Hacker's List veut améliorer sa réputation en nettoyant les annonces douteuses

Lancée en novembre dernier par Charles Tendell, la plate-forme Hacker’s List, inspirée de la fameuse Craigslist, propose les services de spécialistes en sécurité. Elle a rapidement suscité un grand intérêt dans la communauté et attiré des talents de très haut niveau intéressés par cette place de marché où les hackers free-lance peuvent proposer leurs services et consulter les requêtes. Seul problème, certains services demandés par les clients (entreprises et particuliers) intéressés par ce « droit à hacker » dépassent les frontières du légal. Certaine personnes étaient prêtes à payer un hacker pour obtenir les mots de passe de comptes Gmail ou Facebook d’un ou d’une ex, ou la liste des clients d’un de ses concurrents. De nombreux projets soumissionnés étaient ainsi parfaitement illégaux.

Le site Hacker's List surfe une activité qui frise avec l'illégalité

Le problème a été publiquement soulevé par Jonathan Mayer, un avocat également doctorant en sciences de l’informatique à l'Université de Stanford. Avec une sonde web, qu’il a lui même programmé, M. Mayer a analysé 7 200 projets sur le site Hacker’s List avant de publier les résultats jeudi dernier sur son blog. «La plupart des demandes sont peu sophistiquées et illégales, très peu de transactions sont effectivement réalisée, et les projets achevés semblent bien être criminels», écrit M. Mayer. La majorité des appels d'offres implique la compromission de services cloud, Facebook et Google sont les plus mentionnés, précise-t-il encore. Un grand nombre de projets demandent aussi de l'aide pour améliorer artificiellement ses diplômes.

Contrôle superficiel des demandes et des offres

Charles Tendell, fondateur et CEO de la société Azorian Cyber ​​Security basée à Colorado Springs dans le Colorado, a déclaré qu'il avait consulté le rapport de M. Mayer et que « tout est exact ». Il est très facile de créer un compte sur le site Hacker’s List – via Facebook Connect par exemple – afin de consulter les projets mis aux enchères. M. Tendell indique que Hacker’s List permet de demander n’importe quel projet, ce qui est la raison du nombre élevé de requêtes clairement illégales sur le site. Mais il ajoute que les administrateurs du site suspendent certaines demandent pour vérification et en rejettent d’autres illégales. Hacker’s List informe à la fois le hacker et l'employeur avant d'approuver un projet.

La mise en relation exige l'identification et un contrat signé par les deux parties attestant que leur accord est conforme aux conditions de Hacker’s List, qui interdisent toute activité illégale. « Si vous n'êtes pas en mesure de fournir ces informations, nous ne serons pas en mesure de valider votre transaction, surtout si elle ressemble illégale en surface », précise-t-il. Pour filtrer les demandes de services illégaux, il a décidé de faire appel à la communauté du site pour signaler les messages suspects. Si un projet récolte deux alertes, le personnel de Hacker’s List - cinq personnes seulement - examinera le message avant de décider de le supprimer s’il viole les conditions de service. Jonathan Mayer n’est toutefois guère convaincu par cette politique. «Étant donné que la majorité des demandes des utilisateurs concerne des crimes fédéraux, je doute que cette communauté réussisse à se surveiller elle-même»,  a-t-il indiqué.

Beaucoup de projets illégaux non publics

Hacker’List prélève une commission de 15% sur les projets, mais il commence à changer son modèle économique. Les hackers doivent désormais régler une somme de 3 $ pour soumissionner sur un projet et à chaque fois qu'ils communiquent avec un employeur potentiel. Les employeurs sont facturés 0,75 $ par communication. M. Mayer indique qu'il n'a trouvé que 21 projets achevés avec sa sonde web, alors que M. Tendell avait indiqué au New York Times que 250 avaient été réalisés. Le calcul est incorrect, selon M. Tendell, puisque beaucoup de projets privés, non cotés et donc inaccessibles au robot de M. Mayer, ont été achevés.

Les projets réalisés et cités par M. Tendell tournent autour de la réputation en ligne et des services d’enquête liés à la sécurité informatique. Une affaire concernait par exemple une femme qui avait besoin d'un peu d’aide pour supprimer des photos intimes publiées sur un site web. Une autre concerne une affaire de cyber-intimidation, où la victime désirait identifier le harceleur. M. Tendell indique que les sociétés spécialisées dans la réputation en ligne demandent des tarifs bien plus élevés pour ce type de services. Mais d’autres demandes d’intervention concernent des personnes qui désirent changer leurs notes, pirater un compte webmail ou suivre à la trace un mobile et donc un individu, des tâches très simples à réaliser même pour un hacker moyen.

Une nouvelle offre de service publiée vendredi dernier demande 200 à 300$ pour une tâche parfaitement illégale: «Vous cherchez à connaître ce que quelqu'un publie sur vous sur Facebook et savoir s’il joue un double jeu.»

www.LeMondeInformatique.fr