Lulz et Sec sont sur un bateau...

Publié le 01 juillet 2011 par Sid

L

e moins qu'on puisse dire, c'est que les tweets et autres publications de Lulzsec auront fait circuler de l'octet sur le réseau, alimentant nombre de réflexions autour du fameux concept de cyberdéfense. Ainsi, de nombreux observateurs inspirés s'en servent d'exemple pour justifier l'importance d'engager plus de moyens en la matière.

Comme si les actions de Lulzsec, au même titre que celles des Anonymous ou de tout autre groupe actif, devaient nous convaincre de l'impérieux besoin de sécurité qui touche nos infrastructure. En fait, à mon sens, si Lulzsec est emblématique de quelque chose, c'est bien que, comme aime à le dire un collègue mais néanmoins ami, la sécurité est un échec...

Car si on peut se gausser des déboires d'organisations qui se prennent à vouloir jouer aux grands sans avoir le début d'une once de compréhension du bourbier dans lequel ils s'aventurent[1], les faits d'armes de Lulzsec concernent des organisations qui ont les moyens d'accorder de l'importance à leur sécurité, ne serait-ce qu'au regard de leurs activités. Aussi, profitant du buzz autour de ces attaques qu'on qualifie désormais d'APT, certains voudraient nous dépeindre les actions de Lulzsec comme des intrusions de haut vol, nécessitant un mystérieux savoir vaudou jalousement cultivé au sein de cercles restreints. Une espèce de magie noire que seuls quelques initiés savent mettre à profit, et qui les rend capables de mettre à genoux les défenses les plus pointues.

Sauf qu'on est très loin de ce cas de figure. Ici, on parle de gens fortunés qui se font défoncer à grands renforts de directory traversals, SQL injections et autres exploits sur des serveurs pas à jour. Une espèce de revue en fanfare du Top 25 de la faille. Surprenant ? Je sais bien que c'est mal de tirer sur l'ambulance, mais prenez Sony. Pendant qu'on hébergeait des données sensibles sur des serveurs à l'abandon, on s'adonnait au cost cutting en limogeant gaiement au sein des NOCs et des équipes sécurité[2]. Le tout en étant, apparemment, informé de l'inadéquation des moyens de protection déployés. Bref, on parle de gens fortunés qui n'en ont tout simplement rien à foutre de la sécurité...

Ainsi, ce que Lulzsec nous démontre par la pratique, c'est que si Far West il y a sur Internet, il est plutôt du côté de ceux qu'on nous présente comme les gentils. Ceci étant, on aurait tort de leur jeter la pierre puisque rien ne les contraint vraiment à adopter une autre attitude, qu'il s'agisse de la législation en vigueur ou de ceux censés la faire appliquer. Alors forcément, face un tel constat, quand on me parle d'Internet civilisé et que je vois les dérives qui vont avec, je ne peux m'empêcher de penser à la colonisation et à ce qu'elle a impliqué au nom de la bonne parole. Avec les résultats qu'on sait...

Pour conclure sur une note un peu plus légère, on notera que dans le monde de l'Internet civilisé, les réactions ne sont finalement pas plus surprenantes que les stimuli... Voire même d'une affligeante banalité...

Notes

[1] Autrement dit, des n00bs...

[2] Mais étrangement, ça embauche à nouveau dans le domaine ;)