Blog

Confondre vie privée et sécurité : L'erreur fatale

Secure Code Warrior
Publié le 16 novembre 2018

Lors d'un récent vol long-courrier, j'ai profité de l'occasion pour dévorer un volume, franchement insensé, d'épisodes de podcasts. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec des conversations passionnantes - bien qu'unilatérales - à portée de main de l'écran de mon téléphone.

Finalement, je suis arrivé à un épisode du podcast sur les crimes réels, Casefile. Cette série dramatique et sans tabou (avec un animateur à la voix inquiétante et sans nom) se penche sur un sujet qui fascine même les technologues les plus avertis : le web profond et l'ascension cataclysmique du site web de commerce de contrebande Silk Road. Séparé en deux parties, ceux qui connaissent l'ascension et la chute de Silk Road auront sans doute suivi l'actualité de l'affaire, mais le podcast divulgue chaque petit détail, dans une narration délicieuse et captivante.

La route de la soie : Les leçons du donjon du web profond

Si vous ne connaissez pas les tenants et les aboutissants de Silk Road, sachez qu'un homme a créé un site web commercial sur le web profond, à l'abri des regards indiscrets du grand public et impossible à consulter sans l'utilisation d'un logiciel spécial - le navigateur Tor, pour être exact. Au départ, le site ne proposait que ses champignons magiques, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant de tout, des drogues dures aux armes illégales, en passant par les détails de cartes de crédit volées. Vous pouvez vous informer ici. Le créateur et administrateur du site portait le pseudonyme de Dread Pirate Roberts, inspiré de Princess Bride. Il était tout le monde, il n'était personne. Tous les utilisateurs échangeaient une véritable quantité de marchandises illégales, et ce de manière totalement anonyme (ce qui a valu à Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue, une réputation dont il commence à peine à se défaire).

Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une bête à part entière. Bientôt, des tueurs à gages proposaient leurs services. Les mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle richesse insondable. Il a même essayé d'utiliser les services d'un tueur à gages pour se débarrasser d'un ancien employé. Pour faire court, ce fut l'une des nombreuses décisions stupides qui l'ont mené à sa perte. Il a été démasqué sous le nom de Ross Ulbricht et croupit actuellement dans une cellule d'une prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.

Mais comment s'est-il fait prendre si tout était totalement privé et anonyme ?

Pour parler franchement, c'était un codeur assez médiocre. Le site de la Route de la Soie lui-même était comme une vieille barge qui fuit et qui est abandonnée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante de l'activité illégale (et de toutes les données liées à cette activité), il n'était pas du tout sécurisé ; c'était une cible facile qui n'attendait que d'être exploitée par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue, il n'est probablement pas facile de trouver des employés compétents qui souhaitent s'impliquer dans votre opération. Il n'a pas non plus caché son manque de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte d'utilisateur), demandant de l'aide pour configurer correctement le code de son site afin de se connecter à Tor à l'aide de Curl en PHP. Il a changé son vrai nom en "frosty" moins d'une minute après avoir posté, mais cela n'a manifestement pas aidé... en fait, cela a probablement causé plus de dégâts : la clé de cryptage du serveur de Silk Road se terminait par la sous-chaîne "frosty@frosty", ce qui l'a encore plus impliqué une fois que le FBI a eu vent de son odeur.

Malgré un tel effort de protection de la vie privée, avec une messagerie cryptée, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même lors du transport et de la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht avait peut-être imaginée. Les personnes compétentes (à savoir les programmeurs employés par le FBI) l'ont lentement, mais sûrement, démantelé pour tout révéler... y compris l'identité des milliers de personnes qui ont effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte par le bras long de la loi à un moment donné, comme ce type en Allemagne. Ayez l'obligeance de le dire.

Le FBI a publié des documents expliquant comment il a pu pénétrer dans Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, certes, mais qui a finalement conduit le FBI directement à Ross Ulbricht.

Il semblerait que cette faille - si elle existait - aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité qui surveillent le site. Nik Cubrilovic, un consultant australien en sécurité, affirme qu'elle n'existait tout simplement pas dans une interview accordée à WIRED:

"Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a aucun sens technique."

