Anti.security.is est un collectif de hackers. Nous leur avons posé quelques questions par mail. Voici leurs réponses.
Pourquoi avoir lancé Antisecurity ?
Parce que nous en avions assez de voir tous ces bugs tués par des gens ne recherchant que la gloire. Nous en avions également assez de voir des "hackers médiatiques" abuser de bugs connus pour tout casser et apposer leurs noms sur un site web.
Vous saviez qu’en faisant cela, vous alliez être montrés du doigt par la plupart des gens qui travaillent dans le domaine de la sécurité.
Les gens qui travaillent dans la sécurité ? La plupart d’entre nous travaillent dans la sécurité ! J’ai bien plus peur des script kiddies que des vilains hackers qui ne feront pas de dégâts sur mon système. Le vrai danger, c’est surtout Big Brother. Ils n’ont pas besoin d’un bug pour vous pirater. Simplement d’aller voir l’éditeur et de lui demander d’ajouter une backdoor. Vous n’êtes pas en sécurité ! Maintenir un bug secret, comme nous le préconisons, ne va finalement vous protéger que des script kiddies. Mais c’est déjà beaucoup.
Et si les heureux élus qui connaissent les vulnérabilités se mettent à pirater autant de serveurs qu’ils le peuvent ? Comment faire confiance à ceux qui se partagent le secret ?
Vous ne pouvez pas leur faire confiance. Mais réfléchissez... Si dix personnes connaissent un bug, que vont-elles bien pouvoir faire au rythme d’un système accédé par mois ? Revendre des informations ? Faire des transferts de fonds ? Non. Au pire, elles vont lire quelques informations. Le super hacker qui prend des millions est une légende. Les quelques personnes qui ont fait cela se sont retrouvées en prison.
Vous pourriez ne publier que les vulnérabilités, pas les moyens de les exploiter...
Coder des "exploits" demande - la plupart du temps - quelques qualités : analyser le patch sorti par l’éditeur et coder un moyen de l’exploiter. Cela prend... hum... deux jours ? En plus, c’est presque toujours la même démarche.
Le concept de Full Disclosure a forcé les éditeurs à patcher et à mieux coder leurs applications. Comment maintenir la pression si votre mouvement prend de l’ampleur ?
Les patchs des éditeurs n’améliorent pas les programmes en eux-mêmes. Ce ne sont que des patchs...