[Kitetoa, les pizzaïolos du Ouèb

Coco, tu me fais un papier sur l'Underground du Net, fissa!

Bilan...

Dix bugs par ligne...

 
Ils modifient les sites Web, investissent tous les recoins du réseau, font trembler les multinationales avec leurs trouvailles… Ce sont les pirates et les hackers. Anatomie de ce complexe et sulfureux monde " underground " du réseau.

Les hackers sont entré dans les systèmes centraux du Pentagone ! Ce titre ridicule qui a -à peu de choses près- barré la une du quotidien de référence français a fait le tour des journaux de la planète ces deux dernières années. Les termes pirate ou hacker, employés sans distinction, sont incontestablement en vogue. Internet fait rêver, mais sa contre-culture, son underground, encore plus. C'est vendeur coco ! Pas un journal qui n'ait tenté de les décrire, même la presse féminine ou financière s'y met et explique dans le détail comment ces pirates peuvent "entrer dans votre ordinateur". Qui sont ces prodiges de l'informatique moderne ? Des jeunes, autistes et boutonneux, amoureux de leurs P.C. ? Des trentenaires contestataires qui voudraient faire mieux que papa et maman sur les barricades en 68 ? Ont-il vraiment les moyens d'entrer partout, même dans les systèmes centraux du Pentagone ? Rien n'est simple et clair dans ce monde là…

En gros le l'underground d'Internet qui nous intéresse peut être divisé en trois grandes familles. Celle des script kiddies, des gamins qui sont doués en informatique, mais pas assez pour créer ou découvrir quoi que ce soit tout seuls. Celle des pirates qui louent leurs services pour pénétrer les réseaux des entreprises ou des gouvernements. Et celle des hackers dont les motivations et les actes sont bien plus complexes mais aussi, la plupart du temps, plus nobles.

Il est amusant de constater que l'underground d'Internet, tout au moins celui dont nous parlons ici, intéresse autant la presse lorsqu'un vrai problème surgit.

Les agissements de ceux qui méritent véritablement le qualificatif de pirates sont généralement moins médiatiques. Ces acteurs du monde underground d'Internet louent leurs services à des gouvernements ou des entreprises pour des opérations de guerre économique ou d'espionnage industriel. Ces activités existent (et elles sont bien rémunérées), mais il est bien entendu impossible de le prouver…

On trouve ainsi des officines glauques dont les fondateurs sont des anciens des services secrets qui prospectent relativement ouvertement dans le monde underground du réseau pour des opérations illégales. Parfois même, semble-t-il, avec l'aval des autorités (Il s'agit ici de la France).

Qu'on ne vienne donc pas trop nous chauffer les oreilles avec les très méchants américains de la CIA, de la NSA et de Kroll.

Autant les media peuvent idolâtrer leur "nouvelle économie" pendant des mois sans se poser la moindre question, sans la mettre en perspective, autant, ils sont capables de brûler leur idole du jour au lendemain, sous prétexte que quelques sites ont subi des attaques de déni de service distribué.

Pire, si le Nasdaq s'effondre, entraînant avec lui les plus grandes places boursières du monde, c'est une "correction naturelle après les excès". Salauds d'excès... Sans vouloir jouer les cassandres, le pire est pourtant à venir. Techniquement, le bordel ambiant est chaque jour un peu plus vaste. Ce qui laisse augurer de nouvelles catastrophes techniques bien plus graves que celles du "grand embouteillage" de février.

Sur un plan marketing, on entend chaque jour un peu plus n'importe quoi. Tous les nouveaux arrivants dans la nouvelle économie sont "N°1". On se demande de quoi? Du premier bouton bleu en bas à droite du site? Du message le plus neu-neu? Avec de pareilles niaiseries, il est clair qu'un jour, un analyste financier en chef dans une grande banque américaine, va finir par donner le signal de la fin en disant publiquement ce que la majorité pense tout bas: "tout cela est une grosse bulle marketingo-financière et cela ne repose sur aucune réalité tangible". Bilan, la chute en bourse sera... importante... Attention à vos portefeuilles...