M. Cubrilovic poursuit en laissant entendre que les informations ont pu être obtenues par des pratiques de piratage illégales. Cette pratique semble être l'injection SQL, une rumeur non prouvée qui a été discutée comme une méthode d'extraction plausible sur de nombreux sites depuis lors.

Les aspects juridiques de la tactique du FBI sont une question tout à fait distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de Silk Road en matière de sécurité, même si les utilisateurs considèrent généralement que le site est "privé". Lorsque la vie privée est confondue avec la sécurité, la possibilité d'exposition à des vulnérabilités est très certainement accrue.

Il est également possible que le site soit toujours en activité (dans sa forme originale, en tout cas ; il a été ressuscité à plusieurs reprises et il existe des sites encore plus importants qui lui ressemblent) si Ross Ulbricht avait fait la distinction entre vie privée et sécurité, en s'efforçant activement de garantir les deux avant que le site ne devienne une gigantesque lampe chauffante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne sur la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.

Vous n'êtes pas un baron de la drogue, alors pourquoi vous en préoccuper ?

La perte de Silk Road et l'emprisonnement de son fondateur n'est pas une histoire triste et sympathique, mais c'est une étude de cas fascinante sur les différences nuancées entre la protection de la vie privée et la sécurité réelle et robuste d'un site. De nombreuses opérations légitimes exigent que les transactions et les informations soient privées - pensez aux dossiers médicaux numérisés, ou même aux millions de numéros de cartes de crédit détenus par une grande banque - mais si elles ne sont pas également sécurisées par un développement logiciel à toute épreuve, ces informations pourraient être récupérées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). La vie privée n'existe pas sans sécurité.

Les bons élèves, comme vous, pourraient avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités figurant dans le Top 10 de l'OWASP; il est donc vital de se préparer à ces vulnérabilités et de les atténuer efficacement. Si les développeurs sont formés à coder de manière sécurisée dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent un état d'esprit axé sur la sécurité et qu'elles donnent à leurs équipes de développeurs les moyens de coder de manière sécurisée. Nous pouvons vous montrer comment le faire de manière amusante, mesurable et ludique. Êtes-vous prêt ?

Voir la ressource
Voir la ressource

Lorsque la vie privée en ligne tente d'exister sans sécurité, le chaos règne. Demandez à Ross Ulbricht.

Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Secure Code Warrior
Publié le 16 novembre 2018

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

Lors d'un récent vol long-courrier, j'ai profité de l'occasion pour dévorer un volume, franchement insensé, d'épisodes de podcasts. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec des conversations passionnantes - bien qu'unilatérales - à portée de main de l'écran de mon téléphone.

Finalement, je suis arrivé à un épisode du podcast sur les crimes réels, Casefile. Cette série dramatique et sans tabou (avec un animateur à la voix inquiétante et sans nom) se penche sur un sujet qui fascine même les technologues les plus avertis : le web profond et l'ascension cataclysmique du site web de commerce de contrebande Silk Road. Séparé en deux parties, ceux qui connaissent l'ascension et la chute de Silk Road auront sans doute suivi l'actualité de l'affaire, mais le podcast divulgue chaque petit détail, dans une narration délicieuse et captivante.

La route de la soie : Les leçons du donjon du web profond

Si vous ne connaissez pas les tenants et les aboutissants de Silk Road, sachez qu'un homme a créé un site web commercial sur le web profond, à l'abri des regards indiscrets du grand public et impossible à consulter sans l'utilisation d'un logiciel spécial - le navigateur Tor, pour être exact. Au départ, le site ne proposait que ses champignons magiques, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant de tout, des drogues dures aux armes illégales, en passant par les détails de cartes de crédit volées. Vous pouvez vous informer ici. Le créateur et administrateur du site portait le pseudonyme de Dread Pirate Roberts, inspiré de Princess Bride. Il était tout le monde, il n'était personne. Tous les utilisateurs échangeaient une véritable quantité de marchandises illégales, et ce de manière totalement anonyme (ce qui a valu à Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue, une réputation dont il commence à peine à se défaire).

Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une bête à part entière. Bientôt, des tueurs à gages proposaient leurs services. Les mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle richesse insondable. Il a même essayé d'utiliser les services d'un tueur à gages pour se débarrasser d'un ancien employé. Pour faire court, ce fut l'une des nombreuses décisions stupides qui l'ont mené à sa perte. Il a été démasqué sous le nom de Ross Ulbricht et croupit actuellement dans une cellule d'une prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.

Mais comment s'est-il fait prendre si tout était totalement privé et anonyme ?

Pour parler franchement, c'était un codeur assez médiocre. Le site de la Route de la Soie lui-même était comme une vieille barge qui fuit et qui est abandonnée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante de l'activité illégale (et de toutes les données liées à cette activité), il n'était pas du tout sécurisé ; c'était une cible facile qui n'attendait que d'être exploitée par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue, il n'est probablement pas facile de trouver des employés compétents qui souhaitent s'impliquer dans votre opération. Il n'a pas non plus caché son manque de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte d'utilisateur), demandant de l'aide pour configurer correctement le code de son site afin de se connecter à Tor à l'aide de Curl en PHP. Il a changé son vrai nom en "frosty" moins d'une minute après avoir posté, mais cela n'a manifestement pas aidé... en fait, cela a probablement causé plus de dégâts : la clé de cryptage du serveur de Silk Road se terminait par la sous-chaîne "frosty@frosty", ce qui l'a encore plus impliqué une fois que le FBI a eu vent de son odeur.

Malgré un tel effort de protection de la vie privée, avec une messagerie cryptée, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même lors du transport et de la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht avait peut-être imaginée. Les personnes compétentes (à savoir les programmeurs employés par le FBI) l'ont lentement, mais sûrement, démantelé pour tout révéler... y compris l'identité des milliers de personnes qui ont effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte par le bras long de la loi à un moment donné, comme ce type en Allemagne. Ayez l'obligeance de le dire.

Le FBI a publié des documents expliquant comment il a pu pénétrer dans Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, certes, mais qui a finalement conduit le FBI directement à Ross Ulbricht.

Il semblerait que cette faille - si elle existait - aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité qui surveillent le site. Nik Cubrilovic, un consultant australien en sécurité, affirme qu'elle n'existait tout simplement pas dans une interview accordée à WIRED:

"Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a aucun sens technique."

M. Cubrilovic poursuit en laissant entendre que les informations ont pu être obtenues par des pratiques de piratage illégales. Cette pratique semble être l'injection SQL, une rumeur non prouvée qui a été discutée comme une méthode d'extraction plausible sur de nombreux sites depuis lors.

Les aspects juridiques de la tactique du FBI sont une question tout à fait distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de Silk Road en matière de sécurité, même si les utilisateurs considèrent généralement que le site est "privé". Lorsque la vie privée est confondue avec la sécurité, la possibilité d'exposition à des vulnérabilités est très certainement accrue.

Il est également possible que le site soit toujours en activité (dans sa forme originale, en tout cas ; il a été ressuscité à plusieurs reprises et il existe des sites encore plus importants qui lui ressemblent) si Ross Ulbricht avait fait la distinction entre vie privée et sécurité, en s'efforçant activement de garantir les deux avant que le site ne devienne une gigantesque lampe chauffante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne sur la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.

Vous n'êtes pas un baron de la drogue, alors pourquoi vous en préoccuper ?

La perte de Silk Road et l'emprisonnement de son fondateur n'est pas une histoire triste et sympathique, mais c'est une étude de cas fascinante sur les différences nuancées entre la protection de la vie privée et la sécurité réelle et robuste d'un site. De nombreuses opérations légitimes exigent que les transactions et les informations soient privées - pensez aux dossiers médicaux numérisés, ou même aux millions de numéros de cartes de crédit détenus par une grande banque - mais si elles ne sont pas également sécurisées par un développement logiciel à toute épreuve, ces informations pourraient être récupérées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). La vie privée n'existe pas sans sécurité.

Les bons élèves, comme vous, pourraient avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités figurant dans le Top 10 de l'OWASP; il est donc vital de se préparer à ces vulnérabilités et de les atténuer efficacement. Si les développeurs sont formés à coder de manière sécurisée dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent un état d'esprit axé sur la sécurité et qu'elles donnent à leurs équipes de développeurs les moyens de coder de manière sécurisée. Nous pouvons vous montrer comment le faire de manière amusante, mesurable et ludique. Êtes-vous prêt ?

