HP veut enseigner les techniques de ‘hacking’ à ses clients

La Rédaction,

Le groupe américain va lancer un nouveau service d’initiation au mois d’octobre: former ses clients aux techniques du piratage. Et il refute tout risque de contamination de ses interlocuteurs

« On n’est jamais mieux servi que par soi-même » dit le dicton. La société de Palo Alto soutient cet adage puisque pour faire comprendre à ses clients les dangers du ‘hacking’ et en particulier des techniques d’intrusion, elle lance un programme d’initiation à ces pratiques.

Toutefois pour taire les craintes de diffusion de menaces évoquées dans la presse spécialisée, le groupe tente de rassurer en précisant que « l’exploit » utilisé « sera totalement sous contrôle et qu’il ne se propagera pas. »

Richard Brown, responsable de la division Threat management des laboratoires HP a précisé à nos confrères de Silicon.com : « nous utilisons exactement les mêmes techniques que les ‘hackers’ pour obtenir l’accès aux systèmes et aux ressources, mais une fois que cela est fait nous faisons une démonstration pour le sécuriser. Nous ne laissons pas de code malveillant, et encore moins de techniques de propagation des vers ».

Le département « tests d’intrusion de HP (HP Active Countermeasures ou HPAC), va utiliser un serveur unique et entre 8 et 10 clients à scanner pour 250.000 terminaux connectés. Chacun des clients qui assistera aux cours disposera d’une série d’IP à scanner et devra y trouver des vulnérabilités.

R. Brown précise : « Nous essayons d’exploiter les vulnérabilités en envoyant des messages difformes. Par exemple, Code Red exploite une vulnérabilité dans l’application de service web MS IIS, c’est ce type de failles que nous souhaitons exploiter. »

L’équipe de l’HPAC va utiliser des techniques de ‘hacking’ pour créer des ‘buffer overflow’, ‘heap overflows’, etc… « Nos spécialistes vont faire la démonstration de presque toutes les vulnérabilités qui existent sur le Web et même en créer de nouvelles. Par contre, ce sera à nos clients de se débrouiller pour résoudre les menaces, sur les conseils de nos techniciens. »

Ce n’est pas la première fois qu’HP utilise ces techniques. Depuis 2001, c’est ce que fait le groupe en interne pour tester son infrastructure, la nouveauté c’est l’HPAC qui se transforme désormais en prestation de service.

Un bémol tout de même puisque le client qui souhaite s’offrir cette formation doit donner le feu vert à HP pour le scan de son système. Une mesure plutôt contraignante, mais nécessaire. À noter que l’on n’en connaît pas encore le prix.