24 mars 2021 • Chronique satirique

SaxX, le pompier pyromane de la cybersécurité

À la Fédération Française des Fuites de Données, on ne théorise pas la fuite : on la pratique. Le 24 mars 2021, le président autoproclamé SaxX publie un message triomphal pour raconter son pentest du matin, en expliquant qu’il a trouvé une clé id_rsa donnant accès au serveur du client, « and a bunch of others ». Ambiance gouvernance par l’exemple.

Leak d'une clé SSH id_rsa par SaxX

À ce stade, tout va bien : un consultant sécurité découvre une mauvaise pratique et décide… de publier une partie de la clé privée sur Twitter pour l’illustrer. La pédagogie par l’exemple, version open bar.

La démonstration pédagogique

Réaction de la communauté est sans équivoque : reconstruire la clé privée complète à partir des informations publiées ressemble à un challenge CTF dont il n'aurai pu être le créateur.

Réponse de la présidence FFFD : un « Go go go boiz ;) » en guise de politique de sécurité, issue tout droit du pic de Dunning-Kruger, persuadé de son génie.

Message Go go go boiz ;)

Puis vient la question simple et fondamentale :

« Can we have confirmation that this key has been burnt? »

Et là : plus de réponse. Fin du fil, rideau, extinction des micros.

Traduction institutionnelle : un consultant sécurité qui se met en scène comme sentinelle anti-fuite, tout en publiant lui-même des infos sensibles d’un client sur la place publique. À ce niveau de cohérence, la Fédération Française des Fuites de Données n’a même plus besoin de service communication : la satire est auto-alimentée.

Le write-up technique sur la reconstruction de clé est disponible ici : https://blog.cryptohack.org/twitter-secrets.

Priorités stratégiques

À l’heure où la psy-ops, l’ingérence politique et les grandes manipulations informationnelles occupent les débats publics, SaxX nous ramène heureusement à l’essentiel : rappeler aux Français que quelqu’un, quelque part, pourrait savoir que vous avez acheté un bouquet de fleurs pour votre femme avec votre carte American Express.

Une vision stratégique de la menace, en somme.

Moralité

Quand on veut prouver qu’il ne faut jamais publier une clé privée… le plus simple reste encore de ne pas en publier une.