Youssef, le white hat venu du Maroc

Publié le 27-12-2009 dans le thème Réseau - Sécurité

Pays : Maroc - Auteur : Damien Bancal

Pub : Découvrez les Labs ZATAZ

Note des lecteurs: 3.8/5

Des hackers, des pirates, des grey hats, il en court le web comme des feuilles mortes en automne. Dans ce fatras numérique, certains internautes sortent du lot de part leur abnégation, une envie commune d'aider les autres. Nous avons rencontré Manar Youssef, un marocain passionné d'informatique de 32 ans. Un informaticien qui a fait ses études en France avant de retourner dans son royaume. Depuis, il est pentester et consultant de sécurité informatique. Rencontre avec un passionné, passionnant.

ZATAZ : Vous vous dites pentester Marocain, mais qui êtes-vous vraiment ?

Youssef Manar : Je travaille pour un cabinet d'audit, mais je suis aussi tout simplement quelqu'un qui cherche à aider les gens. Qui espère les soutenir à surmonter leurs problèmes liées à l'insuffisance de la sécurité informatique qui existe sur leurs plateformes. Je suis un passionné et curieux par nature.

Vous avez découvert, dernièrement, des failles importantes sur des sites internationaux comme Amnesty International, ... Pouvez-vous expliquer le cheminement de votre découverte ?

C'est le secret du métier ! Le plus inquiétant n'est pas vraiment la méthode, mais la facilité, aujourd'hui, de trouver des failles, des vulnérabilités. Dans certains cas, et vous êtes le premier à le démontrer sur zataz.com, il suffit juste d'un mot clé et d'un moteur de recherche comme Google.

Quels sont les cas, les découvertes, les plus impressionnantes que vous avez pu rencontrer ?

Ah ! là je ne peux pas réellement préciser. Tout ce que je peux vous dire, c'est que la plupart des découverts ont une relation avec de grandes entreprises. Des grands comptes, qui sont connus à l'échelle mondiale. [ZATAZ.COM a été le témoin privilégié d'une action de Youssef. Il a pu aider un important opérateur de téléphonie mobile, mondialement connu, Al Jazeera, NDR]

N'avez-vous pas peur d'être pris pour un pirate en faisant des audits sauvages ?

Je ne suis pas un pirate. Je navigue sur internet comme n'importe quel autre personne. Je consulte des sites d'une façon autorisée et quand je vois quelque chose qui ne va pas, je le signale immédiatement. J'alerte les responsables de sécurité ou bien via un site comme zataz.com.

Vous faites aussi cela pour trouver du travail ? Des clients ?

Non pas du tout. Je fais cela pour le plaisir. Je veux juste aider les responsables de sécurité à identifier leurs points faibles. J'avoue que s'il y a du boulot derrière, alors pourquoi pas ! J'ai été très fier quand j'ai vu une alerte du CERTA [http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-466/CERTA-2009-AVI-466.html] reprendre une de mes découvertes.

Les sociétés que vous aidez, vous remercient-elles ?

Oui, cela arrive, parfois ! Il y a des sociétés qui me proposent, par exemple, de faire un audit ou de les alerter si le même scénario se répète. D'autres se contentent d'un merci par courrier. Et beaucoup, rien.

Comment pouvez-vous expliquer que ces sociétés, qui sont d'envergures, aient de telle faille ?

Tout simplement en raison d'une confiance aveugle dans leurs outils de production, diffusion, ...

Que préconisez-vous pour une bonne sécurité sur Internet ?

La vigilance, beaucoup de vigilance. Prendre le temps de tester, fouiller, corriger. Et ne pas faire une confiance aveugle dans les logiciels.

Et pour les particuliers, qu'est ce qu'une bonne sécurité ?

Pour lancer le débat et la polémique, je dirai qu'une bonne sécurité informatique pour l'utilisateur lambda, ... est de ne pas utiliser Internet. En fait, il n'y pas de recette, de remède. La prudence et la réflexion sont les maîtres mots.

Le monde parle beaucoup de peur, de terrorisme, ... Pensez-vous qu'Internet peut devenir une arme ?

L'Internet, les réseaux, sont devenus réellement une arme. Rapide, efficace, simple d'utilisation. Aujourd'hui, n'importe quelle personne, avec un PC connecté à internet peut paralyser, voir même vaincre un pays tout entier et quelques clics de souris bien sentis.

Pensez-vous que l'Internet doit disparaitre pour que se créé un réseau vraiment sécurisé ?

Non, je ne le crois pas. Un réseau sécurisé, à quel prix ? Ça sera au prix de notre vie privée. Pas sûr que l'on y gagne au change.

Est-ce qu'un réseau sécurisé existera vraiment un jour ?

Non, je ne le crois pas.