[Piratage] Lorsqu’un hacker tire partie d’une contre-mesure!
Bonjour à tous,
Bientôt les vacances les amis, d’ailleurs c’est période de calme pour Dyrk en ce moment !
Car tout le monde a le droit à des vacances ^^
Je vais cependant vous offrir un article aujourd’hui, qui valorisera mes talents de « graphiste » (vous avez le droit de rire :p )
Cette introduction faite, je vais entrer dans le vif du sujet !!!
De plus en plus nombreux sont les cas de pirates informatiques, qui utilisent les « mesures de sécurité » mises en place pour lutter contre eux, afin de les transformer en faiblesses !
Vulgarisons :
Imaginons une jolie plage …
Une partie « public », et donc accessible à tous, et une partie privée … restreinte …
En partant du principe que la partie privée est interdite …
Toute personne essayant d’y accéder se condamne …
On pourrait se dire qu’ici, l’histoire s’arrête …
Sauf que voilà, un pirate, pourra exploiter cette mesure préventive, pour condamner tout le monde !
De manière subtile …
Des exemples concrets
Les sites marchands
Beaucoup de webmasters se simplifient la « sécurité » pour ne pas trop se « prendre la tête » …
Par exemple, si quelqu’un tente d’accéder à des données sensibles … via des liens du genre :
- http://sitetiers.com/phpmyadmin
- http://sitetiers.com/.svn
- http://sitetiers.com/.git
- http://sitetiers.com/…?path=etc/.passwd
- …
Le webmaster, met en place pour protéger son site, une règle simple et automatique qui bannit tout simplement la personne du site internet, lorsque celle-ci accède à l’un de ces liens ….
Un pirate pourra alors, se servir de ce genre de contre mesure en :
- Référençant sur des moteurs de recherche les liens « incriminés »
- Injectant sur des sites, dans des iframes, ou via n’importe quel autre moyen, les liens incriminés
- …
Condamnant à leur insu, des dizaines, des centaines, voir des milliers d’internautes …
Quel intérêt pour un pirate ?
Il n’y a probablement pas grand intérêt à faire bannir des gens d’un site internet … sauf si le site internet est un concurrent (e-commerce) ….
Et que par conséquent, les personnes bannies se redirigeront vers votre site.
Les applications mobiles
Toujours dans cette optique de concurrence, un pirate développe une « application » qui entre en concurrence avec une autre !
Mesure :
Il se dit « tiens tiens … et si je mettais pleins de faux commentaires positifs sur mon application » …
Contre Mesure :
Son application se fait bannir … pour triche …
Exploitation de la contre mesure :
Un pirate peut alors se servir du fait que si une application triche, elle se fait bannir … pour faire bannir son concurrent, en publiant de faux commentaire « positif » sur l’application concurrente
cf. affaire Dash (http://www.develop…/Dash-est-banni-de-l-App-Store-Apple-accuse-le-developpeur-d-avoir-paye-pour-de-faux-commentaires-…mecontentement/)
Conclusion :
Il existe tout un tas de contre mesure qui non seulement sont inefficaces … mais qui induisent de nouvelle forme de danger.
Je vous recommande chaudement de réfléchir avec « pragmatisme » lorsque vous mettez en place une solution de sécurité !
« Contre quoi je me sécurise « ?
« Comment je me sécurise ? »
« Quel peuvent être les effets de bord d’une telle sécurité ? »