Documentation

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Pentesting et périmétrique : querelle d'experts


Edition du 24/04/2008 - par Marc Olanié

Avec un « léger temps de latence » - presque 3 ans tout de même - David Maynor réagit à un article de Markus Ranum (le patron technique de Tenable). Un article commenté dans les colonnes de CSO en septembre 2005, et qui conserve un solide fond de vérités « éternelles et toujours vraies ». Et parmi ces vérités, quelques remarques acides contre l'image d'absolue nécessité des tests de pénétration. Le pentest est-il utile ? Ne sert-il pas à justifier des investissements inconsidérés pour constituer une chaine de défense périmétrique encore plus étanche ? Et les arguments les plus solides de s'accumuler. Le pentest est un peu comme la langue d'Esope, la meilleure et la pire des choses, même les plus chevronnés pratiquants de ce sport le clament bien haut. C'est là une méthode qui n'a de valeur qu'en fonction de l'expérience du testeur et de l'interprétation qu'il donnera des résultats. Voir à ce sujet les écrits d'un expert Français bien connu vivant sur les rivages de Floride ou l'impressionnant travail de vulgarisation et d'information de Jérome Athias à propos de Metasploit. Le pentest est pourtant une étape de validation nécessaire dès lors que la complexité des infrastructure fait en sorte que deviennent douteuses même la plus aboutie des normes, le plus strict audit de bonnes pratiques, le plus fidèle respect des politiques de sécurité. C'est le « test routier » du garagiste qui vient d'intervenir sur le système de freinage, c'est la religion du « test destructif » pratiqué par la quasi-totalité des industries depuis l'invention du biface Levallois (-300 000 avant J.C.).

L'article de David Maynor est d'un très grand intérêt. Non pas parce qu'il réchauffe une querelle aussi vieille que l'idée du hacking éthique opposé à une vision systémique et méthodologique de la défense, mais précisément parce qu'il replace dans le contexte contemporain la dualité de ces conceptions apparemment opposées. Or, rien n'oppose, en fait, une approche empirique et concrète de la sécurité -je tape dessus pour savoir si « çà » résiste- et son pendant analytique -je pense à me fabriquer une armure en prévoyant la taille du gourdin qui risque de me faire du mal-.

Une chose, cependant, échappe à la fois à Maynor et à Ranum. L'humain. Un humain, y compris l'homo informaticus primaire, qui apprend à préserver sa vie. Il côtoie tous les jours des milliers de menaces, et son comportement n'est plus celui d'un primo-informatisé venant d'acheter un IBM PC à base de 8088 à 4 MHz et 64 Ko de mémoire centrale. Il s'adapte, accepte de porter certaines protections -certes, moins rapidement que ne le souhaiteraient les RSSI-, mais il exige, au prix d'un risque parfois plus élevé, de vivre sa vie sans trop de contraintes. Ce qui s'oppose à une « bonne politique de sécurité », c'est généralement la souplesse d'utilisation, la liberté d'action. Qu'il s'agisse de la vision élitiste de Markus Ranum ou de l'approche technologique de Maynor, toutes deux reposent sur une défense périmétrique conséquente... et donc souvent capable d'entraver à la fois le système et l'élément humain. Man muss gefährlich leben. Car sans danger, point d'expérience, sans expérience, point d'évolution.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
La CNIL tire le bilan de 2007 : les données personnelles des français sont toujours plus menacées

Alex Türk, président de la CNIL, a présenté le rapport 2007 de cette autorité administrative (...)

Certification 27001 : Les RSSI de grands groupes disent non merci !

La norme ISO 27001 constitue un recueil de bonnes pratiques. Mais la certification (...)

Des équipements Cisco contrefaits menacent la sécurité américaine

L'armée américaine et même le FBI auraient acheté des équipements Cisco contrefaits. (...)

Des mini robots espions au service des militaires

Un groupe de marines est tapi derrière un immeuble. Soudain, il essuie des tirs venant (...)

Les informations personnelles de six millions de Chiliens étalées sur Internet

Après les données d'imposition des italiens accessibles - légalement mais durant (...)

Une place de marché destinée aux hackers va aider à bâtir une appliance « 0day »

Une place de marché controversée pour sa commercialisation de vulnérabilités « 0day (...)

La prévention de la fuite de données rapproche deux acteurs du secteur

Le DLP tient encore plus du concept que d'offres complètes. C'est le trop plein en (...)
Recherche
Sondage flash
Dans le cadre du passeport biométrique, une base des empreintes des français devrait être créée, est-ce un risque pour les libertés individuelles :
Conférences
22/05/2008
SECTEUR PUBLIC
De 8h30 à 14h00 à l'Automobile Club de France - Paris 8è
  s'inscrire
conférencestoutes les
conférences
Agenda
Du mercredi 21 mai 2008 au jeudi 22 mai 2008
Huitièmes Assises Nationales des TIC du Secteur Public
Nice - Acropolis
en savoir plus
agendatout
l'agenda