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Lors d'un récent vol long-courrier, j'ai profité de l'occasion pour dévorer un volume, franchement insensé, d'épisodes de podcasts. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec des conversations passionnantes - bien qu'unilatérales - à portée de main de l'écran de mon téléphone.

Finalement, je suis arrivé à un épisode du podcast sur les crimes réels, Casefile. Cette série dramatique et sans tabou (avec un animateur à la voix inquiétante et sans nom) se penche sur un sujet qui fascine même les technologues les plus avertis : le web profond et l'ascension cataclysmique du site web de commerce de contrebande Silk Road. Séparé en deux parties, ceux qui connaissent l'ascension et la chute de Silk Road auront sans doute suivi l'actualité de l'affaire, mais le podcast divulgue chaque petit détail, dans une narration délicieuse et captivante.

La route de la soie : Les leçons du donjon du web profond

Si vous ne connaissez pas les tenants et les aboutissants de Silk Road, sachez qu'un homme a créé un site web commercial sur le web profond, à l'abri des regards indiscrets du grand public et impossible à consulter sans l'utilisation d'un logiciel spécial - le navigateur Tor, pour être exact. Au départ, le site ne proposait que ses champignons magiques, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant de tout, des drogues dures aux armes illégales, en passant par les détails de cartes de crédit volées. Vous pouvez vous informer ici. Le créateur et administrateur du site portait le pseudonyme de Dread Pirate Roberts, inspiré de Princess Bride. Il était tout le monde, il n'était personne. Tous les utilisateurs échangeaient une véritable quantité de marchandises illégales, et ce de manière totalement anonyme (ce qui a valu à Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue, une réputation dont il commence à peine à se défaire).

Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une bête à part entière. Bientôt, des tueurs à gages proposaient leurs services. Les mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle richesse insondable. Il a même essayé d'utiliser les services d'un tueur à gages pour se débarrasser d'un ancien employé. Pour faire court, ce fut l'une des nombreuses décisions stupides qui l'ont mené à sa perte. Il a été démasqué sous le nom de Ross Ulbricht et croupit actuellement dans une cellule d'une prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.

Mais comment s'est-il fait prendre si tout était totalement privé et anonyme ?

Pour parler franchement, c'était un codeur assez médiocre. Le site de la Route de la Soie lui-même était comme une vieille barge qui fuit et qui est abandonnée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante de l'activité illégale (et de toutes les données liées à cette activité), il n'était pas du tout sécurisé ; c'était une cible facile qui n'attendait que d'être exploitée par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue, il n'est probablement pas facile de trouver des employés compétents qui souhaitent s'impliquer dans votre opération. Il n'a pas non plus caché son manque de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte d'utilisateur), demandant de l'aide pour configurer correctement le code de son site afin de se connecter à Tor à l'aide de Curl en PHP. Il a changé son vrai nom en "frosty" moins d'une minute après avoir posté, mais cela n'a manifestement pas aidé... en fait, cela a probablement causé plus de dégâts : la clé de cryptage du serveur de Silk Road se terminait par la sous-chaîne "frosty@frosty", ce qui l'a encore plus impliqué une fois que le FBI a eu vent de son odeur.

Malgré un tel effort de protection de la vie privée, avec une messagerie cryptée, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même lors du transport et de la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht avait peut-être imaginée. Les personnes compétentes (à savoir les programmeurs employés par le FBI) l'ont lentement, mais sûrement, démantelé pour tout révéler... y compris l'identité des milliers de personnes qui ont effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte par le bras long de la loi à un moment donné, comme ce type en Allemagne. Ayez l'obligeance de le dire.

Le FBI a publié des documents expliquant comment il a pu pénétrer dans Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, certes, mais qui a finalement conduit le FBI directement à Ross Ulbricht.

Il semblerait que cette faille - si elle existait - aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité qui surveillent le site. Nik Cubrilovic, un consultant australien en sécurité, affirme qu'elle n'existait tout simplement pas dans une interview accordée à WIRED:

"Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a aucun sens technique."

