|
Ils
modifient les sites Web, investissent tous les recoins du réseau, font trembler les
multinationales avec leurs trouvailles
Ce sont les pirates et les hackers. Anatomie
de ce complexe et sulfureux monde " underground " du réseau. Les hackers sont entré dans les systèmes centraux
du Pentagone ! Ce titre ridicule qui a -à peu de choses près- barré la une du quotidien de référence français a fait
le tour des journaux de la planète ces deux dernières années. Les termes pirate ou
hacker, employés sans distinction, sont incontestablement en vogue. Internet fait rêver,
mais sa contre-culture, son underground, encore plus. C'est vendeur coco ! Pas un journal
qui n'ait tenté de les décrire, même la presse féminine ou financière s'y met et
explique dans le détail comment ces pirates peuvent "entrer dans votre
ordinateur". Qui sont ces prodiges de l'informatique moderne ? Des jeunes, autistes
et boutonneux, amoureux de leurs P.C. ? Des trentenaires contestataires qui voudraient
faire mieux que papa et maman sur les barricades en 68 ? Ont-il vraiment les moyens
d'entrer partout, même dans les systèmes centraux du Pentagone ? Rien n'est simple et
clair dans ce monde là
En gros le l'underground d'Internet qui nous
intéresse peut être divisé en trois grandes familles. Celle des script kiddies, des
gamins qui sont doués en informatique, mais pas assez pour créer ou découvrir quoi que
ce soit tout seuls. Celle des pirates qui louent leurs services pour pénétrer les
réseaux des entreprises ou des gouvernements. Et celle des hackers dont les motivations
et les actes sont bien plus complexes mais aussi, la plupart du temps, plus nobles.
Il est amusant de constater que l'underground
d'Internet, tout au moins celui dont nous parlons ici, intéresse autant la presse
lorsqu'un vrai problème surgit.
|
Les agissements de ceux qui méritent
véritablement le qualificatif de pirates sont généralement moins médiatiques. Ces
acteurs du monde underground d'Internet louent leurs services à des gouvernements ou des
entreprises pour des opérations de guerre économique ou d'espionnage industriel. Ces
activités existent (et elles sont bien rémunérées), mais il est bien entendu
impossible de le prouver
On
trouve ainsi des officines glauques dont les fondateurs sont des anciens des services
secrets qui prospectent relativement ouvertement dans le monde underground du réseau pour
des opérations illégales. Parfois même, semble-t-il, avec l'aval des autorités (Il
s'agit ici de la France).
Qu'on ne vienne donc pas trop nous chauffer les
oreilles avec les très méchants américains de la CIA, de la NSA et de Kroll.
|
Autant les media peuvent
idolâtrer leur "nouvelle économie" pendant des mois sans se poser la moindre
question, sans la mettre en perspective, autant, ils sont capables de brûler leur idole
du jour au lendemain, sous prétexte que quelques sites ont subi des attaques de déni de
service distribué. Pire, si le Nasdaq
s'effondre, entraînant avec lui les plus grandes places boursières du monde, c'est une
"correction naturelle après les excès". Salauds d'excès... Sans vouloir jouer
les cassandres, le pire est pourtant à venir. Techniquement, le bordel ambiant est chaque
jour un peu plus vaste. Ce qui laisse augurer de nouvelles catastrophes techniques bien
plus graves que celles du "grand embouteillage" de février.
Sur un plan marketing, on entend chaque jour un peu
plus n'importe quoi. Tous les nouveaux arrivants dans la nouvelle économie sont
"N°1". On se demande de quoi? Du premier bouton bleu en bas à droite du site?
Du message le plus neu-neu? Avec de pareilles niaiseries, il est clair qu'un jour, un
analyste financier en chef dans une grande banque américaine, va finir par donner le
signal de la fin en disant publiquement ce que la majorité pense tout bas: "tout
cela est une grosse bulle marketingo-financière et cela ne repose sur aucune réalité
tangible". Bilan, la chute en bourse sera... importante... Attention à vos
portefeuilles...
