mercredi 27 décembre 2006

Mieux que Securitech ...

... Security Quest 2007 !

Pour résumer, c'est un concours de piratage interne organisé par l'Epitech - leur devise : "Savoir pirater pour mieux sécuriser" (tout un programme).

Le principe de ce concours, qui dure jusqu'en juin 2007, est de capturer des certificats numériques déposés un peu partout sur les machines de production de l'école. La seule règle : le déni de service est interdit. Par contre défoncer un faux plafond pour pénétrer dans une salle serveur est une technique qui a été reconnue comme légitime par les arbitres ...

Là où ça devient drôle, c'est que des entreprises peuvent demander des certificats à poser sur leurs propres serveurs, ce qui leur permet d'obtenir (gratuitement ?) un "mini audit de sécurité, effectué par des étudiants ultra-motivés".

On dirait que la réputation de l'Epita/Epitech n'est pas prête de s'améliorer ...

PS. J'ai caché un certificat sur mon blog. Le premier à pirater blogger.com gagne donc 1,000 points (et un aller simple pour Guantanamo).

7 commentaires:

Anonyme a dit…

Pour y avoir participé, je peux dire le security quest de l'année dernière fut un succès, tant pour les étudiants que pour les entreprises, puisque mine de rien, c'est effectivement un audit gratuit pour elles, mais un bon exercice pour les étudiants, (qui sont étudiants justement, pas experts en sécurité ou pen testers). Cela dit, plusieurs groupes ont effectivement exploité des faiblesses dans les systèmes et réseaux de ces entreprises et récupéré les certificats en question.

Au final c'est donc pas si mal pour les uns comme pour les autres, mais je concois que le concept amuse...

Anonyme a dit…

C'est de la "famille" en plus (cf. 3e question). Je ne suis pas tout à fait convaincu du titre de ton post en revanche :))

Vincent a dit…

Par reputation, tu entends quoi? Effectivement, le marketing autour fait rire, mais je trouve ca tres interessant comme concept.

Au fait, ca y est, moi aussi j'ai fait le lien. (^-^)

newsoft a dit…

Par "réputation" j'entends par exemple (chercher Sadirac dans la page).

Sinon il me semble que le métier de pen-testeur est déjà suffisamment écorné par les "auditeurs Nessus", si en plus on fait croire que des étudiants obtiennent les mêmes résultats (voire mieux), on va tous finir au SMIC.

Et puis je me demande ce qui se passe si les étudiants défoncent le faux plafond d'une entreprise pour avoir accès physique à sa salle serveur (enfin ici ils seront déchiquetés par les maîtres-chiens avant, mais le problème de la responsabilité reste entier).

Vincent a dit…

S'attaquer au directeur, par le biais d'un article citant des phrases sans contexte... Bon ok j'exagere. Mais avouons qu'on ne fonde pas la reputation d'un peuple sur son dirigeant. (Qui a dit "si"?)

Au niveau pen-testeurs Nessus, je ne connais pas bien le domaine, mais en tout cas au niveau des etudiants, en quoi trouves tu difficile a croire que plusieurs centaines de personnes "motivees" soient incapables de fournir un "mini audit de sécurité"?

Bon le faux plafond, c'est un delire comme un autre. Il y a toujours des certificats hors contexte. De plus ca a l'air de faire marrer tout le monde. Vivement les cours marketing.

newsoft a dit…

IMHO, la motivation ne remplace pas l'expérience.

100 personnes "motivées", mais sans aucune expérience du monde de l'entreprise (= Windows :), ne remplacent pas 1 seul auditeur expérimenté, par exemple au niveau de la pertinence des mesures correctives dans le rapport final.

Quant au directeur, il n'est pas le seul à blâmer. Du temps où j'étais à l'école (c'est-à-dire au siècle dernier :), ce sont ses étudiants qui nous ont piratés. Suite à cet "incident" avec dépôt de plainte, l'EPITA a d'ailleurs été banni du réseau RENATER ...

Anonyme a dit…

"Savoir pirater pour mieux sécuriser" : vraiment excellent là.
Je bossais à côté de deux écoles : Epitech et Iseg (même groupe), et bien l'Iseg possède un wifi bien ouvert :) J'ai été étonné de voir qu'ils utilisaient une Freebox pour leur connexion Web.
C'était bien pratique pour télécharger quand le proxy du boulot bloquait tout.

Ah si, il y avait quand même une "petite sécurité" : un proxy Squid (non transparent), accessible sans login/password.