J'ai eu l'occasion de tomber sur un support de formation + exercices en sécurité/tests de pénétration (aka "pentesting") basique (niveau débutant) et c'est frappant de voir à quel point ce métier est devenu -- en bonne partie -- un boulot littéralement de "script-kiddies".
Alors avant de me faire démolir la tête, je précise que je ne mets pas tout le monde dans le même sac, je sais qu'il existe des pentesters ultra pointus et compétents, ceux qui sont "en haut de la chaîne alimentaire" et écrivent le code pour 99,9 % des autres.
"script-kiddie" explication : c'est le terme condescendant utilisé pour désigner ceux qui ne pigent pas grand chose à la sécurité et vont utiliser des recettes déjà en boite (et pour la plupart vieilles et périmés = déjà corrigées presque partout) pour attaquer une cible.
Typiquement le script-kiddie veut attaquer un blog, il va tomber sur un tutorial avec script(s) datant de 2005 expliquant comment attaquer un blog Wordpress à l'époque. Ça peut marcher en 2021 si le blog n'a jamais été mis à jour depuis (= possible mais rare).
Ça c'était l'option "indulgente". Le script-kiddie moins malin (plus fréquent) va faire tourner toute une nuit une série d'attaques périmées pour Windows sur une cible Unix. #spoiler ça ne marche pas du tout.
Corollaires : 1) quand vous achetez du pentesting "tout venant", vous avez des chances de tomber en gros sur le haut du panier de ça (= pas très méchant). 2) si vous avez un système à peu près à jour, vous êtes tranquille en général par rapport à ce niveau de compétence.
3) si vous êtes à jour en sécurité basique et n'êtes pas une cible pour quelqu'un ayant de la compétence très pointue et du temps, ou quelqu'un en mesure d'acheter celles-ci à des tiers, vous avez de grandes chances d'être tranquille.
4) ça c'est un grand classique voire une évidence mais ça vaut la peine de le répéter, qu'un pentesting échoue ne signifie pas qu'il n'y a pas de faille trouvable par un pentester ayant une meilleure compétence ou tout simplement plus de chance.
Bon avec ce fil j'ai dû un peu vexer tous les pentesters qui ne lancent que des scripts, et fait rigoler (un peu jaune) leurs clients :)
• • •
Missing some Tweet in this thread? You can try to
force a refresh
