S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par bluetouff

Le FIC manque quand même un peu d'humour

Le Forum International de Cybersécurité se tient les 25 et 26 janvier à Lille. Il s'agit d'un très bel évenement où se donnent rendez-vous une bonne partie de l'écosystème de la sécurité informatique. Et quand on parle de sécurité informatique, on y inclu au FIC les forces de l'ordre, les professionnels et les amateurs. Cette mixité a fait du FIC au fil des éditions un espace d'échange et de rencontre assez hors du commun, largement salué par l'ensemble de la communauté.

rainbowhat
rainbowhat
Le Forum International de Cybersécurité se tient les 25 et 26 janvier à Lille. Il s'agit d'un très bel évenement où se donnent rendez-vous une bonne partie de l'écosystème de la sécurité informatique. Et quand on parle de sécurité informatique, on y inclu au FIC les forces de l'ordre, les professionnels et les amateurs. Cette mixité a fait du FIC au fil des éditions un espace d'échange et de rencontre assez hors du commun, largement salué par l'ensemble de la communauté.

Le FIC lieu d'échange, symbole d'ouverture ce n'est pas que sur la plaquette de l'avis de nombreux participants. Mais quand une jeune startup met le doigt sur une faille de sécurité du site web du FIC, on a quand même l'impression que ce petit monde de la sécurité est ancré à ses vieux démons. 01Net a relaté l'histoire de Cesar Security, cette jeune startup qui a épinglé le site du FIC, contacté les responsable de ce site, avant de se retrouver en garde à vue avec son matériel saisi.

Niveau calendrier, cette affaire ne pouvait pas plus mal tomber, juste après l'adoption à l'assemblée nationale d'un amendement visant à exempter de peine (et non de poursuite, de garde à vue, ni même de condamnation) les personnes qui remonteraient des failles de sécurité.

En l'état, même si c'est un bon début, cet amendement est loin d'être satisfaisant. Déjà parce qu'on peut estimer qu'on a autre chose à faire que de la garde à vue quand on est chercheur et qu'on trouve. D'autre part parce que ça coûte vite cher en matériel (nous pourrions épiloguer longtemps sur la restitution de matériel saisi... mais on vous fera comprendre qu'il vaut mieux tirer un trait dessus), et surtout, qui dit poursuite dit frais de défense.

Remonter une vulnérabilité, avec cet amendement ou non, ça coûte donc plusieurs milliers d'euros, même si vous êtes dispensés d'amende.

Mais pour en revenir à l'affaire Cesar Security, nous sommes très surpris chez Reflets de cette réaction des organisateurs du FIC attendu que le FIC est quand même l'évènement qui concentre des sociétés qui s'adonnent aux mêmes pratiques que cette jeune startup.

Souvenez vous, nous étions en janvier 2014. Nos amis d'iTrust avaient jugé bon de lancer un audit sauvage sur Reflets.info et de nous envoyer un rapport d'audit en nous "conseillant vivement de corriger". Le hic, c'était qu'iTrust n'était pas bien intime avec le versionning des packages Debian et se laissait abuser par les faux positifs remontés par son outil. L'affaire nous avait surtout beaucoup amusé et elle est pourtant très similaire (les vulnérabilités réelles et sérieuses en moins). Reflets aurait tout à fait pu, comme le FIC, porter plainte contre l'un des intervenants majeurs (enfin il parait) de cet évènement, pour les mêmes motifs qui ont motivé le FIC à porter plainte contre Cesar Security. Ça aurait fait un peu tâche quand même non ?

Bref, nous regrettons que le FIC manque d'humour et de recul à l'égard de cette jeune société, car même sans connaitre en détail le fond de l'histoire, le FIC porte ici plainte au motif d'une pratique dramatiquement banale de ce petit écosystème, et surtout, envoi un mauvais signal à une période où nous aurions tous à gagner à échanger de manière sereine et ouverte.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée