Michael Boelen est très actif dans le domaine de la sécurité informatique. Il est l'auteur des outils de sécurité open source populaires Rootkit Hunter (rkhunter) et Lynis, et il blogue sur la sécurité Linux sur Linux Audit et évalue les outils de sécurité sur Linux Security Expert. Il a également créé une société nommée CISOfy autour de l'outil Lynis pour aider les organisations à réaliser des audits de sécurité de plusieurs systèmes d'exploitation.
Ayant utilisé Lynis, j'avais hâte de parler avec Michael pour connaître son point de vue sur Linux, la sécurité et les logiciels open source. L'interview suivante a été modifiée pour plus de clarté et de concision.
Gaurav :Michael, pourriez-vous vous présenter ?
Michael : Bonjour à tous! Je m'appelle Michael Boelen et je vis dans le sud des Pays-Bas avec ma femme, Debbie, et notre fils, Hugo. Je suis né en 1982 et je suis devenu accro aux ordinateurs très tôt lorsque nous avons reçu un Commodore 64 d'occasion de nos voisins. Au début, mon frère et moi jouions à des jeux comme Boulder Dash dessus. Puis j'ai découvert que vous pouviez créer vos propres programmes en BASIC. C'était un sentiment magique de faire quelque chose à partir de rien. A l'âge de 10 ans, mes programmes étaient simples, mais l'envie de créer plus était apparue.
Plus de ressources Linux
- Aide-mémoire des commandes Linux
- Aide-mémoire des commandes Linux avancées
- Cours en ligne gratuit :Présentation technique de RHEL
- Aide-mémoire sur le réseau Linux
- Aide-mémoire SELinux
- Aide-mémoire sur les commandes courantes de Linux
- Que sont les conteneurs Linux ?
- Nos derniers articles Linux
Plus tard, je suis passé à un 286 avec MS-DOS. Il n'a pas fallu longtemps avant qu'il ne soit infecté par un virus informatique. Certains virus étaient assez amusants, comme des personnages qui tombaient lentement de l'écran. C'est peut-être à l'origine de mon intérêt pour les logiciels malveillants et la sécurité des informations.
Vous pouviez toujours me trouver derrière l'ordinateur quand je n'étais pas à l'école. Nous avons joué à des jeux sur les ordinateurs qui ont suivi, comme un Intel Pentium à 150 MHz et plus tard un Intel Pentium III à 450 MHz. Quand j'étais seul, j'essayais de comprendre comment les choses fonctionnaient, y compris la programmation et l'apprentissage de la construction d'ordinateurs.
Avancer rapidement :J'ai terminé mes études un peu trop facilement en raison de circonstances telles que le fait de ne pas avoir les bons modules. Par exemple, j'ai laissé tomber les mathématiques B parce que je n'aimais pas ça. Quelques années plus tard, mon mentor m'a dit que je ne pouvais pas poursuivre mes études supérieures car j'avais raté ce module. Oups… J'ai donc dû poursuivre mes études en dessous de mon niveau. Cela ne m'a pas encouragé à poursuivre mes études après l'avoir terminé, alors je suis parti à la recherche d'un emploi. J'ai obtenu mon premier emploi à temps plein en 2002 dans une petite entreprise qui a créé une solution de gestion de la relation client (CRM) avec quelques développements Web supplémentaires. Mon responsable direct a vu mon potentiel et m'a donné la liberté de rechercher et d'optimiser ou de remplacer les services existants. J'ai migré un ancien système exécutant Sendmail, créé un nouveau serveur DNS et développé une interface Web personnalisée pour les deux. Je faisais DevOps quand le mot n'existait pas encore.
Après mon premier emploi à temps plein, je suis passé à une société de conseil. Cette société a servi la plupart des entreprises les plus importantes des Pays-Bas. Cela m'a fourni quelques opportunités de travailler pour des multinationales comme Philips, ASML et une filiale de Deutsche Telekom nommée T-Systems. Le travail comprenait des responsabilités techniques pour des choses comme l'administration Unix et le stockage des données. Viennent ensuite des rôles tels que responsable de la sécurité, gestionnaire de problèmes et responsable de service. Ce dernier rôle m'a appris davantage sur la planification financière, la budgétisation, le service aux parties prenantes internes et la gestion des délais.
Il était temps de prendre une décision audacieuse :dire adieu à un emploi bien rémunéré et créer ma propre entreprise. Cela s'est passé en 2013. L'idée était de créer un service précieux qui utilisait l'outil open source Lynis en son cœur. En même temps, cela m'a permis de faire plus de développement sur l'outil tout en me permettant de gagner ma vie. Heureusement, les choses ont bien fonctionné pour moi et, plus important encore, pour le projet Lynis.
