Tim Green, de Network World, vient de publier un article intitulé « 7 façons d’éviter d’être attaqué par les Anonymes ». Il y reprend les principales erreurs et mauvaises pratiques qui ont permis la mise à sac du cabinet HB Gary Federal. L’on y apprend comment observer à la lettre une bonne politique de création et d’usage de mots de passe et l’on se fait sermonner sur le manque de préparation des employés envers les tentatives de récupération d’information par ingénierie sociale.
Si ces conseils sont bels et bons, il y a peu de chances qu’ils soient un jour appliqués à la lettre (car bien souvent trop complexes à suivre), ou qu’ils puissent constituer une garantie absolue d’invulnérabilité… il existe tellement de défauts ou d’imperfection dans un système d’information.
L’affaire HBGary est essentiellement politique et tactique. Cette longue succession d’erreurs de jugement et de poussées de testostérones n’a prouvé qu’une chose : l’agressivité aveugle répond à l’agressivité aveugle, l’infantilisme à l’infantilisme et la fanfaronnade à la fanfaronnade. Et contre ce genre d’attitude, il n’existe ni norme iso, ni patch de sécurité. Seule l’éducation et l’intelligence auraient pu mettre un terme à cette situation, et elles ont fait défaut d’un côté comme de l’autre. Ce qui est inexcusable de la part de collaborateurs responsables occupant des postes clef au sein d’une entreprise de sécurité.
A noter, dans la masse de documents HBGary « fuités » sur Pirate Bay et autres médias, quelques analyses de botnet dignes des papiers du Luhrq haute époque et sélectionnés amoureusement par Cryptome.