Il y a quoi? Une dizaine d'analyste de cette "importance" dans le monde? On se demande lequel craquera en premier...

Piratages et hacks en vrac…

  • En 1988, avec une faille connue, Analyzer, un jeune Israélien, a fait trembler le vice-Secrétaire américain à la Défense, John Hamre. Ce dernier, qui n'y connaît rien, a fait la renommée du jeune homme en qualifiant le piratage de serveurs Web " d'attaques les plus systématiques et coordonnées contre les serveurs " du Pentagone. Pathétique…
  • En juin 1999,le groupe Global Hell se lance dans une guerre ouverte contre le FBI via des attaques de serveurs Web gouvernementaux.

La plupart des auteurs de ces piratages recherchent les effets d'une gloire éphémère : " je suis dans la presse donc je suis célèbre et aimé ". A la différence des hackers qui ont d'autres moyens de se faire connaître… L0pht a, par exemple, été appelé par une commission du Sénat américain. Le groupe  a expliqué comment il lui était possible de rendre Internet inopérant en moins de 30 minutes… Et la qualité de leurs alertes de sécurité ou des programmes qu'ils distribuent sont les gages de leur sérieux.

  • Les rumeurs vont bon train sur l'identité des Hackers for Girlies (HFG) qui ont relooké le New York Times ou sur celle des United Loan Gunmen (ULG) qui se sont offert le Nasdaq, Associated Press ou la chaîne de télé ABC… Mais rien ne prouve qu'ils soient vraiment ceux que la rumeur désigne…
  • Association de Malfaiteurs (ADM) a pour sa part détourné le site de Defcon (*) pour le transformer en ADMCon.
    ADM est sûrement le groupe international de hackers le plus en vue actuellement. Pourtant sa discrétion est exemplaire et aucun article de presse ne vante ses exploits… En tous cas, on a rien vu dans les grands journaux de référence (Marie-Claire, Le Monde, Libération,...).
Les Français ont ce qu'il faut et les grenouillages façon SAC et autres services du temps du Général ne sont pas très loin!

D'autres vilains, travaillant pour leur compte ont été pincés, comme ces pirates russes qui avaient délesté la Citybank de 12 millions de $ en 1995.

Plus récemment, Maxus, un pirate, a tenté d'obtenir une rançon pour les 25 000 numéros de cartes bancaires qu'il avait volés sur le site du vendeur de disques CDUniverse. N'obtenant rien du commerçant, il a simplement mis à disposition ce fichier sur le Web…

Les vrais hackers, qui ont été assimilés -à tort- par la presse aux pirates et autres script-kiddies, ont généralement d'autres choses à faire que d'appliquer leurs trouvailles sur de vrais serveurs. D'ailleurs, ils ne souhaitent pas se retrouver devant un juge ou en prison (les peines peuvent être lourdes, même pour les graffitis sur les pages d'accueil). Reste qu'il vaut mieux ne pas imaginer ce qu'ils pourraient faire dans un monde où tout est chaque jour un peu plus interconnecté et où le commerce électronique devient un leitmotiv. D'autant qu'ils ont tous très pointus dans leur domaine et savent utiliser le réseau pour optimiser les capacités de chacun…

Voilà donc que la tendance est moins "rose" que par le passé. La e-connerie aurait, elle aussi, ses failles. Nouvelle ou pas, l'économie est toujours quelque chose d'instable... Un petit DoS et on va chercher quelques "experts" informatiques autoproclamés ou autopromus par les media qui vont les interroger. Ils vont raconter deux ou trois inepties. Certains journalistes iront même jusqu'à interroger un ou deux script-kiddies... Et l'underground sera décrit. Mais pas compris. Ni cerné.

On oublie également, dans ces exercices (on y reviendra plus tard) de description de l'underground d'Internet, tous les hommes et femmes qui contribuent à tenter de faire avancer des idées comme celles qui sont clamées ces jours-ci à Washington devant le FMI et la Banque Mondiale.