Gaurav :Vous êtes associé aux logiciels open source et à la sécurité depuis un certain temps. Sur quels projets avez-vous travaillé ?
Michael : Les gens me connaissent peut-être grâce à deux projets logiciels populaires nommés rkhunter et Lynis. J'ai créé rkhunter en 2003 pour proposer une alternative à chkrootkit. Comme son nom l'indique, il trouve des traces de rootkits ou d'autres éléments malveillants pouvant exister sur un système.
L'autre outil est Lynis, un outil de sécurité pour analyser les systèmes basés sur Unix afin de détecter les possibilités d'amélioration en matière de renforcement du système.
Gaurav :Comment vous êtes-vous lancé dans l'open source ?
Michael : Mes vrais débuts avec l'open source remontent à 2003 avec rkhunter. Je n'avais pas assez d'expérience en matière de scripts shell pour aider le projet chkrootkit lorsque j'ai découvert qu'il présentait plusieurs faux positifs sur un système FreeBSD. Au lieu de cela, j'ai décidé que c'était une excellente occasion d'apprendre les scripts shell et, en même temps, de créer un outil utile. En bonus, j'ai pensé que c'était une bonne idée de le rendre compatible POSIX. De cette façon, il pourrait fonctionner sous Linux, mais aussi sous BSD, Solaris et autres.
Gaurav :Que signifie pour vous un logiciel open source ?
Michael : L'open source est un moyen d'exprimer sa créativité dans un logiciel tout en résolvant un problème. Avec la bonne licence, il permet à presque tout le monde d'utiliser le logiciel, généralement gratuitement. C'est également important, car tout le monde n'a pas le luxe de payer pour des logiciels ou des services connexes. Les Néerlandais sont connus pour être humbles, francs et amoureux des choses "gratuites". Ce mot est le même en latin et signifie « pour merci » ou « pour rien ». Bien que le F de FOSS ne fasse pas référence à ce type de gratuité, je pense qu'il s'agit d'un moteur puissant pour mettre le logiciel entre les mains d'un plus grand nombre de personnes. C'est précieux en soi, car cela peut ouvrir la porte à davantage de commentaires, d'idées ou même d'améliorations du code.
Gaurav :Qu'est-ce qui vous a poussé à développer Lynis ?
Michael : En 2007, alors que j'étais entre deux emplois pendant un mois, j'ai voulu démarrer un nouveau projet qui m'a aidé dans mon propre travail d'amélioration des aspects de sécurité des systèmes basés sur Linux et Unix. L'outillage existant semblait obsolète, je voulais donc un nouveau départ.
Gaurav :En quoi Lynis est-il différent des autres outils de sécurité disponibles ? Quelle a été votre expérience dans la promotion de Lynis en tant qu'outil open source ?
Michael : De nombreux outils de sécurité sont disponibles. J'examine bon nombre d'entre eux dans le cadre du projet Linux Security Expert. Après avoir examiné des centaines d'outils, j'ai découvert que Lynis avait quelque chose que beaucoup d'entre eux n'avaient pas. La différence est la "simplicité", ou rendre l'outil aussi facile à utiliser que possible. De cette expérience, je peux également partager qu'il est vraiment difficile de rendre un outil simple à utiliser.
Quand il s'agit de promouvoir Lynis, j'essaie de diversifier les choses. Parfois, il s'agit d'écrire à ce sujet dans un article de blog ou de prendre la parole lors d'une conférence. En même temps, la valeur de l'outil lui-même fait la vraie promotion. Les gens ont tendance à partager l'outil avec d'autres parce qu'ils l'aiment. Je crois fermement à la valeur de la promotion. Il montre votre création à plus de personnes, ce qui entraîne une utilisation et des suggestions accrues. Donc, si vous êtes un auteur d'outils, ne sautez pas cette partie. Vous aimerez peut-être lire mon article de blog Comment promouvoir votre projet open source .
Gaurav :Vous dirigez également un blog populaire sur Linux Audit. Complète-t-il votre apprentissage de Lynis ou de la sécurité Linux en général ?
Michael : Oui, le blog est populaire et se compose de centaines d'articles. Aujourd'hui, j'ai moins de temps pour écrire, mais j'espère que cela changera bientôt. Les blogs sont un excellent moyen de plonger dans un sujet difficile et de le transformer en quelque chose de plus facile à comprendre pour le lecteur. Le principe de "simplicité" s'applique vraiment ici aussi. Le blog se concentre sur la sécurité Linux, y compris l'utilisation de Lynis, mais également sur d'autres sujets pertinents.
Gaurav :Vous avez également créé une société nommée CISOfy autour de Lynis et pour dispenser des formations. Veuillez m'en parler.
