Les erreurs d'un professionnel du pentest

Publié initialement à : https://korben.info/erreurs-dun-professionnel-pentest.html

David Levin, chercheur en sécurité et CTO de Vanguard Cybersecurity a fait, ce qu’on appelle, une erreur de débutant. En analysant, sans autorisation, le site où les gens peuvent voter pour le prochain chef du Comtée de Lee dans le sud ouest de la Floride, il est tombé sur une jolie faille SQL. Ne pas…

Reste que dans le cas d’un site d’élections, ça permet au-moins de rappeler aux citoyens que le “vote numérique” n’est pas sur et n’est pas contrôlable.
D’un point de vue “pro”, c’est nul, mais d’un point de vue citoyen, ça se défend… après il y a la manière de le faire.

Je dirais qu’il existe une autre option, un peu ressemblante avec Zataz. Mais sans avoir besoin de faire confiance à personne.

Simplement de garder l’anonymat (avec Tails ou subgraph et en utilisant emkey, ou un autre service d’emails anonymisés). C’est bien pour révéler des infos aux administrateurs sans problème de se voir accusé, y compris si on va jusqu’à la troisième erreur (et qu’on fait gaffe à ne pas balancer son ip/nom/prénom/ou une “info identifiante” (pseudo commun, image utilisée ailleurs,…)).

“J’ai déjà vu des gens bien intentionné se prendre un procès parce qu’il ont justement trouvé une faille (sans rien exploiter derrière) et qui l’ont en quelque sorte “avoué” naïvement. C’est donc un risque qui existe. Ne réclamez jamais rien en échange non plus. Si vous demandez de l’argent, du matos, un job…etc. pour vous récompenser d’une faille trouvée, cela peut être pris pour une tentative d’extorsion.”

C’est tellement vrai.
Vu comment les sociétés ou les institutions réagissent, j’aurai aucune hésitation à sortir un zeroday, couler la boite qui fait le malin en ne répondant pas aux avertissements (en diffusants toutes les données) ou vendre la faille.
Les gens cherches la merde il ne récoltent que les conséquences de leur incompétence.

Le seul concept même qu’il y ai un risque de prévenir d’une faille est une vaste blague qui force à ne pas aider.

Les gens ne deviennent pas black hat par hasard.
C’est le comportement des gens

1 « J'aime »

En meme temps, le sous-titre de la video annonce le niveau: “ELECTION CANIDATE”. C’est bon ca :wink:

arff quand c’est un entreprise que l’on connait c’est trop cramé… Et puis Zataz, qui est français,…avec une entreprise étrangère t’es repéré directo! No thanks

mouais, enfin on a un gars qui vit en floride, paye ces impôts en floride, est donc en partie “propriétaire” de la bouse immonde qui a été pondu pour les futurs élections dans ce même état…prouve par A+B que ce qui a été fait n’est ni fait ni à faire…

Perso j’appelle ça une réponse citoyenne à la gabegie de l’argent public et lui donne entièrement raison. On est pas dans le cas d’une entreprise privé mais d’un truc acheté avec ces deniers. Et puis rappelez vous que c’est pas la première fois que dans ce même état des questions peuvent se poser au niveau des NTIC et du vote, depuis bush junior et les machines à voter on en entends parler…de la à dire que le mec à mis sciemment les pieds dedans il n’y a qu’un pas.

Donc nan, j’appelle pas ça une erreur de noob, parce que le temps que ça passe par la voie légale et que la chose soit réglée, en floride et dans les autres états, les élections auront eux lieux.