11
Sep
3

Sécurité, journalisme et enquêtes numériques

J’ai la chance d’avoir un pied dans le monde des médias, monde tout à fait passionnant pour les gens accrocs à l’information comme moi.

Vous êtes sûrement entrain de vous demander pourquoi je vous raconte ça?

La réponse est simple: je pense que des échanges entre journalistes et pentesters peuvent donner des résultats intéressants.

STOP: avant d’aller plus loin, je tiens à préciser il n’est évidemment pas question d’apprendre à des journalistes à pirater quoi que ce soit (surtout pas des messageries vocales) !

Pourquoi me direz-vous ?

C’est simple, un test d’intrusion commence la plupart du temps par une phase de collecte d’informations sur la société et/ou les applications qui seront soumises à la maltraitance du pentester. Cette phase de collecte nécessite donc quelques connaissances techniques permettant d’aller plus loin qu’une simple recherche google de base, le but étant d’obtenir de l’information grise, qui pourrait servir à élaborer des attaques ciblées par la suite ou à vérifier que des données sensibles ne se baladent pas par erreur sur Internet.

Les journalistes étant de plus en plus confrontés à des enquêtes numériques (tout du moins ceux qui ne considèrent pas Internet comme la tanière de Satan), maîtriser ces techniques me semble indispensable. Mais attention, encore une fois il s’agit bien d’amener les journalistes à savoir trouver de l’information grise et non pas noire.

Mais il y a un problème de taille que j’ai pu constater dans bien des situations: un grand nombre de journalistes (à quelques exceptions près et hors presse spécialisée) détestent la “technique”.  Non pas qu’ils soient incapables de comprendre, non non, ils n’aiment pas la technique car ils trouvent cela dégradant.

D’ailleurs, une amie, enseignante à l’EJSP sur son temps libre, m’expliquait encore il y a peu la façon dont ses étudiants se braquaient lorsqu’elle leur parlait d’HTML, dont les bases sont pourtant indispensables à n’importe quel journaliste Web soucieux de la mise en page de ses articles (ou pour y intégrer un contenu dynamique: Google Map, vidéo, Dipity…)

Il pourrait être intéressant d’identifier les causes de ce phénomène mais là n’est pas le propos car je souhaite plutôt profiter de cette modeste tribune qu’est mon blog pour jeter un caillou dans la marre (vu la visibilité de celui-ci je n’ai pas la prétention d’appeler ça un pavé :))!

Amis journalistes (enseignants ou non, étudiants ou non) je m’adresse à vous:

  • Comment ferez vous pour ne pas vous faire manipuler lorsque vous recevrez un mail anonyme dénonçant les agissement d’une société importante si vous ne savez pas remarquer qu’il provient du réseau d’une société concurrente ?
  • Comment trouverez vous la source du buzz du moment si vous ne savez pas ce qu’est une IP, un WHOIS, DNS…
  • Comment pourrez vous expliquer correctement à vos lecteurs un “fait d’armes” numérique si vous n’y comprenez rien (merci à @EricFreyss d’avoir déniché cette perle)
  • Comment ferez vous pour recouper les méta-données de plusieurs documents si vous ne soupçonnez même pas leur existence ou si vous ne savez pas les extraire ?
  • Comment trouverez vous des informations intéressantes sur Internet si vous n’avez pas quelques connaissances en Google Hacking ou si vous ne savez pas ce qu’est le directory listing ?
  • Enfin, comment ferez vous pour assurer la confidentialité de vos sources (vis à vis d’un gouvernement un peu trop curieux ?)  si vous utilisez un mot de passe de 4 caractères ou moins (véridique…) et si vous contre-foutez de savoir ce qu’est SSL, GPG ou Truecrypt ?

Ces questions sont volontairement provoc’, et loin de moi l’idée de vous apprendre votre métier, mais de par mes quelques expériences partagées avec certains de vos collègues je peux vous assurer que tout ceci peut vous être utile.

De plus, peut être éviterons nous par la suite le cliché “petit génie de l’informatique” à chaque fois qu’un gamin de 12 ans sort son LOIC “bien planqué” (hum) derrière la Livebox de Maman.

Aussi, si vous êtes intéressés par ces sujets, je vous invite à me contacter par mail,sur Twitter ou ici même dans les commentaires.

Une chose est sûre, ce savoir est tout à fait transmissible à n’importe quelle personne qui y trouve un intérêt même sans être ingénieur en informatique.

Heat Miser

3 Commentaires:
  1. […] Sécurité, journalisme et enquêtes numériques Source: http://www.heat-miser.net […]

  2. Alain Patoor 7 Oct, 2011

    Vieux journaliste (depuis 1969), j’adhérère totalement au propos. Déjà il y avait un clivage entre SR et reporter : ca sert à quoi d’écrire le meilleur des papiers si la technique ne vient pas le valoriser.
    Les NTIC on ne peut plus les ignorer. Bye bye le stylo plume ou l’Underwood (vous savez encore de quoi je parle ?)du correspondant de guerre

  3. […]  justement les red chefs et chefs du rubrique s’en foutent, nous devons encore plus être vigilants et demandeurs à ce sujet pour que les choses […]

Commenter




Celadon theme by the Themes Boutique