Michael : Je me méfie beaucoup des entreprises qui utilisent leur logiciel open source comme instrument de marketing. Ce n'est pas ainsi que Lynis et CISOfy se rapportent. Le projet Lynis était là bien avant la création de l'entreprise (respectivement 2007 et 2013). Au lieu de fermer le logiciel, comme avec certaines autres sociétés de sécurité, la société m'a permis de faire un développement plus actif sur l'outil et lui a donné un gros coup de pouce. Je crois que faire du bien aux autres rend la pareille de manière inattendue.
Et je suis aussi très strict quand il s'agit de Lynis :il doit rester open source. C'est l'une des principales raisons pour lesquelles j'ai fondé l'entreprise.
Pour s'assurer qu'il y a une ligne claire dans le sable, nous avons nommé la partie commerciale Lynis Enterprise. Ce n'est pas une version étendue de Lynis mais une chose distincte qui nécessite en fait l'outil Lynis. De cette façon, l'entreprise s'appuie sur la qualité de l'outil, ce qui lui donne une forte motivation pour continuer à investir dans Lynis. Tout le monde y gagne, car la communauté et les clients disposent d'un meilleur outil.
Bien que les manuels disent que les entreprises existent pour gagner de l'argent et réaliser des bénéfices, j'ai découvert qu'une entreprise de logiciels peut aussi faire la différence. Pour cette raison, j'ai décidé il y a plusieurs années de ne plus utiliser d'outils comme Google Analytics, et nous nous sommes débarrassés des technologies de suivi. Nous limitons également les données que nous collectons et stockons au strict minimum pour mener nos activités. Je n'aime pas les spams, c'est donc aussi la raison pour laquelle nous ne contactons pas les entreprises ou les particuliers. Vous ne recevez des e-mails de notre part que si vous en avez fait la demande ou si vous faites affaire avec nous. En ce moment, je veux que CISOfy devienne encore plus proactif dans des domaines autres que la confidentialité. L'une consiste à soutenir davantage d'initiatives de développement durable, telles que devenir CO2 neutre voire absorbant le CO2 . Des choses comme utiliser l'énergie solaire, faire des dons à des causes qui aident à replanter des forêts, changer de banque plus durable, etc.
Gaurav :À mesure que Linux continue de se développer, il continuera probablement d'être une cible pour les auteurs de logiciels malveillants. Qu'en pensez-vous ?
Michael : Nous avons déjà constaté une augmentation, même si la plupart des attaques se concentrent toujours sur les systèmes basés sur Windows, Android et Apple. Je suppose que cibler un système Linux présente ses propres défis, tels que la variété des distributions et des versions.
Gaurav :En quoi les rançongiciels sont-ils différents des logiciels malveillants ordinaires et comment les entreprises doivent-elles lutter contre cette menace ?
Michael : Il s'agit d'un acteur de menace différent dont l'objectif principal est d'obtenir vos données et de les garder en otage. Ma suggestion est simple :effectuez des sauvegardes et testez vos restaurations.
Gaurav :Les gens veulent souvent travailler sur la sécurité Linux, mais ne savent pas par où commencer. Comment leur suggérez-vous de commencer ?
Michael : Je suggérerais de mettre en œuvre des mesures de sécurité sur vos systèmes personnels ou sur tout appareil de test dont vous disposez. Si vous ne savez pas par où commencer, alors Lynis pourrait être une bonne source d'inspiration pour ce qui peut être fait en matière de sécurité Linux. Vous avez également mentionné le blog Linux Audit, qui pourrait aider les lecteurs à se familiariser avec le sujet.
Gaurav :Travaillez-vous sur de nouveaux projets ou outils intéressants ?
Michael : Le temps libre est minime actuellement. Nous avons récemment déménagé dans une nouvelle maison et nous nous installons toujours. Lorsque mon temps libre augmentera, je recommencerai probablement à bloguer et à examiner les outils de sécurité pour le site Web Linux Security Expert.
Gaurav :Lorsque vous ne travaillez pas sur Lynis ou sur des outils de sécurité, que faites-vous pendant votre temps libre ?
Michael : Cela dépend un peu de la saison. J'aime bien me promener et boire un whisky. Ensuite, il y a les corvées à la maison et dans le jardin. Je me concentre actuellement sur le nettoyage du vide sanitaire sous la maison pour ajouter une isolation supplémentaire au sol. Le grenier a également besoin d'une isolation supplémentaire. Pas un projet de temps libre moyen, mais essentiel pour le niveau de confort à l'avenir.
En savoir plus
Si vous souhaitez apprendre à sécuriser votre système d'exploitation, vous trouverez une mine d'informations sur les blogs de Michael. De plus, les passionnés d'open source devraient essayer Lynis pour découvrir les faiblesses de leurs systèmes et apprendre à les atténuer.