Parents, arrêtez de jouer aux Amishs 2.0 de service

Plusieurs internautes ont alertés le protocoles d’alerte de ZATAZ afin d’aider à corriger des sites Internet souffrant de plus ou moins graves failles de sécurité. Cependant, parents, si vous regardiez à l’avenir de vos adolescents avant qu’il ne soit trop tard.

Soyons clair d’entrée de jeu, les alertes du Protocole de ZATAZ n’ont pas pour mission de finir sous la forme d’un article. Autant dire que si c’est le cas, cela correspond soit à une fuite grave de données [alerter les victimes de cette fuite, NDR], soit un remerciement pour des internautes qui ont voulu donner un coup de main, qui ont participé à une action numérique solidaire. [Les alertes ZATAZ sont affichées dans les pages dédiées et sur Twitter]

Attention, comme le précise le mode d’emploi du Protocole d’Alerte de ZATAZ, un article est très rare sur ce sujet, et toute demande d’article ne sera pas prise en compte par ZATAZ. ZATAZ décide, si oui ou non, un article est pertinent.

          

Le protocole d’alerte de ZATAZ n’est pas la scène de « La Nouvelle Star ». Le protocole d’alerte est fait pour aider.

Si certains blogs proposent d’écrire des posts sur des «piratins », à la demande de ces derniers, nous non ! Pour rappel, les alertes qui nous sont envoyées ne prennent pas en compte les diffusions qui peuvent être effectuées sur Twitter, Facebook. Diffuser une fuite, une vulnérabilité, via un espace public [que se soit un message sur un réseau social quelconque ou en privé sur Facebook/Twitter, NDR], puis ensuite espérer que nous alertions les entités faillibles ne peut se faire. Imaginez qu’un malveillant soit passé entre votre alerte et notre protocole. Il en va de la crédibilité des alertes, des lanceurs d’alertes et de la sécurité de tous.

Pour finir, les audits sauvages sont interdits. Utiliser des outils légaux (ou non) pour auditer des sites sans les autorisations de toutes les parties concernant le serveur (propriétaire, hébergeur, …) est considéré comme un acte de piratage aux yeux de la loi. C’est un peu comme si vous vous amusiez à crocheter les serrures de la porte de votre voisin pour lui expliquer que des voleurs pourraient le faire aussi. Sauf que votre crochetage a peut-être cassé la serrure, permis à des pirates de rentrer ou bloqué votre voisin chez lui ou à l’extérieur.

Les bons, les brutes et les truands

Nous tenions à remercier trois lanceurs d’alertes. Ils sont jeunes, voir dans certains cas très jeunes. Les remercier, c’est aussi leur faire comprendre que le droit chemin et la meilleure des routes du succès. Par exemple, Priv4tor, qui a permis de faire corriger des « bugs » sur deux espaces d’un important journal Français. Des espaces externes, n’appartenant pas à l’hebdomadaire, mais liés avec lui. Failles corrigées très rapidement. Le second, Obito, un jeune parisien qui a permis de faire corriger un accès (sans danger) vers un espace recrutement d’une importante entreprise pétrochimique. Le dernier, KDZ, avec la découverte de plusieurs « bugs » concernant 8 lycées et collèges Français. Avec les vacances, ils ont voulu aider en ce mois de juillet. Qu’ils en soient remerciés.

Le protocole d’alerte de ZATAZ a traité 792 alertes en juillet 2015. Depuis la création de zataz, il y a plus de 20 ans, nous avoisinons les 61.000 alertes bénévoles.

Parents, arrêtez de jouer aux amishs 2.0 de service

Éduquer, plutôt que sanctionner, voilà notre idée. Mais ne soyons pas dupe. ZATAZ a plus de 20 ans, et des jeunes pirates, nous en voyons passer des dizaines par semaines. Beaucoup de ces internautes sont attirés par l’informatique, le code, le hacking, voire dans le pire des cas, le piratage. Nous allons faire une comparaison avec la pyramide de Maslow. Cette pyramide permet d’identifier les besoins et les motivations dans une entreprise, un commerce, chez le consommateur. ZATAZ utilise sa version de cette pyramide [plus une trentaine d’autres points, NDR], qui permet de codifier, jauger les lanceurs d’alertes qui nous contactent. Donc, si nous prenons la pyramide de Maslow et que nous la métamorphosons avec l’informatique et la jeunesse qui y gravite, nous nous retrouvons avec, en bas de la pyramide « Le besoin de sécurité« . Si je fais de l’informatique, je peux avoir un avenir (emploi, argent, …). Puis intervient, « le besoin social » (j’appartiens à un groupe de copains 2.0 ; je suis dans les petits secrets informatiques ; je suis un pirate ; je rêve d’être un hacker que la TV m’a glorifié à coup de plans séquences explosifs) ; Ensuite apparait « l’estime » (J’ai le respect des autres, on a confiance en moi ; on m’écoute, …). La pointe de notre pyramide se concluant avec cet « accomplissement personnel« . Le besoin physiologique n’était pas pris en compte, dans la majorité des cas, il est rempli par la sphère familiale.

