[Piratage] Lorsqu’un hacker tire partie d’une contre-mesure!
Bonjour à tous,
Bientôt les vacances les amis, d'ailleurs c'est période de calme pour Dyrk en ce moment !
Car tout le monde a le droit à des vacances ^^
Je vais cependant vous offrir un article aujourd'hui, qui valorisera mes talents de "graphiste" (vous avez le droit de rire :p )
Cette introduction faite, je vais entrer dans le vif du sujet !!!
De plus en plus nombreux sont les cas de pirates informatiques, qui utilisent les "mesures de sécurité" mises en place pour lutter contre eux, afin de les transformer en faiblesses !
Vulgarisons :
Imaginons une jolie plage ...
Une partie "public", et donc accessible à tous, et une partie privée ... restreinte ...
En partant du principe que la partie privée est interdite ...
Toute personne essayant d'y accéder se condamne ...
On pourrait se dire qu'ici, l'histoire s'arrête ...
Sauf que voilà, un pirate, pourra exploiter cette mesure préventive, pour condamner tout le monde !
De manière subtile ...
Des exemples concrets
Les sites marchands
Beaucoup de webmasters se simplifient la "sécurité" pour ne pas trop se "prendre la tête" ...
Par exemple, si quelqu'un tente d'accéder à des données sensibles ... via des liens du genre :
- http://sitetiers.com/phpmyadmin
- http://sitetiers.com/.svn
- http://sitetiers.com/.git
- http://sitetiers.com/...?path=etc/.passwd
- ...
Le webmaster, met en place pour protéger son site, une règle simple et automatique qui bannit tout simplement la personne du site internet, lorsque celle-ci accède à l'un de ces liens ....
Un pirate pourra alors, se servir de ce genre de contre mesure en :
- Référençant sur des moteurs de recherche les liens "incriminés"
- Injectant sur des sites, dans des iframes, ou via n'importe quel autre moyen, les liens incriminés
- ...
Condamnant à leur insu, des dizaines, des centaines, voir des milliers d'internautes ...
Quel intérêt pour un pirate ?
Il n'y a probablement pas grand intérêt à faire bannir des gens d'un site internet ... sauf si le site internet est un concurrent (e-commerce) ....
Et que par conséquent, les personnes bannies se redirigeront vers votre site.
Les applications mobiles
Toujours dans cette optique de concurrence, un pirate développe une "application" qui entre en concurrence avec une autre !
Mesure :
Il se dit "tiens tiens ... et si je mettais pleins de faux commentaires positifs sur mon application" ...
Contre Mesure :
Son application se fait bannir ... pour triche ...
Exploitation de la contre mesure :
Un pirate peut alors se servir du fait que si une application triche, elle se fait bannir ... pour faire bannir son concurrent, en publiant de faux commentaire "positif" sur l'application concurrente
cf. affaire Dash (http://www.develop.../Dash-est-banni-de-l-App-Store-Apple-accuse-le-developpeur-d-avoir-paye-pour-de-faux-commentaires-...mecontentement/)
Conclusion :
Il existe tout un tas de contre mesure qui non seulement sont inefficaces ... mais qui induisent de nouvelle forme de danger.
Je vous recommande chaudement de réfléchir avec "pragmatisme" lorsque vous mettez en place une solution de sécurité !
"Contre quoi je me sécurise "?
"Comment je me sécurise ?"
"Quel peuvent être les effets de bord d'une telle sécurité ?"