Gravatar couramment utilisé Blog perso de Paul Da Silva

TMG va être audité par HSC… On s’en fout un peu…

Posted on | juin 8, 2011 | 2 Comments

Depuis aujourd’hui on connait le nom de la boite qui va auditer la milice de la Hadopi (TMG) : HSC. L’occasion de vous expliquer rapidement pourquoi il ne faut rien attendre de cet audit et à quel point il s’agit de poudre aux yeux…

Concrètement une mission d’audit se déclenche quand un client X (ici les ayants-droits et TMG) approche une entreprise ou un expert Y (ici HSC) pour réaliser une analyse d’un existant en vue d’obtenir des préconisation d’évolution sur des domaines de qualité, sécurité, référencement, … Ici on parle d’audit de sécurité, ça tombe bien, c’est mon boulot !

Quand un client X m’approche, et avant même de travailler sur un devis, est signé un contrat de confidentialité (dans 99.99% des cas on va dire) garantissant que je ne vais pas dévoiler mes découvertes sur mon blog par exemple. Cette clause de confidentialité est reconduite dans le contrat de prestation, elle permet notamment de garantir au client qui va me livrer ses sources que je les garderai pour moi. Certains imposent même que les sources soient shrédées une fois la mission d’audit réalisée. Une contrepartie financière très lourde est prévue en cas de manquement à cette clause (le genre qui te fait passer l’envie de faire du full disclo).

Une fois le devis transmis et accepté la phase d’audit peut commencer. Il s’agit d’analyser l’existant et d’en relever les défauts de la façon la plus exhaustive possible. Plusieurs façons de procéder ici :

– à l’aveugle : je n’ai pas les sources et bosse sur un serveur de test que je vais malmener autant que possible pour me placer dans un rôle d’attaquant bête et méchant (c’est ma méthode préférée, relativement chèr, aucune garantie donnée sur le rapport final vu que l’on peut rater quelque chose).
– rapport classique : j’ai les sources, je me base sur celles-ci et cherche directement dans le code ce qui peut poser souci (je ne suis pas fan, c’est de la lecture de code, de bonnes garanties sur le résultat final si suffisamment de temps).
– méthode hybride : un peu des deux au dessus, en général je commence par taper à l’aveugle et je vérifie les sources ensuite… (franchement fun, très cher, très bonnes garanties).

Cette phase d’audit dure plus ou moins longtemps en fonction de la taille et de la complexité du système analysé. Il n’y a pas de norme réelle, le plus tu payes le plus j’ai le temps de creuser et plus les résultats seront proches de l’exhaustivité. Si tu me demandes de t’auditer un site web en 3 jours il y a intérêt à ce que le machin soit très light !

Ensuite vient le rapport d’audit, j’ai consigné toutes mes découvertes dans un tableur open office (z’avez pas cru que je bossais sur excel quand même !) et je n’ai plus qu’à mettre en forme.

Pour chaque anomalie relevée un paragraphe est consigné dans le rapport expliquant la nature de anomalie, sa localisation (éventuellement multiple), ses implications ainsi que deux indicateurs : la criticité et la quantité estimée de travail pour corriger ladite anomalie. Le tout est remisé dans un rapport marqué « confidentiel » de partout… et qui commence par dédouaner l’expert en expliquant le périmètre de l’audit (typiquement quand j’audite du Web je n’audite pas Apache ou PHP) et qu’éventuellement, même dans ce périmètre, des choses peuvent avoir échappé à l’audit faute de temps (c’est relativement cher donc le client négocie souvent pour que l’on bosse pas trop).

Le client dit merci, paye et éventuellement mandate une autre boite pour corriger ce qu’il juge nécessaire de corriger, essentiellement en fonction des deux indicateurs par anomalie fournis par l’expert. Concrètement si une anomalie mineure est relevée et que la corriger demande beaucoup de temps de travail, vous avez toutes les chances qu’elle reste en place…

Le client a la jouissance exclusive du rapport et le pouvoir de décider ce qui est à corriger ou non. L’expert qui a réalisé l’audit sait de quoi il retourne mais est toujours tenu par la clause de confidentialité. Souvent il doit se débarrasser du document produit et l’affaire s’arrête là pour lui.

Alors même avec toute la compétence que peut avoir HSC (que je ne connais pas) et sachant que l’audit a été commandé par TMG et les ayants-droits, qui n’ont aucun intérêt à ce que les serveurs de test de TMG soient reconnus comme ce qu’ils sont : des passoires, ne vous attendez pas à un quelconque résultat ou à la moindre dans la pratique.

TMG et les ayants-droits viennent de mandater des experts facturés entre 500€ et 900€ la journée pour ne pas avoir l’air (trop) cons…

Commentaires

2 Responses to “TMG va être audité par HSC… On s’en fout un peu…”

  1. )>)))°>
    juillet 6th, 2011 @ 23 h 55 min

    « Ici on parle d’audit de sécurité, ça tombe bien, c’est mon boulot ! »

    Ah bon, tu n’es pas « ingénieur développement PHP expert » ?

    Faire des audits sauvages sur des applications web pour trouver des XSS est une chose, travailler réellement dans ce domaine en est une autre. Surtout en ne connaissant pas HSC… uh ?

  2. Paul
    juillet 7th, 2011 @ 9 h 52 min

    J’ai fait beaucoup de choses déjà y compris expert sécurité pendant plusieurs mois – j’ai aussi donné des cours sur le sujet en école d’ingénieur et je suis maintenant formateur professionnel, entre autres, sur le domaine de la sécurité Web.

    Ce que tu appelles audit sauvage, en dehors du cas des sites affiliés à la Hadopi, est en fait une utilisation un peu poussée du Net couplée à des réflexes liés à mon boulot. Je détecte souvent des failles « sans les chercher » et les signale ensuite publiquement ou non en fonction de l’intérêt de la chose. Il est par exemple plutôt rare que je signale des injections SQL ou des LFI/RFI alors que j’en découvre aussi beaucoup…

    Enfin sur HSC : bah oui on ne peut pas tout connaître et on m’a déjà reproché mon ignorance sur Twitter à la sortie de ce billet – Ca arrive, c’est cool, ça s’appelle apprendre 😉

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining