Pentest et Pentesteur

Imagem de capa

Stupeur et consternation ce mardi sur les réseaux sociaux, où notre très estimé confrère Denis Szalkowski (alias @bloginfaux sur Twitter) s’est fait longuement harceler par une bande de jeunes pentesteurs des quartiers difficiles.

La cause ? Un tweet mentionnant un article publié sur le blog de notre éminent collègue. Face à l’intensité des réactions qu’il a suscitées, Denis Szalkowski a tenu à supprimer ce tweet, de peur d’éventuelles répercussions sur sa carrière informatico-politique.

Insurgée devant cette attaque inadmissible de la communauté sur un des piliers de l’informatique française, la rédaction d’Infauxsec News a décidé de publier cet article afin d’apporter son soutien à l’homme victime des critiques tout en clarifiant ses intentions dont la mésinterprétation a pu mener à la controverse.

NDLR : pour comprendre cet article et l’inutilité de la sécurité informatique en général, une connaissance profonde de la guerre d’Afghanistan est préférable.

La controverse démystifiée

Nous pensons que ce qui a pu causer une telle incompréhension du côté de la communauté réside dans la granularité hasardeuse des termes utilisés dans l’article ; en effet, bien qu’intitulé « Pentest et pentesteur », l’intention n’est pas de dénigrer cette profession en particulier mais bien de pointer le doigt sur l’inutilité de toute forme de sécurité informatique (autre que l’utilisation de Nessus), gouffre financier s’il en est.

Quel est l’intérêt de dépenser des fortunes pour tester des systèmes d’authentification quand trois lignes de JavaScript pour vérifier le mot de passe suffisent ? Cette approche est totalement sécurisée, mais ces vautours de professionnels de la sécurité voudraient nous faire croire que la vérification doit se faire côté serveur. Ces types sont des arnaqueurs embauchés pour vous faire utiliser plus de cycles CPU sur votre instance AWS pour lesquels Amazon leur donne un peu d’argent.

Certains vont même jusqu’à nous parler des « APT », ces fameux gestionnaires de paquets malveillants développés par des puissances étrangères ou des organisations criminelles pour mieux vous voler votre numéro de CB sauvegardé sur Cdiscount. Il va sans dire que cette menace est inexistante (puisque ces puissances étrangères consistent uniquement de gugusses sous Kali Linux), et n’est qu’une version numérique du croque-mitaine utilisée pour que les jeunes développeurs n’oublient pas de fermer leurs balises doubles.

Inspirés par le courage de notre confrère pour prendre la parole, nous avons également rédigé une lettre à l’attention du président de la République demandant la dissolution de l’ANSSI, dont le budget est conséquent (80 millions d’euros) et ne sert au final qu’à compléter le petit Larousse d’expressions peu usitées. Nous évoquons également au sein de cette lettre la possibilité pour l’Élysée de proposer à notre cher collègue un poste à la hauteur de ses compétences en informatique, comme par exemple « conseiller officiel à la cybersécurité » ou « community manager ».

Merci à ce grand monsieur qui est un véritable exemple pour notre profession.