Tous les développeurs n'ont-ils pas rêvé un jour de se réveiller de bon matin avec un site Web et un plug-in permettant de révéler au commun des mortels l'intégralité des failles de sécurité présentes sur leur propre site ? C'est une fonctionnalité proposée par PunkSpider, qui fait son grand retour à l'occasion du Def Con 2021.
Lors de la convention hackers la plus célèbre au monde, qui se tiendra à Las Vegas la semaine prochaine, Alejandro Caceres et Jason Hooper, les fondateurs de PunkSpider, vont annoncer avoir l'intention de rééditer leur outil plus que controversé.
Des millions de failles passées au crible par PunkSpider
Vertueux révélateurs de dangers à venir ou déclencheurs de bombes à retardement, libre à chacun et chacune de trancher sur le rôle à accorder à Alejandro Caceres et Jason Hooper, les fondateurs de PunkSpider. Pensé en 2011 et révélé au grand public en 2013, cet outil mis en sommeil depuis plusieurs années pourrait bien faire son grand retour pour dénicher toutes les vulnérabilités des sites internet sur lesquels il œuvre.
Le site Web comme le plug-in, disponible sur Chrome, seront en mesure de vous spécifier toutes les failles présentes sur les sites sur lesquels vous circulez. Sur le site de PunkSpider, il est possible de rechercher les failles d'un autre site Web par mots-clés URL, par type de vulnérabilité ou par gravité de potentiels bogues. L'idée aurait pu être géniale si elle s'était contentée d'avertir les développeurs des failles mises en lumière pour qu'ils les corrigent, dans une optique vertueuse. En réalité, ces faiblesses sont visibles par tous ceux et toutes celles qui disposent de PunkSpider, y compris des hackers, qui verront de potentielles cibles exploitables leur être servies sur un plateau.
L'annonce sera faite lors du Def Con, la plus grande convention de hackers du monde, qui se tient chaque année à Las Vegas depuis 1992 et dont l'édition 2021 s'ouvrira le 5 août prochain, pour se clore le 8. Caceres et Hooper espèrent y convaincre des milliers de développeurs d'établir des correctifs pour mettre fin à ces vulnérabilités, certaines demeurant particulièrement communes malgré des années de mises en garde.
Forcer les développeurs à corriger les failles
Le risque potentiel que des hackers se penchent sur d'éventuelles failles et mettent en péril les sites internet concernés pourrait bien faire infléchir les plus téméraires et permettre de développer les patchs nécessaires. À titre d'exemple, une page d'Epic Game datant de 2004 avait permis à des pirates de prendre possession de milliers de comptes Fortnite.
Alejandro Caceres est donc déterminé à forcer la main des développeurs en question en usant de la manière forte, quitte à mettre en péril les données de milliers d'utilisateurs et utilisatrices du Web.
« Je me suis dit : « Ne serait-ce pas cool si je pouvais analyser l'ensemble du Web à la recherche de vulnérabilités ? Et pour rendre cela encore plus amusant, ne serait-il pas cool de publier toutes ces vulnérabilités gratuitement ? ».
Caceres planche actuellement avec Jason Hooper sur une entreprise spécialisée dans la…. cybersécurité. « Je savais que ça allait avoir des implications. Et après avoir commencé à y penser, j'ai vraiment pensé qu'elles pourraient être bonnes. », précise-t-il. Et vous, que pensez-vous de PunkSpider ?