mars 25th, 2010

L’Angleterre a peur. Selon une étude de la société Israélienne Tufin, un gamin Britannique sur quatre avoue avoir tenté de « hacker » le compte Facebook d’un proche en lui dérobant son mot de passe. 78 % des « coupables » reconnaissent que cet acte est peu moral. Cette pratique est répandue aussi bien auprès des jeunes garçons que des jeunes filles. Ces crises de voyeurisme s’assouvissent indifféremment dans la chambre du coupable (27%), dans un Web-Bar (22%), un ordinateur appartenant à un établissement scolaire (21%) ou la machine d’un copain (19%).

Sur toutes ces tentatives de pénétration, 46% d’entre elles étaient motivées par un simple amusement, 21% pour provoquer un dysfonctionnement et 20 % pour y trouver un éventuel moyen de se « faire de l’argent ». 5% « seulement », précise l’étude, avaient trouvé en cette pratique un catalyseur les ayant fait basculer du côté « obscur de la force ».

L’étude repose sur un échantillonnage de 1000 jeunes Londoniens et 150 Cumbriens. Paradoxalement, c’est dans cette région montagneuse du Nord de l’Angleterre que semble s’éveiller les vocations précoces. En Cumbrie, l’on hack à 78% avant 13 ans… seuls 44 % des Londoniens piratent avant 16 ans, et 16 % de ce groupe étaient dans la tranche la plus jeune des 10/15 ans.

Repris pratiquement dans son intégralité, le communiqué de presse de Tufin a fait le tour des rédactions anglo-saxonnes : Network World, CNN, New Kerala, la BBC, One India, ces chiffres ont fait le tour du monde, sans éveiller de la part de nos confrères autre chose que des remarques inquiètes sur le manque de morale et de discernement de cette génération numérique montante.

L’on pourrait pourtant considérer la chose sous un éclairage plus optimiste : de ces « jeux d’enfant » souvent cruels comme des jeux d’enfant, en ressort nécessairement une prise de conscience bien plus aigüe que celle de leurs parents pour ce qui concerne la relative (in)sécurité des réseaux sociaux. En outre, le terme « hacker » a, pour une fois, été utilisé dans son sens le plus accepté. Car à 13 ou 14 ans, on « casse » bien plus pour « voir comment çà marche à l’intérieur » que pour sciemment nuire à autrui. Plutôt que de jouer les Cassandres, les analystes de Tufin pourraient interpréter ces chiffres comme étant l’indice qu’il existe, dans les cerveaux de nos héritiers, le germe de la curiosité et de l’expérimentation, même si celle-ci sent un peu le souffre. Et que les futurs gourous et bidouilleurs de haut vol auraient plutôt tendance à naître dans un milieu provincial, campagnard et montagnard plutôt que dans les grandes villes situées à l’altitude zéro. Une conséquence indirecte de la pression atmosphérique ou la preuve que les statistiques qui veulent traiter de cyberdélinquance ne veulent parfois strictement rien dire.

Distribué via Google Code, Skipfish est un outil servant à examiner la structure et les pages actives d’un serveur Web, dans le but premier d’en détecter notamment les sections vulnérables ou dangereuses. Il se situe en droite ligne d’autres « appareils à rayons X » pour serveurs http tels que Nikto. Outil testeur de vulnérabilités, chargé de détecter le moindre élément pouvant servir à une « server side attack » (XSS, injections SQL, shell ou Xpath, Mime forgés, requêtes http dangereuses…) , c’est également un stéthoscope relativement indiscret et un outil de bench de montée en charge assez impressionnant, 7000 requêtes par seconde en local.

Skipfish a été développé en C par Michael Zalewski, et tourne sous Linux, FreeBSD 7.0+, MacOS X et Cygwin sous Windows.