Je peux complètement me tromper, mais j'ai quand même du mal à croire que les six fournisseurs de messagerie visés aient tous donné l'autorisation à SecuritEmail de lancer un challenge ouvert à tous dont l'objet n'est ni plus ni moins que la compromission de leur plate-forme. Si un dialogue avec les français c'est pas totalement inimaginable, pour ce qui est de Hotmail, Yahoo et Google, j'ai du mal. Vraiment. Mais je peux me tromper... Je peux me tromper également en pensant que le fait d'être utilisateur des services d'une de ces plate-formes permette à qui que ce soit d'autoriser un tiers à compromettre son compte. Et si je me trompe, alors la suite, en dehors du passage sur l'éthique du concours, serait à oublier, puisque ça s'appuie sur mes impressions, donc un peu de spéculation.


Les professionnels de la sécurité qui font du test d'intrusion un peu sérieusement m'en soient témoin, faire rentrer une activité implicant une atteinte à un système d'information dans le cadre légal est une chose qui est loin d'être évidente. Elle suppose d'en définir clairement, entre autres, les acteurs et le périmètre. Et là, qu'est-ce que nous avons ? Définitions des acteurs ? Dans la mesure où le concours est ouvert à tous et supposé complètement anonyme, ça tombe à l'eau. Définition du périmètre ? Aucune, même pas des moyens autorisés, qui peut-être une bonne méthode pour borner techniquement le périmètre ciblé.

Mais comparons cinq minutes les concours mentionnés avec le CoPiCo. Je vais commencer par les challenges du Honeynet Project. Qu'il s'agisse du challenge de Reverse, de celui de Forensics ou des Scan of the Month, ils portent tous sur l'analyse de traces capturées en live, éventuellement modifées[1], suite à une intrusion. En aucun cas ces challenges n'impliquent de compromettre une quelconque ressource, qu'elle appartienne au Honeynet Project ou à un tiers. Donc rien à voir avec le CoPiCo.

Pour le Pwn2own de Cansecwest, le CTF de la Defcon ou Insomni'hack, il s'agit de challenges lancés à l'occasion d'un évènement bien particulier, sur une infrastructure et/ou des ressources dédiées à cet effet et surtout qui sont intégralement sous le contrôle des organisateurs. Il en va de même pour le défunt SecuriTech, à la différence que la plate-forme est hébergée en ligne, ce qui implique un tiers[2] qui a dû évidemment délivrer une autorisation en bonne et due forme, rapport aux possibles effets de bord...

Dans le cas du CoPiCo, rien de tout cela. Les cibles appartiennent à des entités tierces dont on ne sait pas si elles ont donné leur autorisation. C'est aussi quelque chose qu'on apprend quand on s'intéresse au cadre légal du test d'intrusion : toutes les parties concernées doivent donner leur autorisation, et on vous conseille chaudement de vérifier que c'est bien le cas, c'est à dire de ne pas compter sur la bonne parole de votre client quand il vous dit que l'hébergeur de son site web est prévenu et n'y voit pas d'inconvénient. Parce que si par malheur vous lui plantez la moitié de sa plate-forme, cet accord verbal[3] va vite se transformer en "j'étais pas au courant"...

Mais fi du cadre légal, puisqu'on nous parle d'éthique, parlons-en de l'éthique. Aucun des challenges mentionnés n'est à but commercial[4]. C'est pour le plaisir, la beauté du geste, pour apprendre aussi, parfois pour un prix, significatif ou non. Alors que là, c'est quoi le but ? Vendre du service en essayant de démontrer que les plate-formes tierces visées ne sont pas sécurisées... Plate-formes dont le produit en question semble quelque peu se poser en concurrent... Jolie l'éthique en effet ! Sans parler du fait que ce type de concours ne démontrera jamais que leur produit apporte réellement quelque chose, pas plus, mais surtout bien moins, que si la cible avait été leur propre plate-forme.


L'éthique, ça aurait été d'abord et surtout de faire dans le légal. Parce que de ce point de vue là, ce concours pue à des kilomètres à la ronde. C'est pourquoi je vous recommande chaudement de ne pas y participer, à moins que, matinal, vous teniez particulièrement à vous faire sortir du lit à 6h... Ou que les organisateurs produisent les éléments qui permettent de vous assurer que tout est dans les clous... Vous ne pouvez pas ignorer que si les cibles n'ont pas fournie d'autorisation pour la tenue de ce challenge, votre participation sera délictueuse. Et vous ne pourrez pas vous réfugier derrière le fait que c'était lancé par SecuritEmail. Pour autant que je sache, vous ne pouvez pas vous décharger de votre responsabilité pénale dès lors que vous en êtes conscient, et le "ah ouais mais c'est lui qui m'a dit que je pouvais le faire" ne marche pas, à moins qu'il y ait tromperie. Dans le cas présent, ce serait que l'organisateur falsifie les autorisations venant des tiers impliqués, ce qui n'est pas le cas. D'ailleurs, je me demande si ça ne tombe pas dans le giron du site de signalement récemment ouvert par le Ministère de l'Intérieur... En tout cas, une chose c'est sûre, c'est que ça ressemble à s'y méprendre à du pousse au crime.


Et que dire du site web, sinon qu'il réunit avec brio les ingrédients de l'huile de serpent :

  • le SecuritEmail c'est tellement bien qu'on ne sait pas comment ça marche, on imagine à peine ce que c'est en fait ;
  • c'est évidemment la protection parfaite contre toutes les menaces qui pèsent sur vos emails ;
  • le tout est vendu avec le super techno-discours à vous faire pâlir de peur.

Ah oui, j'allais oublier le meilleur. Le "Livre Gris du Courriel", fruit de six mois d'enquête, qui recense cinq affreuses méthodes de piratage d'un "email standard" et qu'il ne faut donc pas, vous le comprendrez aisément, le laisser traîner entre toutes les mains. Aussi faudra-t-il montrer patte blanche pour l'avoir. Alors si vous êtes journaliste[5] ou officier de police judiciaire, vous n'avez qu'à filer un numéro de téléphone et quelques informations pour qu'ils puissent vous authentifier. Et après ils vous donneront le fameux ouvrage... Ou pas... Par contre, le "Livre Blanc", lui, est disponible gratuitement. Sympa. J'espère cependant qu'il n'ont pas eu l'inconscience de produire un "Livre Noir", qui hantera sans aucun doute l'âme de quiconque le lira...

Quant à la société qui vend tout ça et dont c'est, promis juré, la seule activité, il suffit de chercher un peu. Il s'agit apparemment de ProDomo, association qui fait par exemple dans le jeu de piste sur Internet. Je vous laisse découvrir le reste chez MAD, les références en sécurité informatique sont... intéressantes...


PS : on me fait remarquer que le concours commence le 1er avril 2009, peut-être faut-il y voir un signe...

Notes

[1] Parfois un peu fabriquées...

[2] L'hébergeur.

[3] À supposer qu'il ait existé...

[4] encore que ce soit discutable pour le Pwn2own, rapport à son sponsor.

[5] J'écris dans MISC, ça compte ?!...