Que choisir ? (manque d'information et obsolescence programmée)

En ce moment je cherche à acheter <insérer un nom de bidule ici>. Déjà je ne sais pas si ça va vraiment m'être utile, mais je finis par me décider... Bon je vais éviter de prendre de la merde, mais parfois ça peut s'avérer être un bon choix. J'ai entendu des maçons polonais qui achetaient des perceuses à 15€ et qui en étaient contents. Elles restaient rentables même en lâchant au bout de 6 mois 1 an. En fait plus tu prends de la qualité bien chère, plus tu ... Ah en fait non, la durée de garantie est identique...

Bref, moi c'est un <bidule> de l'ordre de 400€ qui m'intéresse, pour un usage de l'ordre de 3 ou 4 fois par an en espérant que l'engin tienne 10 à 15 ans, mais sans garantie... J'hésite quasiment à en prendre un en location. J'en ai vu à 15€ la journée, mais il faut aller le chercher et il sera assez vieux et pas dans un état très terrible.

Ok ! Continuons dans notre choix, existe 5 marques connues de <bidule>. 2 sont vraiment pour les pro et hors de prix. Une marque est reconnue sur le marché, mais profite un peu trop de sa réputation pour utiliser des matériaux trop fragiles... Et les 2 autres n'apportent pas d'innovation et ne sont pas non plus réputés pour la qualité.

Allons, voir les commentaires. Pas mal de commentaires de gens satisfaits et d'autres déçus en général par le rapport qualité prix. Sauf que le prix baisse régulièrement et le commentaire n'indique pas le prix d'achat... Les commentaires sont quasi-tous rédigés après la première utilisation... et quand on trouve des commentaires sur une utilisation plus régulière sur des forums, le produit n'est plus au catalogue.

Pour l'anecdote, j'avais acheté une plaque de cuisson sur Internet. Après réception j'ai reçu un mail pour laisser mon avis. Quelques mois après j'ai eu un problème de feu qui s'éteignait tout seul. Un réparateur est venu et a tordu la sonde thermique. 1 mois après ça recommence et le nouveau réparateur a retiré un bouton de réglage pour accéder à des valves et a réglé avec la vraie méthode la sonde... J'ai alors voulu poster mon avis et je me suis rendu compte que le lien n'était valable qu'un mois et qu'il n'y a pas d'autre moyen pour poster son avis.

Les fabricants ne publient aucune statistique sur les retours et sur les types de panne. Il n'est pas souvent possible d'acheter des pièces de rechange. En fait on peut tomber très facilement sur des cas d'obsolescence programmée. J'ai presque parfois tendance à croire qu'avant on ne cherchait pas à diminuer le coût de fabrication et limitant la quantité de matière à l'épaisseur nécessaire pour que le matériel fonctionne durant le temps de garantie.

Bref, il est très difficile de choisir quoique de soit de nos jours (même si ce n'était pas mieux avant). Très peu de fabricants ne diffusent des statistiques de retour matériel et la transparence est loin d'être au rendez-vous...

PASSI simple !

Sans doute dans l'attente de passer l'examen du PASSI, aussi bien pour ma société qu'à titre personnel, je m'interroge sur la façon de faire des audits "complets" et reproductibles sans qu'il ne puisse nous être reprochés d'avoir commis une négligence.

La première idée est simplement d'être certifié, mais rien n'empêche les baisses de régime ou le départ d'un membre de l'équipe...

La deuxième idée est de faire un contre-audit par d'autres membres de l'équipe lorsqu'aucune vulnérabilité n'est découverte. C'est du temps consommé en plus donc un manque à gagner, sauf s'il est vendu comme tel au client lors de l'avant-vente, mais de toute façon il faut être cohérent avec le tarif des concurrents et aucun n'a une telle pratique.

La troisième solution est de tout procédurer, de tout documenter et d'avoir des listes de contrôle pour chaque technologie et quasiment pour chaque type de fonctionnalité (authentification, réinitialisation de mot de passe, gestion des sessions, moteur de recherche, etc...). Tout le monde va vers cette solution consommatrice en temps de cerveau de stagiaire, mais sur la durée il est dure de maintenir à jour les procédures et les listes de contrôle avec l'évolution constante des technologies. On reste finalement un métier d'artisans où le savoir faire individuel des auditeurs est primordial.

Une quatrième solution pourrait se dégager, et est finalement toute simple à mettre en œuvre... s'appuyer sur des outils commerciaux du marché. Comment reprocher à un consultant qui a lancé Nessus sur une infrastructure d'être passé à côté d'une vulnérabilité ? Idem avec Acunetix sur un site web... Mais alors comment distinguer un bon auditeur d'un mauvais auditeur ? Ce n'est pas si simple :)

Finalement ce qui me tient à cœur, ce n'est pas tant de découvrir des vulnérabilités, c'est de savoir creuser une SQL injection pour trouver des hashs faibles ou récupérer le numéro de version d'un MySQL obsolète, et c'est aussi de savoir transmettre un message au client afin qu'il prenne conscience du risque et qu'il puisse juger lui-même de la nécessité de corriger une vulnérabilité ou de l'accepter.

