L’Amérique serait-elle sur le point d’avoir son « affaire Kitetoa » ? Il semble en tous cas qu’elle en prenne partiellement le chemin. Plentyoffish est un site de rencontre entre adultes. Réputé semble-t-il, puisqu’une faille de sécurité de ses installations informatiques a exposé les crédences de quelques 30 millions d’inscrits. A l’origine de la découverte de cette faille Chris Russo, un chercheur Argentin, qui prouve la chose au journaliste Brian Krebs grâce à une petite démonstration sur un compte temporaire. Il apparaît immédiatement que la base de mots de passe est stockée « en clair » sur les serveurs vulnérables. Krebs prévient alors les responsables du site, qui ignorent dans un premier temps ses avertissements. Puis, par le truchement d’un « blog-d’entreprise-qui-n’engage-pas-l’opinion-des-autres-dirigeants », le fondateur de Plentyoffish crie au scandale en accusant l’inventeur de la faille de tentative d’extorsion et Brian Krebs de complicité. Propos sur lesquels l’intéressé s’est rétracté depuis, mais qui sont assez symptomatiques du syndrome de l’image de marque subi par des chefs d’entreprise ne comprenant rien au monde de la sécurité informatique : le messager est nécessairement aussi coupable que l’auteur du hack, et toute personne prévenant d’une faille est ipso facto un pirate animé de mauvaises intentions.
Il y a là de notables différences techniques avec l’affaire Kitetoa, mais le fond est tout à fait analogue : il est plus facile de poursuivre un organe de presse situé dans le même espace juridictionnel que la « victime » d’un défaut de sécurité que de se retourner contre d’éventuels attaquants vivant dans un pays étranger, ou même que de corriger la politique de sécurité du système. Cet argument du « coût induit de la mise à niveau des infrastructures » avait d’ailleurs été invoqué lors du procès New York Times contre Adrian Lamo : le montant des investissements nécessaires à la consolidation des défenses périmétriques avait été imputé aux « dégâts provoqués par l’intrusion ». Les pourfendeurs de la Sécurité par l’Obscurantisme apprécieront.
Brian Krebs a la chance d’être un journaliste réputé, que l’on peut difficilement accuser de complicité avec quelque organisme que ce soit. Sa réputation d’ancien ténor du Washington Post, ses titres de gloire, dont notamment la chute de l’hébergeur véreux McColo, ont dû immédiatement faire réagir les avocats de Plentyoffish et inciter le fondateur du site de rencontre à se montrer un peu moins virulent. Cela aurait-il été le cas envers un gratte-papier de la Gazette de Daisy-Town ou de l’Indépendant d’Albuquerque ? Contre le chercheur Argentin, en revanche, la hargne, la rogne, la grogne de ce spécialiste de l’entremise industrielle n’ont pas diminué d’un iota. « La faille a immédiatement été corrigée et les mots de passe des abonnés réinitialisés » explique-t-il. Reste que ladite base de données des mots de passe, comme le faisait justement remarquer Chris Russo, était dépourvue de tout chiffrement et l’est probablement encore.
Cette déplorable succession de propos expéditifs et de prises de positions dogmatiques a éveillé la verve de Lenny Zeltser, du Sans, et l’a poussé à écrire un billet intitulé « comment ne pas répondre à un incident de sécurité ». Y sont décrites par le menu les fautes de jugement et d’action commises par les responsables de PlentyofFish, qui, à ce train-là, pourrait bien devenir un cas d’école ou un exemple caricatural qui ira rejoindre le panthéon des « ratages » de sécurité, entre le bug de l’an 2000, l’affaire CardSystems ou la déjà mentionnée affaire Kitetoa.
L’Institut Ponemon, commandité par la société Tripwire, a réalisé et publié une étude sur les coûts réels de mise en conformité des grandes entreprises aux Etats-Unis (160 sociétés prises en compte, dont 46 de taille internationale). Les résultats de cette consultation laissent apparaître que le coût moyen des PCI-DSS, SarbOx, Hipaa et autres pèserait aux environs de 3,5 millions de dollars, à comparer aux 9,4 millions de dollars que coûteraient les conséquences d’une non-conformité. Un coût qui serait très nettement sous-évalué estiment les enquêteurs du Ponemon, alors que bon nombre d’entreprises accordent des lignes budgétaires rognées aux postes chargés de ces normalisations. Certes, chaque dollar dépensé dans ce domaine n’améliore pas systématiquement le niveau de sécurité des entreprises, reconnaît le rapporteur de l’étude, mais, précise-t-il, cette mise en application a des conséquences systémiques qui tendent de toute façon vers une amélioration générale de la situation.