Avec l’informatique et cette jeune population, la pyramide se transforme très rapidement en un mille feuilles indigestes et très difficiles à contrôler. Prenons l’exemple qui nous anime aujourd’hui : Un jeune adulte, nous l’appellerons KC [Des KC, il en existe des milliers sur la toile française, alors imaginez à l’échelle mondiale, NDR]. Ce dernier est en vacances. Il papillonne sur la toile. Il fait des « conneries » à droite à gauche. Rien de particulièrement dangereux. Il pirate de petits sites. Il n’y connait rien. Il récupère les informations sur des forums ou par le biais de connaissances croisées ici et là. Ses actes ne lui suffisent plus, il a besoin de cette fameuse reconnaissance. Il veut que l’on parle de lui. Un peu comme certains tueurs en série, [de Jack l’éventreur au Zodiac, en passant par  Unabomber, weepy-voice killer ou le Sniper de Washington], un besoin de communiquer. Défier, mystifier, harceler, peu importe la forme de cette communication. Pour ZATAZ, clairement un appel à l’aide lancé par ces jeunes internautes.

Le déclencheur de cette envie Warholienne ? Peut-être des substances faisant oublier la réalité ? Peut-être autre chose. Toujours est-il qu’il écrit à des blogs, des journaux. Il aurait découvert des failles. Certains blogs en parlent, sans même vérifier le 10ème de ce qui est raconté. Le jeune internaute est un peu comme dans « La cigale et la fourmi » de Jean de la Fontaine. Il danse, chante, en veut plus encore. Il souhaite que la population le distingue des autres.

Ceux qui ne répondent pas à ses demandes sont punis, enfin façon de parler. Il menace d’abord « de piratage » ; « d’attaque » ; … ZATAZ par exemple va subir plusieurs DDoS. Nous ne voulons pas parler de lui, nous ne sommes pas dupe chez ZATAZ. Nous savons qu’il réclame des failles, des bugs à des tierces personnes. Nous subirons donc son « clic bouton » DDoS. Nous, cela ne nous gêne pas. D’autres, pour gagner une paix numérique, et ne plus subir les sursauts 2.0 d’orgueils, vont vanter les « mérites » inexistant et futiles.

Jusqu’ici rien de bien dramatique. Sauf que des KC, il en existe des milliers sur la toile. Et les premiers responsables de ces actes de malveillances … les parents qui se complaisent dans leur rôle d’amishs 2.0. La rédaction de zataz a joint les parents de KC. Par téléphone. Comment ? L’identité de KC a été diffusée par d’autres camarades voulant se venger de son comportement. Son identité, mais aussi, l’ensemble des informations de la famille du jeune pirate (maman, papa, frères, adresse postale, …) ont été diffusés. Les parents, au téléphone, quand nous leur expliquons que KC fait l’idiot sur la toile et qu’il a mis en danger sa famille nous expliquent : « Nous le savons, nous ne cessons pas de lui dire ! » Inquiétante passivité ! Faut-il pourtant rappeler que les parents, et jusqu’à 18 ans, sont responsables des agissements de leur progéniture. Que pénalement, les parents seront donc considérés comme étant les « piratins » qui bloquent des sites, volent des bases de données, détournent de l’argent de comptes dérobés par leur « môme ». L’adolescent a 18 ans ou plus ? Il vit encore chez papa/maman ? La belle affaire quand vous aurez « Les amis du petit déjeuner » au pied de votre lit. Les risques ? Jusqu’à 5 ans de prison, plusieurs dizaines de milliers d’euros d’amende, un casier judiciaire.

Dans l’un des messages envoyé dernièrement sur Facebook à une maman, à la suite d’un DDoS : « Pour mon cas, il n’y aura pas de plainte auprès de la justice. Je préfère éduquer, que punir. Pour les autres, étant donné qu’il y a eu des pertes financières, je ne sais pas ce qu’ils ont décidé. Bref, pas question de morale, mais je vous conseille de lui faire comprendre qu’être constructif est mieux que destructif » la pauvre dame n’aura qu’une seule réponse « Je suis complétement perdue ! Je ne sais pas quoi faire« . Inquiétante situation !

De son côté,  KC a changé de pseudo, a créé un nouveau nom de groupe [dans lequel il est toujours aussi seul, NDR] et se relance dans sa propre pyramide de Maslow à coup de DDoS et d’espérance 2.0. Il n’a rien compris, et ne semble pas pouvoir comprendre.

Espérons qu’avec ces quelques modestes lignes, les parents et les adolescents auront de quoi débuter une discussion franche et claire. Sinon, vous finirez effectivement comme des Amishs 2.0, à l’écart de la société moderne.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ Magazine » Swatting : Un joueur Français se retrouve face à face avec le GIGN

  2. Obito SQL Reply

    Derien Damien bancal

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.