Script-kiddy once, script-kiddy for ever

Bien, revenons à nos catégories composant l'underground... Car nous nous éloignons du sujet.

Il y a donc les script-kiddies, les pirates et les hackers. En gros et pour faire simple... Tentons, un fois de plus, de lé décrire.

Le meilleur exemple de ce que peuvent faire des script kiddies est sans aucun doute "le grand embouteillage" de février, lorsque des sites comme Yahoo ou CNN ont dû fermer leurs portes après avoir été bombardés de requêtes étranges. Ces attaques, dites de Ditributed Denial of Service (Déni de service distribué) sont très anciennes. Elles s'appuient sur la manière dont le réseau fonctionne. Les logiciels, qui tirent parti de ce "défaut" du réseau, existent depuis longtemps sous différentes formes et ne sont généralement que de petits bouts de programmes. Des "scripts à deux francs". Qui se souvient de Nuke, des attaques Smurf, des flood ICMP sur l'IRC? C'était pourtant hier...

Et comme ces scripts traînent un peu partout sur le Net, il suffit que quelques gamins (d'où le terme script-kiddies) les utilisent pour que le plus gros des serveurs s'écroule.

Portrait d'un hacker pas ordinaire : rfp

Il est parfois bien difficile pour le lecteur lambda d'entrer dans un message d'alerte (en anglais "advisory") publié par un hacker. C'est long, technique et forcément, austère. L'un des hackers les plus en connus du moment -il vient encore de faire la "Une" avec son advisory sur Front Page, RFP2K02-, Rain Forest Puppy, (rfp pour les intimes) est un cas à part. Il émaille ses publications d'humour raffiné, faisant le bonheur d'un lecteur, même non averti. Des centaines de sites ont été piratés ces derniers mois grâce aux failles qu'il a découvertes…
Il n'avoue pas son âge mais laisse entendre qu'il a entre 20 et 30 ans. Comme la plupart des hackers, il dit être "consultant en sécurité des réseaux", ce qui "englobe de la recherche, la rédaction de référentiels et de préconisations".
Mais alors, pourquoi être hacker s'il a un job classique ? "C'est un hobby, cela m'intéresse et ne fait de mal à personne. Et puis, tout le monde sait que les filles aiment les garçons pâles et décharnés. Enfin, c'est du moins ce que j'ai lu sur un T-shirt", s'amuse-t-il…
Et lorsqu'on lui demande s'il sait combien de sites Web ont été piratés grâce à ses trouvailles, il répond que lui, n'en a hacké aucun… Quant à ceux qui ont été sécurisé grâce à ses alertes de sécurité, honnête, il confie : "sûrement pas autant que ceux qui ont été piratés…".

Rappelons aux journalistes ralentis de la souris que ces attaques ne consistent pas à envoyer des milliards de messages ou d'e-mails au serveur cible. De même, ce ne sont pas des milliers ou même des centaines de pirates qui se sont groupés pour réaliser cet embouteillage. Pourquoi? Simplement parce que si c'était le cas, au moins l'un d'entre eux aurait déjà craqué et aurait lâché le morceau quelque part, déclenchant ainsi une vague d'arrestations.

Reste que ce genre de nuisances  pose la question de l'importance donnée par les financiers à une "nouvelle économie" dont les pieds sont faits d'argile. Ce réseau n'a pas été construit pour réaliser des échanges sécurisés. Au contraire…

Lorsque la page d'accueil d'un serveur Web un peu connu comme celui de l'armée américaine (www.army.mil) est remplacée par une page remplie de " graffitis ", c'est sans doute qu'un script-kiddy est passé par là. Comment a-t-il fait ? Comment peut-il se rendre maître d'un serveur aussi prestigieux et donc, forcément, très bien protégé ? Cela paraît tellement incongru que l'on imagine un prodige informatique capable de déclencher la guerre nucléaire avec un micro-ordinateur Atari comme dans le film War Games… C'est à la fois un peu peu plus compliqué, mais presque aussi simple... Etonnant non?