Offre d'emploi mensongère :-/

Juste un petit coup de gueule parce que je vois des offres d'emploi attrayantes qui sont tagguées Areva et qui ne sont en fait que pour leur ex-filiale informatique Euriware.

Pour avoir côtoyé cette société, les missions étaient rarement pour la maison mère et un pentester faisait vaguement du pentest à 30% de son temps et même penser à approcher un système SCADA relevait du fantasme. Leur seul intérêt était les passerelles avec le groupe, mais encore fallait-il faire des missions pour les bonnes personnes pouvant créer un poste pour vous internaliser. Je ne parle pas non plus de la convention Syntec et de l'intéressement qui était celui de la filiale et non du groupe. De quoi déprimer quand on fait une régie longue durée dans une équipe Areva sans avoir les avantages de ses collègues de bureau.

Force est de constater qu'Euriware joue encore à ce petit jeu (source APEC) :

Alors qu'Euriware n'a plus de rapport avec Areva.

Bref, c'est moche de tagguer l'annonce sous la société Areva... Déjà que ce n'était pas terrible avant :D

A propos d'orange

Disclaimer : Je ne cherche pas à faire de la diffamation, ce qui va suivre reflète ce que je pense vraiment.

Update : J'avais raté ce discours de Stéphane Richard : "A chaque attaque, nous progressons". Au moins il y a du positif :-)

A l'annonce d'un deuxième piratage de données à caractère personnel depuis le début de l'année chez orange, je ne peux m'empêcher de réfléchir à cette situation (allez savoir pourquoi). Ma piste principale est qu'il n'y a pas vraiment plus de piratage qu'avant, mais qu'on en parle plus (Why Has There Been So Much Hacking Lately? Or Is It Just Reported More? A Freakonomics Quorum). En effet orange étant opérateur Internet, il est soumis à l'obligation de notifier les personnes victimes d'un vol de données (legifrance).

Il est évident qu'orange a une surface d'attaque immense entre les jeux éphémères, les sites promotionnels, les différents portails, les applications pour les utilisateurs et les applications internes. De plus les jeux et sites promotionnels sont généralement créés par des startups qui n'ont aucune idée des bonnes pratiques de codage. Côté portail, on peut repérer des grosses pointures comme Laurent BUTTI qui maitrise son sujet (vous trouverez de nombreux articles dans MISC (où il publie à titre personnel ?) ou dans les archives de l'ossir). Mais force est de constater qu'il travaille aussi bien en boite blanche qu'en boite noire... Si vous voulez lire plein de discussion d'expert sécurité d'orange, leur blog est pas mal.

D'un autre côté orange veut devenir un leader en sécurité informatique et pour cela a racheté Atheos, mais j'ai peur que ça tourne comme pour AQL (racheté en 2007) dont le CESTI a depuis été fermé (pas vraiment de message officiel, mais AQL ou orange ne figure plus sur le site de l'ANSSI).

Mais il ne faut pas confondre centre de cout et centre de profit. Ces sociétés ont été rachetées pour vendre du service directement aux clients d'orange business service et non pour servir l'interne. A noter qu'on trouve un entretien de Nicolas Furgé (responsable des offres sécurité chez OBS) qui noie le poisson en mélangeant les experts qui sont sur des projets internes et ceux qui travaillent pour les clients. Et hop ! OBS devient ainsi la "plus importante société de services européenne dans le marché de la cyberdéfense, renforçant son positionnement d’acteur majeur dans ce domaine sur le plan mondial".

Pour l'anecdote, après le piratage d'un jeu à 2 balles d'orange en 2009 (ou 2010, je ne trouve pas d'archive), quelques pentesters d'AQL ont voulu faire du proactif et ont failli se faire licencier pour tentative d'intrusion... De quoi mettre la bonne ambiance et donner envie de contribuer à sa société.

Pour faire un peu dans l'analyse, je dirai qu'orange a une surface d'attaque colossale et qu'on n'entend pas parler de tous les piratages et surtout que  les piratages ne sont pas tous détectés... La sécurité au sein d'orange n'est pas en avance sur les autres sociétés et les process internes sont vieux jeu. orange va conserver Athéos telle quelle et vendre du service, pourtant 130 experts supplémentaires ne seraient pas inutiles pour améliorer la sécurité interne d'orange. Je m'attends à davantage de piratages massifs tels que peuvent en subir des Google, Microsoft et Facebook et j'espère qu'orange mette en place une "vraie" dynamique sécurité en interne (à différencier d'un service minimum pour réparer la casse).
Petite idée pour la fin : Ca serait beau qu'orange soit une des premières société française à mettre en place un bug bounty (viadeo en a déjà un).



Quelques archives de piratages d'orange :
http://www.ehackingnews.com/2012/10/news-nullcrew-hacked-orange-uk.html
http://www.dslreports.com/forum/r22439596-Orange-French-Portal-Hacked-250-000-accounts-compromised

Ou encore le fail du logiel HADOPI et de la plateforme web qui allait avec :
http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire
J'avais souvenir que Sid disait (à l'instar d'EADS) qu'il y avait des experts reconnus chez orange, mais que bien souvenant dans les grands groupes, ils ne sont pas consultés sur des projets sur lesquels ils auraient pu apporter leur précieuse expertise.