Confondre confidentialité et sécurité : une erreur fatale
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Lorsque la confidentialité en ligne tente d'exister sans sécurité, le chaos règne. Il suffit de demander à Ross Ulbricht.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
