Un informaticien Français lance le défit d’un système capable de sécuriser les sites web, quelque soit le niveau du propriétaire, face aux malveillances numériques.
Flavien Normand, a 22 ans. Développeur, il a une dizaine de langage de programmation à son actif. Cet étudiant a commencé le développement informatique à l’âge de 15 ans, d’abord sur des émulateurs de jeu en ligne développés en Java. Trois ans plus tard, après avoir été la cible d’une tentative de fraude via un site de vente en ligne, il va se pencher sur la sécurité informatique. White Hat dans l’âme, il a très vite compris que ce n’est pas parce qu’on sait fracturer une serrure que l’on va le faire pour son propre intérêt.
Son premier projet, Whys, a été réalisé en solo au cours de ses premières années d’études à Nantes, au sein de l’IMIE. Un scanner de vulnérabilité qui regroupe plusieurs outils afin de trouver les failles sur son propre site et les corriger soi même. A noter que le code source de Whys est disponible, en open source. Bilan, ce premier essai dans la sécurité informatique l’a motivé à lancer un nouveau projet autour d’un outil de sécurité informatique qui pourra protéger les sites Internet, quelque soit le niveau du propriétaire. DataSecurityBreach a rencontré l’inventeur, interview !
DataSecurityBreach – Présentation du projet
Flavien Normand – Aujourd’hui, de plus en plus de sites web sont attaqués par deface « à l’aveugle », en utilisant des DORKS ou autre outil, les hackers attaquent des sites en trouvant directement un élément faillible dans celui-ci, et exploitent cette faille avec un script afin d’installer sur le serveur distant une pharmacie illégale, un phishing, un deface pour représenter une cause qu’ils veulent défendre ou bien simplement un ver pour utiliser la machine plus tard.
Les cibles les plus touchées dans ce type d’attaque sont les TPE, les PME et les blogs car elles n’ont pas les moyens de maintenir la sécurité sur leur site web, ou n’y allouent pas assez de temps/budget pour la plus grande partie, et les solutions de maintenance informatique disponibles aujourd’hui sont très chères. On retrouve souvent des arguments comme « mais personne ne va nous attaquer, on ne fait que…. » le soucis, c’est que personne n’a besoin de vous attaquer pour vous voler des données, mais ils peuvent simplement vous attaquer pour le « fun » ou pour préparer un DDoS en utilisant votre serveur, ou encore pour installer un phishing, etc. Vous avez sûrement déjà pu voir beaucoup d’exemples.
Le projet, pour l’instant baptisé Flawless, est présent pour résoudre ce soucis. Un scanner de vulnérabilité qui vous tiens au courant régulièrement de l’état de sécurité de votre application web, et vous averti en cas de faille, avec un service disponible pour fixer les failles trouvées.
DataSecurityBreach – Le principe de votre outil ?
Flavien Normand – Le concept du projet est simple: Sécuriser les sites web, quelque soit le niveau du propriétaire de celui-ci.
Le projet est donc un scanner de sécurité automatisé, vous inscrivez votre site, confirmez que vous êtes bien le propriétaire, puis vous réglez la fréquence des scans et leur horaire (vous pouvez par exemple demander 1 scan par semaine, le mardi à 4h du matin pour éviter tout soucis au niveau des tests les plus stressants). Une fois le scan terminé, vous recevez un email de synthèse du résultat vous expliquant si il y a des failles, avec les informations que nous avons trouvé dessus.
Si vous savez corriger la faille, ou que vous avez du personnel compétent pour trouver un fix à celle-ci, vous pouvez la fixer de votre coté, la mettre en production et demander un scan hors prévision pour vérifier que la faille est bel et bien fixée ou simplement attendre le prochain scan planifié.
Si vous ne savez pas corriger la faille, vous pouvez demander une prestation au près de notre équipe, qui se fera un plaisir de corriger et sécuriser votre application web.
DataSecurityBreach – Important de protéger les bloggueurs ?
Flavien Normand – Oui, il est important de protéger les blogueurs car ce sont les plus vulnérables. Aujourd’hui, n’importe qui peut se créer un blog sur son serveur mutualisé, il télécharge wordpress sur le site officiel, ou demande même directement un site avec wordpress installé (certains hébergeur font ça). Il installe les plugins et thèmes dont il a besoin, et ce sans connaître le développement web, pas besoin car les CMS sont présents pour cela.
6 mois plus tard, on retrouve notre petit blogueur, qui a une petite communauté sur son blog et aime partager ses articles quotidiens sur ses sujets favoris. Sauf que son fournisseur d’accès le contacte et lui bloque son site car celui-ci émet un nombre trop important de requêtes sortantes d’un coup. Il se demande ce qu’il se passe, et est bloqué car son blog est hacké, et il ne sait absolument pas comment corriger cela.
Mieux vaut prévenir que guérir ! Ce vieil adage est adapté pour le cas de la sécurité informatique, et dans notre exemple avec Mr blogueur, encore plus. En effet, flawless étant présent pour surveiller la présence de failles sur le site donné, il aurait pu prévenir notre blogueur de la faille, et simplement lui dire que son plugin d’envoi d’images était faillible, et qu’il fallait soit le mettre à jour, soit en choisir un autre (suivant les informations recueillies).
DataSecurityBreach – L’automatisation de la sécurité informatique, pas dangereux ?
Flavien Normand – J’entends par cela le fait que l’internaute se sent rassuré, donc ne met plus les mains dans son code.
Le but de l’outil n’est pas de corriger les failles à votre place, mais de les signaler. Si vous souhaitez par la suite une prestation pour fixer les failles en question, c’est un humain qui sera chargé de la tâche si celle-ci est spécifique, sinon un script sera mis à votre disposition et vous aurez simplement à le lancer, et le script, une fois terminé, se supprimera lui même, afin d’éviter toute fausse manipulation.
DataSecurityBreach – Cela vise quelle plateforme ?
Flavien Normand – L’application sera disponible sous forme d’un site web, avec une interface de gestion et un dashboard pour se tenir au courant des nouveautés, et de l’état général de son site en se basant sur les résultats des derniers scans.
DataSecurityBreach – Quel avenir pour votre projet ?
Flavien Normand – L’avenir du projet, c’est de devenir le pilier d’une startup, et de sécuriser un maximum de personnes en France et dans le monde, mais avant tout ceux qui en ont besoin et qui n’en ont pas forcément les ressources/le temps.
DataSecurityBreach – Et si votre outil est piraté ? La base de données des utilisateurs pourra permettre aux malveillants d’accéder à leurs failles ?
Flavien Normand – Avant tout, l’application est bien sûr sécurisée au maximum, mais comme il est essentiel de prévoir l’imprévu. Nos données sont donc stockées de manière à ce que même nos développeurs sont incapables de les lire, les seules entités capables de lire les données sont le serveur, et la personne qui aura développé le système de stockage (moi même).