M. Cubrilovic poursuit en laissant entendre que les informations ont pu être obtenues par des pratiques de piratage illégales. Cette pratique semble être l'injection SQL, une rumeur non prouvée qui a été discutée comme une méthode d'extraction plausible sur de nombreux sites depuis lors.

Les aspects juridiques de la tactique du FBI sont une question tout à fait distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de Silk Road en matière de sécurité, même si les utilisateurs considèrent généralement que le site est "privé". Lorsque la vie privée est confondue avec la sécurité, la possibilité d'exposition à des vulnérabilités est très certainement accrue.

Il est également possible que le site soit toujours en activité (dans sa forme originale, en tout cas ; il a été ressuscité à plusieurs reprises et il existe des sites encore plus importants qui lui ressemblent) si Ross Ulbricht avait fait la distinction entre vie privée et sécurité, en s'efforçant activement de garantir les deux avant que le site ne devienne une gigantesque lampe chauffante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne sur la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.

Vous n'êtes pas un baron de la drogue, alors pourquoi vous en préoccuper ?

La perte de Silk Road et l'emprisonnement de son fondateur n'est pas une histoire triste et sympathique, mais c'est une étude de cas fascinante sur les différences nuancées entre la protection de la vie privée et la sécurité réelle et robuste d'un site. De nombreuses opérations légitimes exigent que les transactions et les informations soient privées - pensez aux dossiers médicaux numérisés, ou même aux millions de numéros de cartes de crédit détenus par une grande banque - mais si elles ne sont pas également sécurisées par un développement logiciel à toute épreuve, ces informations pourraient être récupérées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). La vie privée n'existe pas sans sécurité.

Les bons élèves, comme vous, pourraient avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités figurant dans le Top 10 de l'OWASP; il est donc vital de se préparer à ces vulnérabilités et de les atténuer efficacement. Si les développeurs sont formés à coder de manière sécurisée dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent un état d'esprit axé sur la sécurité et qu'elles donnent à leurs équipes de développeurs les moyens de coder de manière sécurisée. Nous pouvons vous montrer comment le faire de manière amusante, mesurable et ludique. Êtes-vous prêt ?

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Secure Code Warrior
Publié le 16 novembre 2018

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.

Partager sur :

Lors d'un récent vol long-courrier, j'ai profité de l'occasion pour dévorer un volume, franchement insensé, d'épisodes de podcasts. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec des conversations passionnantes - bien qu'unilatérales - à portée de main de l'écran de mon téléphone.

Finalement, je suis arrivé à un épisode du podcast sur les crimes réels, Casefile. Cette série dramatique et sans tabou (avec un animateur à la voix inquiétante et sans nom) se penche sur un sujet qui fascine même les technologues les plus avertis : le web profond et l'ascension cataclysmique du site web de commerce de contrebande Silk Road. Séparé en deux parties, ceux qui connaissent l'ascension et la chute de Silk Road auront sans doute suivi l'actualité de l'affaire, mais le podcast divulgue chaque petit détail, dans une narration délicieuse et captivante.

La route de la soie : Les leçons du donjon du web profond

Si vous ne connaissez pas les tenants et les aboutissants de Silk Road, sachez qu'un homme a créé un site web commercial sur le web profond, à l'abri des regards indiscrets du grand public et impossible à consulter sans l'utilisation d'un logiciel spécial - le navigateur Tor, pour être exact. Au départ, le site ne proposait que ses champignons magiques, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant de tout, des drogues dures aux armes illégales, en passant par les détails de cartes de crédit volées. Vous pouvez vous informer ici. Le créateur et administrateur du site portait le pseudonyme de Dread Pirate Roberts, inspiré de Princess Bride. Il était tout le monde, il n'était personne. Tous les utilisateurs échangeaient une véritable quantité de marchandises illégales, et ce de manière totalement anonyme (ce qui a valu à Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue, une réputation dont il commence à peine à se défaire).

Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une bête à part entière. Bientôt, des tueurs à gages proposaient leurs services. Les mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle richesse insondable. Il a même essayé d'utiliser les services d'un tueur à gages pour se débarrasser d'un ancien employé. Pour faire court, ce fut l'une des nombreuses décisions stupides qui l'ont mené à sa perte. Il a été démasqué sous le nom de Ross Ulbricht et croupit actuellement dans une cellule d'une prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.

