méthodes un peu plus avancé comme le "blind" SQL injection, les time attack, les race conditions, ce type de trucs. Réellement, avec zéro skills (ce que ne sont pas les lulzsec), vous pouvez apprendre ces attaques. Je ne conseil à personne de le faire pour des raisons éthiques et parce que cela est passible d'amendes et de condamnations assez lourdes (articles 323 1,2,3,4,5 du code pénal Français) mais la réalité du terrain c'est que la complexité est faible.

@Anon gin : oui c'est intéressant comme sujet et il semble que ce soit lié aussi au cycle des endorphines qui ne sont plus directement considéré comme la source du plaisir mais la source de l'audace ou du besoin de nouveauté, de l'exploration ou de risque qui, lui, procure du plaisir. En gros, sans ce comportement et cette action hormonale, les hommes n'aurait jamais conquis le monde et serait toujours un petit groupe de singes a peine évolués et sédentaire. Les ados (sur ce point) sont donc une version plus entreprenante de l'adulte, prête à prendre des risques pour apprendre, à expérimenter et découvrir et trouver sa place dans le monde.

Et le jour où il y a coupure d'électricité, avec batterie a plat, au bout d'un certain, plus de tel. portable, micro onde out, pleine nuit, carte bleue "game over", rien dans le refrigérateur (qui bat de l'oeil puisqu'il n'y a plus de jus) le télephone qui (non pas ne répond plus, mais est aussi utile qu'une chaussure à bout de souffle), l'ascensceur qui ne vient pas quand tu appuis sur le bouton, que la clim. est en rade et qu'il commence à faire salement chaud" alors que ...."j'ai oublié l'eau minérale,........., merde le robinet est en panne"
Disons pendant,..............;, je ne sais pas , ........; 4 voir 5 jours.

C'est quelle version entreprenante de l'adulte qu'il faut mettre en oeuvre ?

Juste pour apporter mon grain de sel : pour auditer un boite quelque soit la finalité il faut être un expert dans le domaine seulement voilà la vérité c'est qu'en grande partie les experts sont juste des caves un peu moins caves que leur contreparties dans les boites ayant missionné la mission d'audit ou de consultance. On retrouve le même travers dans les domaines comptables, RH, organisations & management, systèmes d'information, sécurité informatique et infrastructure.

D'où vient le vrai problème ? La formation, des guignols qui ressortent à bac+5 sans savoir ce qu'est un serveur sauf la daube contenu dans easyphp... lol et encore le terme est trop faible, je ne parle pas d'une école d'ingé mais d'une école généraliste orienté biz, je vous parles même pas de ceux qui ressortent bien formaté et se masturbent sur le cloud et la virtualisation alors que le cloud c'est l'und des modèle de base du net, et que, la virtualisation est à peut près aussi vieille que l'AS 400 (sans compter que vmWare n'intègre le côté secure que depuis avril dernier, là vous pouvez vous marrer ^^). Et ça c'est juste pour ceux fraîchement diplômés, ajoutez y les VAE dont le dossiers tenait à peu près la route, les gus qui sont certifiés (et encore c'est joli mais ça fait pas le café) mais qui sont laaaaargement à côté de leurs pompes, etc... ceux qui ont subi, je dis bien subi, une formation en entreprise (pas le truc en e-learning pitié ^^)...

Donc oui, effectivement, mais bon ça m'étonnes pas.

Les guignols qui ressortent à Bac+5 t'emmerde toi et ton omniscience.