Il y a quoi? Une dizaine d'analyste de cette
"importance" dans le monde? On se demande lequel craquera en premier...
|
Piratages et hacks en vrac
- En 1988, avec une faille
connue, Analyzer, un jeune Israélien, a fait trembler le vice-Secrétaire américain à
la Défense, John Hamre. Ce dernier, qui n'y connaît rien, a fait la renommée du jeune
homme en qualifiant le piratage de serveurs Web " d'attaques les plus systématiques
et coordonnées contre les serveurs " du Pentagone. Pathétique
- En juin 1999,le groupe Global
Hell se lance dans une guerre ouverte contre le FBI via des attaques de serveurs Web
gouvernementaux.
La plupart des auteurs de ces
piratages recherchent les effets d'une gloire éphémère : " je suis dans la presse
donc je suis célèbre et aimé ". A la différence des hackers qui ont d'autres
moyens de se faire connaître
L0pht a, par exemple, été appelé par une commission
du Sénat américain. Le groupe a expliqué comment il lui était possible de rendre
Internet inopérant en moins de 30 minutes
Et la qualité de leurs alertes de
sécurité ou des programmes qu'ils distribuent sont les gages de leur sérieux.
- Les rumeurs vont bon train sur
l'identité des Hackers for Girlies (HFG) qui ont relooké le New York Times ou sur celle
des United Loan Gunmen (ULG) qui se sont offert le Nasdaq, Associated Press ou la chaîne
de télé ABC
Mais rien ne prouve qu'ils soient vraiment ceux que la rumeur
désigne
- Association de Malfaiteurs
(ADM) a pour sa part détourné le site de Defcon (*) pour le transformer en ADMCon.
ADM est sûrement le groupe international de hackers le plus en vue actuellement.
Pourtant sa discrétion est exemplaire et aucun article de presse ne vante ses
exploits
En tous cas, on a rien vu dans les grands journaux de référence
(Marie-Claire, Le Monde, Libération,...).
|
Les Français ont ce qu'il faut et les
grenouillages façon SAC et autres services du temps du Général ne sont pas très loin! D'autres vilains, travaillant pour leur compte ont été pincés,
comme ces pirates russes qui avaient délesté la Citybank de 12 millions de $ en 1995.
Plus récemment, Maxus, un pirate, a tenté d'obtenir
une rançon pour les 25 000 numéros de cartes bancaires qu'il avait volés sur le site du
vendeur de disques CDUniverse. N'obtenant rien du commerçant, il a simplement mis à
disposition ce fichier sur le Web
Les vrais hackers, qui ont été assimilés -à tort-
par la presse aux pirates et autres script-kiddies, ont généralement d'autres choses à
faire que d'appliquer leurs trouvailles sur de vrais serveurs. D'ailleurs, ils ne
souhaitent pas se retrouver devant un juge ou en prison (les peines peuvent être lourdes,
même pour les graffitis sur les pages d'accueil). Reste qu'il vaut mieux ne pas imaginer
ce qu'ils pourraient faire dans un monde où tout est chaque jour un peu plus
interconnecté et où le commerce électronique devient un leitmotiv. D'autant qu'ils ont
tous très pointus dans leur domaine et savent utiliser le réseau pour optimiser les
capacités de chacun
|
Voilà donc que la tendance
est moins "rose" que par le passé. La e-connerie aurait, elle aussi, ses
failles. Nouvelle ou pas, l'économie est toujours quelque chose d'instable... Un petit
DoS et on va chercher quelques "experts" informatiques autoproclamés ou
autopromus par les media qui vont les interroger. Ils vont raconter deux ou trois
inepties. Certains journalistes iront même jusqu'à interroger un ou deux
script-kiddies... Et l'underground sera décrit. Mais pas compris. Ni cerné. On oublie également, dans ces exercices (on y reviendra plus tard)
de description de l'underground d'Internet, tous les hommes et femmes qui contribuent à
tenter de faire avancer des idées comme celles qui sont clamées ces jours-ci à
Washington devant le FMI et la Banque Mondiale.
Script-kiddy once, script-kiddy for ever
Bien, revenons à nos catégories composant
l'underground... Car nous nous éloignons du sujet.
Il y a donc les script-kiddies, les pirates et les
hackers. En gros et pour faire simple... Tentons, un fois de plus, de lé décrire.
Le meilleur exemple de ce que peuvent faire des
script kiddies est sans aucun doute "le grand embouteillage" de février,
lorsque des sites comme Yahoo ou CNN ont dû fermer leurs portes après avoir été
bombardés de requêtes étranges. Ces attaques, dites de Ditributed Denial of Service
(Déni de service distribué) sont très anciennes. Elles s'appuient sur la manière dont
le réseau fonctionne. Les logiciels, qui tirent parti de ce "défaut" du
réseau, existent depuis longtemps sous différentes formes et ne sont généralement que
de petits bouts de programmes. Des "scripts à deux francs". Qui se souvient de
Nuke, des attaques Smurf, des flood ICMP sur l'IRC? C'était pourtant hier...
Et comme ces scripts traînent un peu partout sur le
Net, il suffit que quelques gamins (d'où le terme script-kiddies) les utilisent pour que
le plus gros des serveurs s'écroule.
|
Portrait d'un hacker pas ordinaire :
rfp
Il est parfois
bien difficile pour le lecteur lambda d'entrer dans un message d'alerte (en anglais
"advisory") publié par un hacker. C'est long, technique et forcément,
austère. L'un des hackers les plus en connus du moment -il vient encore de faire la
"Une" avec son advisory sur Front Page, RFP2K02-,
Rain Forest Puppy, (rfp
pour les intimes) est un cas à part. Il émaille ses publications d'humour raffiné,
faisant le bonheur d'un lecteur, même non averti. Des centaines de sites ont été
piratés ces derniers mois grâce aux failles qu'il a découvertes
Il n'avoue pas son âge mais laisse entendre qu'il a entre 20 et 30 ans. Comme la
plupart des hackers, il dit être "consultant en sécurité des réseaux", ce
qui "englobe de la recherche, la rédaction de référentiels et de
préconisations".
Mais alors, pourquoi être hacker s'il a un job classique ? "C'est un hobby,
cela m'intéresse et ne fait de mal à personne. Et puis, tout le monde sait que les
filles aiment les garçons pâles et décharnés. Enfin, c'est du moins ce que j'ai lu sur
un T-shirt", s'amuse-t-il
Et lorsqu'on lui demande s'il sait combien de sites Web ont été piratés grâce
à ses trouvailles, il répond que lui, n'en a hacké aucun
Quant à ceux qui ont
été sécurisé grâce à ses alertes de sécurité, honnête, il confie :
"sûrement pas autant que ceux qui ont été piratés
".
|
Rappelons aux journalistes
ralentis de la souris que ces attaques ne consistent pas à envoyer des milliards de
messages ou d'e-mails au serveur cible. De même, ce ne sont pas des milliers ou même des
centaines de pirates qui se sont groupés pour réaliser cet embouteillage. Pourquoi?
Simplement parce que si c'était le cas, au moins l'un d'entre eux aurait déjà craqué
et aurait lâché le morceau quelque part, déclenchant ainsi une vague d'arrestations. Reste que ce genre de nuisances pose la question de
l'importance donnée par les financiers à une "nouvelle économie" dont les
pieds sont faits d'argile. Ce réseau n'a pas été construit pour réaliser des échanges
sécurisés. Au contraire
Lorsque la page d'accueil d'un serveur Web un peu
connu comme celui de l'armée américaine (www.army.mil) est remplacée par une page
remplie de " graffitis ", c'est sans doute qu'un script-kiddy est passé par
là. Comment a-t-il fait ? Comment peut-il se rendre maître d'un serveur aussi
prestigieux et donc, forcément, très bien protégé ? Cela paraît tellement incongru
que l'on imagine un prodige informatique capable de déclencher la guerre nucléaire avec
un micro-ordinateur Atari comme dans le film War Games
C'est à la fois un peu peu
plus compliqué, mais presque aussi simple... Etonnant non?
En fait, rien de plus simple que de remplacer cette
"prestigieuse" page d'accueil. Le serveur Web de l'armée américaine
présentait un défaut décrit dans le détail par des hackers, les vrais, ceux qui
trouvent les failles, expliquent comment elles peuvent être exploitées pour prendre la
main sur les serveurs et enfin, donnent toutes les clefs pour réparer.
Ce qui est dommage, c'est que les entreprises ou les
gouvernements ne donnent pas assez de moyens aux administrateurs de réseaux pour
qu"ils puissent se protéger utilement. Notamment en embauchant une personne à plein
temps pour lire BugTraq... Passons...
D'ailleurs, le responsable du site de l'armée
américaine avait été prévenu quelques mois avant le piratage par le groupe mythique de
hackers L0pht des risques que son
serveur présentait.
Mais il n'avait jugé utile, ni de répondre à cette
alerte, ni de remercier. Encore moins de réparer. Son serveur a été piraté par un
gamin souhaitant faire passer un petit message personnel
|
Mais en règle générale, ils passent
leurs nuits blanches à mettre par écrit ce qu'ils ont trouvé et communiquent leur
travail gratuitement à la communauté des internautes (voir ci-dessus,
encadré rfp). Bien entendu, rien n'est vraiment tout blanc (ou tout noir) et il est
vrai que certains hackers appartiennent à des groupes qui peuvent de temps à autres
" se payer " un serveur très en vue " pour le fun "
Par ailleurs, de passerelles sont toujours possibles entre le monde
des hackers et celui des autorités. Dernièrement, Dr Mudge, représentant très chevelu
et très barbu du groupe L0pht, a été convié par le président américain Bill Clinton
à une réunion de débriefing après les attaques de Yahoo et autres CNN. Il faut bien
que les politiques comprennent ce qui se passe
Notons toutefois que les hackers, ne
se tournent généralement pas vers les agences gouvernementales lorsque vient le moment
de se ranger des voitures. Mais plutôt vers le secteur privé. Même aux Etats-Unis où pourtant, à l'inverse de
la France, les services secrets sont prêts à embaucher ce genre de compétences pour un
montant tout à fait honorable
|
|
Ma crypto est plus dure que la tienne !
Le grand mot à la
mode du réseau et des experts autoproclamés des Nouvelles technologies de l'information
et de la communication est : cryptographie. Elle permet de rendre définitivement
illisible des données pour les yeux auxquels elles ne sont pas destinées. Le rêve pour
la protection de la vie privée et pour sécuriser le commerce électronique.
Sans cryptographie, pas de
commerce électronique sécurisé ! Il n'y a pas un consultant qui ne répète cette
phrase inlassablement. Ils ne savent pourtant pas de quoi ils parlent
"
Cryptographie " est un mot épouvantail pratique qui permet de masquer d'autres
problèmes
Question : votre numéro de
carte bancaire est-il crypté lorsque vous utilisez le Minitel pour acheter un voyage ?
L'est-il encore lorsque vous le communiquez à un inconnu pour réserver une chambre
d'hôtel ? Non. Or, tout le monde voudrait que tout soit crypté dès lors que l'on parle
d'Internet. Pourquoi ? Mystère et boule de gomme, on dirait...
Le cryptage en soi n'apporte
rien. Le numéro de carte bancaire circule codé ? Parfait personne ne viendra le voler
pendant le transit sur le réseau.
|
En
revanche le vol du fichier contenant des milliers de numéros sur le serveur est possible.