Mais comment s'est-il fait prendre si tout était totalement privé et anonyme ?

Pour parler franchement, c'était un codeur assez médiocre. Le site de la Route de la Soie lui-même était comme une vieille barge qui fuit et qui est abandonnée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante de l'activité illégale (et de toutes les données liées à cette activité), il n'était pas du tout sécurisé ; c'était une cible facile qui n'attendait que d'être exploitée par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue, il n'est probablement pas facile de trouver des employés compétents qui souhaitent s'impliquer dans votre opération. Il n'a pas non plus caché son manque de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte d'utilisateur), demandant de l'aide pour configurer correctement le code de son site afin de se connecter à Tor à l'aide de Curl en PHP. Il a changé son vrai nom en "frosty" moins d'une minute après avoir posté, mais cela n'a manifestement pas aidé... en fait, cela a probablement causé plus de dégâts : la clé de cryptage du serveur de Silk Road se terminait par la sous-chaîne "frosty@frosty", ce qui l'a encore plus impliqué une fois que le FBI a eu vent de son odeur.

Malgré un tel effort de protection de la vie privée, avec une messagerie cryptée, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même lors du transport et de la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht avait peut-être imaginée. Les personnes compétentes (à savoir les programmeurs employés par le FBI) l'ont lentement, mais sûrement, démantelé pour tout révéler... y compris l'identité des milliers de personnes qui ont effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte par le bras long de la loi à un moment donné, comme ce type en Allemagne. Ayez l'obligeance de le dire.

Le FBI a publié des documents expliquant comment il a pu pénétrer dans Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, certes, mais qui a finalement conduit le FBI directement à Ross Ulbricht.

Il semblerait que cette faille - si elle existait - aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité qui surveillent le site. Nik Cubrilovic, un consultant australien en sécurité, affirme qu'elle n'existait tout simplement pas dans une interview accordée à WIRED:

"Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a aucun sens technique."

M. Cubrilovic poursuit en laissant entendre que les informations ont pu être obtenues par des pratiques de piratage illégales. Cette pratique semble être l'injection SQL, une rumeur non prouvée qui a été discutée comme une méthode d'extraction plausible sur de nombreux sites depuis lors.

Les aspects juridiques de la tactique du FBI sont une question tout à fait distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de Silk Road en matière de sécurité, même si les utilisateurs considèrent généralement que le site est "privé". Lorsque la vie privée est confondue avec la sécurité, la possibilité d'exposition à des vulnérabilités est très certainement accrue.

Il est également possible que le site soit toujours en activité (dans sa forme originale, en tout cas ; il a été ressuscité à plusieurs reprises et il existe des sites encore plus importants qui lui ressemblent) si Ross Ulbricht avait fait la distinction entre vie privée et sécurité, en s'efforçant activement de garantir les deux avant que le site ne devienne une gigantesque lampe chauffante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne sur la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.

Vous n'êtes pas un baron de la drogue, alors pourquoi vous en préoccuper ?

La perte de Silk Road et l'emprisonnement de son fondateur n'est pas une histoire triste et sympathique, mais c'est une étude de cas fascinante sur les différences nuancées entre la protection de la vie privée et la sécurité réelle et robuste d'un site. De nombreuses opérations légitimes exigent que les transactions et les informations soient privées - pensez aux dossiers médicaux numérisés, ou même aux millions de numéros de cartes de crédit détenus par une grande banque - mais si elles ne sont pas également sécurisées par un développement logiciel à toute épreuve, ces informations pourraient être récupérées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). La vie privée n'existe pas sans sécurité.

Les bons élèves, comme vous, pourraient avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités figurant dans le Top 10 de l'OWASP; il est donc vital de se préparer à ces vulnérabilités et de les atténuer efficacement. Si les développeurs sont formés à coder de manière sécurisée dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent un état d'esprit axé sur la sécurité et qu'elles donnent à leurs équipes de développeurs les moyens de coder de manière sécurisée. Nous pouvons vous montrer comment le faire de manière amusante, mesurable et ludique. Êtes-vous prêt ?

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles