Le reboot de l’outil PunkSpider à la DEF CON suscite le débat

0

Les chercheurs publieront un reboot de l’outil controversé, PunkSpider, qui explore le Web pour identifier les vulnérabilités back-end des sites Web dans l’espoir que les entreprises les corrigeront rapidement et réduiront les risques de sécurité.

Cependant, les experts ont des sentiments mitigés sur cet outil, créé par la société d’analyse QOMPLX. Ils craignent que l’outil ne soit détourné par des pirates informatiques pour exploiter des vulnérabilités avant que les entreprises n’aient le temps de les corriger.

Alejandro Caceres, directeur de l’exploitation des réseaux informatiques chez QOMPLX, et le hacker Jason Hopper ont présenté une version remaniée de PunkSpider.

QOMPLX a cité la montée des ransomwares comme l’une des raisons du redémarrage de PunkSpider, qui fournit « un outil de surveillance simple et massivement évolutif qui identifie rapidement les lacunes dans les défenses collectives en mettant en évidence les sites Web qui peuvent facilement devenir la proie des attaquants », selon un communiqué de presse. L’outil peut fournir aux internautes et à la cybercommunauté un « point de vue partagé » sur les dangers spécifiques du Web, a déclaré la société.

« Nous voulons que tout le monde puisse répondre à une question simple : à quel point l’Internet que j’utilise est-il dangereux ? » a déclaré Jason Crabtree, PDG de QOMPLX, dans un communiqué de presse : « Nos recherches approfondies ont révélé un nombre important mais malheureusement pas surprenant de vulnérabilités sur le Web. Les exploits courants que PunkSpider détecte servent de proxy clé pour le risque global, et franchement, si les propriétaires de sites Web ne corrigent pas les principes fondamentaux, il est peu probable qu’ils s’attaquent pleinement à des vulnérabilités plus importantes.

Un retour demandé?

Caceres et Hopper ont déclaré que la demande était une autre raison de mettre à jour et de réintroduire l’outil après une interruption de plusieurs années, ajoutant que la myriade de problèmes et l’attention négative avaient forcé l’outil, financé à l’origine par la Defense Advanced Research Projects Agency, à se mettre en hibernation.

« On nous a beaucoup posé de questions ‘à propos de cet outil qui ressemblait à Shodan mais pour les vulnérabilités des applications Web’ « , ont-ils écrit dans un article pour leur session à DEF CON. « PunkSpider… a été supprimé il y a quelques années en raison de plusieurs… problèmes et menaces. Nous ne savions pas dans quelle direction continuer à nous développer, et cela a fini par être un cauchemar à maintenir. »

punkspider

Le nouveau PunkSpider amélioré est un système « entièrement repensé » qui étend également les capacités de l’outil pour trouver les vulnérabilités, ont-ils écrit.

« Ce n’est pas seulement beaucoup plus efficace avec l’informatique distribuée en temps réel et la recherche de bien plus de vulnérabilités, nous avons [également] dû emprunter des voies créatives », ont écrit Caceres et Hopper.

Le nouvel outil aura en fait son propre FAI et centre de données dédié au Canada pour intégrer « des données librement disponibles que tout le monde peut obtenir, mais que la plupart ne savent pas qu’elles sont disponibles », ont-ils déclaré. Les données auxquelles ils se réfèrent seront une collection massive de vulnérabilités Web connues.

Caceres et Hopper prévoient également de publier des dizaines de milliers de vulnérabilités lors de la conférence et demanderont des suggestions sur ce qu’il faut rechercher pour en découvrir encore plus.

Une aubaine pour les bugs bounty?

punkspider

Comme ses créateurs le savent bien, tout le monde n’est cependant pas ravi du retour de PunkSpider.

Dans des commentaires envoyés par courrier électronique à Wired, l’analyste de l’Electronic Frontier Foundation, Karen Gullo, a déclaré que si les personnes derrière PunkSpider ont de « bonnes intentions », rendre les vulnérabilités publiques pourrait se retourner contre eux et avoir l’effet inverse que ceux souhaiter par ses créateurs.

« Les rendre publics pourrait être la chose qui pousse les administrateurs à corriger [ces vulnérabilités]. Mais nous ne le recommandons pas », a-t-elle déclaré à Wired. « Les mauvais acteurs peuvent exploiter les vulnérabilités plus rapidement que les administrateurs ne peuvent les corriger, ce qui entraîne davantage de violations. »

Et tandis que beaucoup sur Twitter ont exprimé leur soutien à l’outil – avec l’expert en cybersécurité Stephen Frei observant que ‘vous ne pouvez pas gérer ce que vous ne pouvez pas mesurer’ – les critiques se sont également rendus sur la plate-forme de réseaux sociaux pour exprimer leur consternation à propos de PunkSpider.

L’un d’eux a suggéré que cela pourrait limiter la possibilité pour les pirates informatiques éthiques de gagner des récompenses pour les vulnérabilités qu’ils trouvent. « D’accord, peut-être que je suis stupide, mais un outil comme celui-ci ne rend-il pas inutiles les primes de bogues ? » a interrogé l’utilisateur de Twitter @thedragonisreal.

Une réponse au Tweet a répliqué que PunkSpider ne détectera certainement pas toutes les vulnérabilités, il y aura donc encore beaucoup de hackers éthiques et de chercheurs qui pourront faire des soumissions aux programmes de récompense de vulnérabilité des entreprises.

Un autre utilisateur de Twitter a soulevé un problème éthique avec l’outil, suggérant qu’il dénonce inutilement les insécurités du site sans preuve que les entreprises réagissent en conséquence et apportent les modifications nécessaires pour se protéger.

« Je ne sais pas si exposer des sites comme celui-ci est une bonne idée sans que les stats ne montrent que cela conduit à des changements significatifs la première fois », a tweeté un utilisateur appelé @cypnk qui est dans l’industrie du matériel médical. « Si ce n’est pas le cas, alors c’est inutilement malveillant. »

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire