Frapper avant d’être attaqué, compromettre et riposter : l’école nord-américaine de la SSI prône depuis quelques années une approche plus musclée de la sécurité numérique. Et d’employer forces entreprises « spécialisées dans l’infiltration ». Déjà , Mandiant avait fait les frais de la colère des Anonymous pour s’être montrée un peu trop intrusive. Cette fois, c’est au tour de Hacking Team de voir ses propres réseaux mis à sac et le contenu de plus de 400 Go de données subtilisé et en partie divulgué.
Hacking Team est une entreprise transalpine spécialisée dans l’écriture d’exploits d’espionnage. Ses principaux clients sont de respectables hauts fonctionnaires de différentes nationalités. Au nombre desquelles on compte une proportion assez élevée de dictatures et démocratures. Outre un nombre impressionnant de données concernant ses clients, Hacking Team a également laissé fuiter plusieurs de ses kits d’exploitation. La clientèle a été mise au courant et informée qu’il était urgent de cesser toute activité d’espionnage avec lesdits outils.
Durant les premières 24 heures qui ont suivi le hack, l’équipe de Hacking Team s’est montrée totalement incapable de constituer une cellule de crise efficace, se contentant de nier l’évidence, voire de conspuer certains blogueurs dont Bruce Schneier, ainsi soupçonné d’amplifier l’affaire pour soi-disant mieux vendre ses livres (sic).
De source bien informée (un porte-parole d’Akamai), le hack aurait été facilité par une mauvaise politique de crédences*, comptant notamment de nombreux mots de passe réutilisés.
Il existe, en France, quelques entreprises également impliquées dans des pratiques comparables. Espérons pour elles que leurs fichiers ne sont pas directement accessibles par réseau. Un malheur est si vite arrivé.
NdlC Note de la Correctrice : De grâce, évitez à tous prix de vouloir me prendre de l’ouvrage en envoyant moult emails emplis d’ire et de sapience, m’expliquant que le mot crédence (ou crédance, les deux sont acceptés) ne s’applique que pour désigner un adorable petit vaisselier. Le mot vient de « crédit » et concerne bien le sceau de confiance que l’on accorde à une personne… du moins il n’y a pas si longtemps, affirment tant le Furetière que le Dictionnaire Godefroy. Le « credential » anglo-saxon découle d’ailleurs de ce radical.