De même, il est aisé de contrôler à distance le PC d'un particulier et d'enregistrer
ce qu'il tape sur son clavier
En attendant, cryptage ou pas, le paiement via Internet
aujourd'hui est assimilé à un paiement dans le cadre de la vente à distance. Le client
est donc protégé à 100% puisqu'il peut récuser tout achat et se faire rembourser
En fait, ce que les banquiers
et les marchands veulent obtenir, c'est l'irrévocabilité des paiements, au même titre
que lorsque l'on paye chez un commerçant réel.
Tout cela n'est qu'une
question de gros sous bien sûr...
Il faut pour cela identifier
de manière irréfutable les deux parties et obtenir une forme de " signature "
de la part du client. La cryptographie sera d'une aide précieuse pour cela
|
Mais
toutes ces technologies complexes (SET, Cyber-COMM développées respectivement par
Visa/Mastercard et les banques françaises) ont reçu un accueil négatif de la part des
internautes. Les utilisateurs recherchent la simplicité avant tout et se contentent du
système SSL (Secure Socket Layer) qui ne requiert aucun ajout logiciel ou matériel. SSL, l'amour vache
De manière transparente pour
l'utilisateur, le navigateur et le serveur marchand se chargent de tout
Les données (n° de CB,
adresse de livraison, etc.) sont cryptées entre le navigateur et le serveur. Ce système
(le petit cadenas dans le bas du navigateur
) est devenu un standard "de
fait" par adoption générale de la part des utilisateurs. Comme bien des choses sur
Internet d'ailleurs
Sans vouloir opposer standard
de fait et standard par adoption de l'industrie, il faut dire que tout oppose ces
démarches. A entendre les responsables de Cyber-COMM le jour de la présentation de leur
bébé à la presse, Cyber-COMM allait l'emporter sur SSL justement parce qu"il
s'agit d'un standard de l'industrie, un truc normalisé...
Passons sur le fait que les
mêmes responsables se gaussent d'avoir un "machin" qui est complètement SET,
cette norme utilisée par zéro internaute...
La seule manière d'imposer
Cyber-COMM serait de refuser de traiter les paiements réalisés via une solution SSL...
Peu probable...
|
Même
si les banques ont toutes les armes pour faire ce genre de choses, on voit mal les
marchand se contenter de 20.000, voire 200.000 (un jour) acheteurs potentiels alors que
SSL leur ouvre le monde (online) entier... Enfin, les banques américaines ne seraient
sans doute pas très heureuses. Et de mémoire, leur poids dans Visa et Mastercard reste
légèrement supérieur à celui des banques françaises... Nos institutions financières
nationales peuvent donc continuer de dépenser des millions de dollars pour rien
avec des systèmes comme SET ou Cyber-COMM
SSL n'est pourtant pas
une panacée. Puisqu'il crée un tuyau sûr entre deux points du réseau, il est possible
de s'attaquer aux deux extrémités, mais aussi de détourner le tuyau pour se faufiler
dedans. En clair, une société de sécurité informatique a réussi à "voler"
une session SSL d'un internaute qui passait ses ordres de bourse. Accès total garanti au
portefeuille boursier...
Outre les aspects liés au
commerce électronique, la cryptographie en soi a un intérêt certain. Notamment en ce
qui concerne le droit à au respect de la vie privée. Une très belle initiative dans ce
sens est menée par Zero-Knowledge.
Son logiciel, Freedom, permet d'utiliser Internet de manière totalement anonyme. Et
d'échapper ainsi à tout flicage, qu'il soit réalisé dans un but marketing ou policier
(dans certains pays). De même, il est possible d'échanger des e-mails ou des fichiers
cryptés, ce qui permet d'échapper aux éventuels regards indiscrets. Le célèbre
logiciel de cryptographie PGP (Pretty Good Privacy ou en français "Une
confidentialité plutôt bonne") est disponible gratuitement sur le Net. Mais son
utilisation avec un niveau de cryptage acceptable reste illégale en France
|
Kitetoa
|