L'avenir du controversé site Pwnhead en question - Actualités RT Sécurité

L'avenir du controversé site Pwnhead en question

le 16/01/2019, par George Nott, CIO Australie (adaptation Jean Elyan), Sécurité, 910 mots

La question de l'avenir du site Pwnhead, qui répertorie et classe les chercheurs et les conférences sur la sécurité, se pose déjà, deux semaines à peine après son lancement, après les réactions négatives des professionnels du secteur. Certains mettent en question la valeur du classement qu'ils considèrent davantage comme « un concours de popularité ».

L'avenir du controversé site Pwnhead en question

Pwnhead.com a été lancé à la fin de l'année dernière dans le but d'évaluer les conférences sur la sécurité, les entreprises et les personnes travaillant pour elles. « Si une conférence était un film, on pourrait simplement aller sur imdb.com et vérifier son score. Mais il n'y a rien de tel pour les conférences sur la sécurité », peut-on lire dans un message mis en ligne sur le site le 3 janvier. Lequel poursuit : « Il en va de même pour les entreprises et leurs employés. Et pour les mêmes raisons : il n'existe pas de système standardisé d'évaluation/de notation dans le domaine de la sécurité informatique. C'est pour cela que nous avons construit pwnhead.com », indique encore le blog.

Le site a évalué 82 conférences mondiales sur la sécurité en fonction de plusieurs indicateurs, comme sa date de création, le nombre de participants et l'accès à un enregistrement vidéo. Les conférences DEF CON de Las Vegas, Black Hat USA et Black Hat Europe sont les trois premières du premier classement de Pwnhead. La conférence Kiwicon, organisée tous les ans depuis 2007 à Wellington, Nouvelle-Zélande se classe à la 78e place. D'après Pwnhead, les individus sont notés en fonction de leurs « compétences techniques » sur la base de paramètres comme le nombre de référentiels et d'étoiles Github, la popularité de leurs outils de sécurité, le nombre de présentations données lors de conférences importantes, le nombre d'articles et de livres publiés, ainsi que le « poids de l'intervenant dans le domaine de la sécurité », un score « subjectif » attribué par les dix éditeurs de Pwnhead, comme le dit Pwnhead dans sa FAQ.

Selon le même classement, les trois meilleurs chercheurs en sécurité, sur les 196 répertoriés par le site, sont : Tavis Ormandy, chercheur en vulnérabilité chez Google, Dafydd Stuttard, chercheur chez l'éditeur de logiciels de test de sécurité Web Portswigger et Raphael Mudge, cofondateur de Strategic Cyber, éditeur de solutions Red teaming. Cinq chercheurs néo-zélandais figurent dans le classement : Wade Alcorn, Aldo Cortesi, Michael Skelton, Eldar Marcussen, Shubham Shah et Andrew Horton. « Le score d'une entreprise est déterminé en faisant la moyenne des scores des cinq meilleures personnes qui y travaillent », explique encore le site. Google, Atredis Partners, Snap inc., Spectorops et Mozilla figurent parmi les cinq premières entreprises du classement Pwnhead.

Des réactions très négatives

Mais, à peine lancé, le site a fait l'objet de vives critiques de la part de la communauté infosec. Certains ont émis des doutes sur la valeur de ce classement, qu'ils assimilent à un « concours de popularité ». D'autres s'interrogent sur l'anonymat des 10 éditeurs de Pwnhead et de l'opacité de leur algorithme. « Inconditionnel de la sécurité, je trouve vraiment que l'idée de ce tableau de bord est très mauvaise. Je ne veux pas vivre dans un monde où l'on est surveillé et/ou classé pour ses publications. Vraiment, une mauvaise mentalité », a écrit Sh0ck (@Sh0ckFR), le 8 janvier 2019.

« Vous avez été inspirés par un épisode de Black Mirror ? Vous attribuez un « score social » aux chercheurs.... Le monde académique a essayé de le faire aussi en utilisant plusieurs indicateurs, mais c'est une mauvaise idée », a écrit Mathy Vanhoef (@vanhoefm) le 12 janvier 2019.

« Je n'aime pas cette idée, ni cette évaluation sommaire. Ce n'est ni transparent, ni impartial, ni très utile. J'aimerais me retirer de façon proactive pour toujours de ce classement. Ce n'est pas vraiment représentatif de la culture que j'aime dans le monde infosec », a réagi Kody (@KodyKinzie), le 13 janvier 2019.

« Je veux vraiment me tenir à l'écart de ce site. Il est totalement biaisé et il n'est en rien représentatif de la communauté, ni de notre capacité à apprécier les NOUVELLES idées. Pas besoin d'intermédiaires, ni de contrôleurs biaisés. #WeakAF », a écrit pour sa part ShadowOps | (@Shadow0pz), le 13 janvier 2019.

Une liste très scrutée

Un certain nombre de personnes classées sur le site ont demandé à être retirées de la liste. Le compte Twitter du site a d'abord répondu : « c'est juste amusant », en ajoutant qu'il avait expliqué clairement les modalités de mesure et qu'il allait bientôt rendre publique la formule utilisée pour établir son classement.

N'empêche, David Jorm, directeur principal des tests d'intrusion de la Commonwealth Bank of Australia, a posté un message sur Twitter pour dire qu'il se méfierait de tous les chercheurs apparaissant sur la liste Pwnhead. « Cela fait sept ans que j'embauche des testeurs spécialisés dans les intrusions et des ingénieurs de sécurité », a-t-il déclaré. « Tous ceux qui figurent sur la liste Pwnhead seront automatiquement rayés de ma liste s'ils postulent pour un job chez moi. Demandez, s'il vous plaît, à être retirés de cette liste avant de postuler ».

Aujourd'hui, soit un peu plus de deux semaines après son lancement, le site a admis ses lacunes sur Twitter. « Notre intention était de créer une référence fiable pour la communauté de la sécurité. Mais il semble que nous n'y sommes pas parvenus », reconnaît le tweet, toujours anonyme. Pwnhead a également demandé, encore via Twitter, si le site devait continuer sans rien changer ou abandonner son classement des personnes : sur les 400 participants au sondage, 80 % ont déclaré qu'ils souhaitaient la suppression du classement individuel.

Pipka, un skimmer bancaire doté de capacités anti-forensics

Le script Pipka, récemment découvert par des chercheurs du Payment Fraud Disruption (PFD) de Visa, est capable de s'autodétruire après exécution de son code sur un site web, ce qui le rend très difficile à...

le 15/11/2019, par Lucian Constantin, CSO (adapté par Jean Elyan), 811 mots

Comment désactiver le protocole LLMNR dans Windows Server

De façon générale, LLMNR ou Link-Local Multicast Name Resolution (résolution de noms multidiffusion) n'est pas nécessaire dans les réseaux modernes et il laisse la porte ouverte aux attaques man-in-the-middle....

le 07/11/2019, par Susan Bradley, IDG NS (adaptation Jean Elyan), 809 mots

« Les entreprises plus ciblées que le grand public », selon Mikko...

Au cours des deux dernières années, les pirates ont changé de cible. Le grand public est moins visé que les entreprises, et les attaques contre ces dernières sont de plus en plus sophistiquées. Lors du CeBit...

le 04/11/2019, par Julia Talevski, ARNnet (adapté par Jean Elyan), 590 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...