 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Faire tester sa sécurité par des étudiants lors d'un concours de hack
par mail
l'article
Le réseau de votre société est-il bien protégé contre les attaques ? Pour le savoir, vous pouvez faire appel à des cabinets spécialisés dans les audits de sécurité. L'autre possibilité consiste à s'inscrire au concours que vient de lancer l'Epitech. Il s'agit de la sixième édition de Security Quest. Lors des trois premières, la compétition était limitée au réseau de cette école informatique. Depuis deux ans, les réseaux d'entreprises consentantes sont aussi la cible des apprentis pirates.
Réunis en groupe de quatre à huit personnes, les étudiants de quatrième année doivent récupérer des fichiers de certificats cachés dans ces réseaux mais aussi dans les ordinateurs de leur école. Le niveau de difficulté est variable, certains ordinateurs n'étant pas protégés par des pare-feu ou des proxys plus ou moins paramétrés.
Douze entreprises ont décidé de jouer le jeu, parmi lesquelles Bewoopi. Spécialisée dans les applications destinées aux terminaux mobiles, elle participe pour la quatrième année consécutive à l'événement.
« Cette expérience nous a permis à chaque fois de nous améliorer tout en étant profitable aux étudiants. Comme c'est un audit gratuit, le rapport qualité/prix est intéressant. Notre première participation m'avait fait prendre conscience que ma société n'insistait pas assez sur la sécurité : tous les certificats avaient été repérés. Lors des éditions suivantes, nous avons constaté que les étudiants avaient de plus en plus de mal à récupérer les certificats sur notre réseau. La dernière fois, ils n'en avaient trouvé qu'un sur six. Mais nous envisageons néanmoins de demander un audit de sécurité par un cabinet spécialisé », déclare Lionel Coriou, responsable technique de Bewoopi.
Des challenges « agressifs »
Mais pour certains experts en sécurité, ce genre de concours est un peu risqué. « Pour laisser des étudiants attaquer à outrance son infrastructure, il vaut mieux avoir assuré ses arrières en ayant fait réaliser un test d'intrusion par un professionnel », estime Nicolas Ruff, expert en sécurité au Centre de recherche d'EADS (European Aeronautic Defense and Space).
Malgré ces risques, ce genre de pratique n'est pas un cas isolé. La tendance est même à la multiplication de ce type de concours. L'Esiea va en effet relancer le Challenge-SecuriTech qui a eu lieu de 2003 à 2006. Etalées sur trois semaines environ, une quinzaine d'épreuves consistaient notamment à mettre en évidence des failles de sites ou d'applications et à casser l'algorithme de chiffrement d'un texte.
Les vulnérabilités seront aussi à l'honneur lors de la conférence iAWACS consacrée à la lutte informatique offensive, à Laval, en octobre prochain. « Il s'agira de challenges réellement agressifs : chaque candidat devra programmer un code capable de contourner les six principaux produits antivirus du marché en le moins de temps possible, le tout en public. Chaque candidat aura six ordinateurs à attaquer », précise Eric Filiol, directeur du laboratoire de virologie et de cryptologie opérationnelles à l'Esiea.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