En fait, rien de plus simple que de remplacer cette "prestigieuse" page d'accueil. Le serveur Web de l'armée américaine présentait un défaut décrit dans le détail par des hackers, les vrais, ceux qui trouvent les failles, expliquent comment elles peuvent être exploitées pour prendre la main sur les serveurs et enfin, donnent toutes les clefs pour réparer.

Ce qui est dommage, c'est que les entreprises ou les gouvernements ne donnent pas assez de moyens aux administrateurs de réseaux pour qu"ils puissent se protéger utilement. Notamment en embauchant une personne à plein temps pour lire BugTraq... Passons...

D'ailleurs, le responsable du site de l'armée américaine avait été prévenu quelques mois avant le piratage par le groupe mythique de hackers L0pht des risques que son serveur présentait.

Mais il n'avait jugé utile, ni de répondre à cette alerte, ni de remercier. Encore moins de réparer. Son serveur a été piraté par un gamin souhaitant faire passer un petit message personnel…

Mais en règle générale, ils passent leurs nuits blanches à mettre par écrit ce qu'ils ont trouvé et communiquent leur travail gratuitement à la communauté des internautes (voir ci-dessus, encadré rfp). Bien entendu, rien n'est vraiment tout blanc (ou tout noir) et il est vrai que certains hackers appartiennent à des groupes qui peuvent de temps à autres " se payer " un serveur très en vue " pour le fun "…

Par ailleurs, de passerelles sont toujours possibles entre le monde des hackers et celui des autorités. Dernièrement, Dr Mudge, représentant très chevelu et très barbu du groupe L0pht, a été convié par le président américain Bill Clinton à une réunion de débriefing après les attaques de Yahoo et autres CNN. Il faut bien que les politiques comprennent ce qui se passe… Notons toutefois que les hackers, ne se tournent généralement pas vers les agences gouvernementales lorsque vient le moment de se ranger des voitures. Mais plutôt vers le secteur privé. Même aux Etats-Unis où pourtant, à l'inverse de la France, les services secrets sont prêts à embaucher ce genre de compétences pour un montant tout à fait honorable…


Ma crypto est plus dure que la tienne !

Le grand mot à la mode du réseau et des experts autoproclamés des Nouvelles technologies de l'information et de la communication est : cryptographie. Elle permet de rendre définitivement illisible des données pour les yeux auxquels elles ne sont pas destinées. Le rêve pour la protection de la vie privée et pour sécuriser le commerce électronique.

Sans cryptographie, pas de commerce électronique sécurisé ! Il n'y a pas un consultant qui ne répète cette phrase inlassablement. Ils ne savent pourtant pas de quoi ils parlent… " Cryptographie " est un mot épouvantail pratique qui permet de masquer d'autres problèmes…

Question : votre numéro de carte bancaire est-il crypté lorsque vous utilisez le Minitel pour acheter un voyage ? L'est-il encore lorsque vous le communiquez à un inconnu pour réserver une chambre d'hôtel ? Non. Or, tout le monde voudrait que tout soit crypté dès lors que l'on parle d'Internet. Pourquoi ?  Mystère et boule de gomme, on dirait...

Le cryptage en soi n'apporte rien. Le numéro de carte bancaire circule codé ? Parfait personne ne viendra le voler pendant le transit sur le réseau.

En revanche le vol du fichier contenant des milliers de numéros sur le serveur est possible. De même, il est aisé de contrôler à distance le PC d'un particulier et d'enregistrer ce qu'il tape sur son clavier…

En attendant, cryptage ou pas, le paiement via Internet aujourd'hui est assimilé à un paiement dans le cadre de la vente à distance. Le client est donc protégé à 100% puisqu'il peut récuser tout achat et se faire rembourser…

En fait, ce que les banquiers et les marchands veulent obtenir, c'est l'irrévocabilité des paiements, au même titre que lorsque l'on paye chez un commerçant réel.

Tout cela n'est qu'une question de gros sous bien sûr...

Il faut pour cela identifier de manière irréfutable les deux parties et obtenir une forme de " signature " de la part du client. La cryptographie sera d'une aide précieuse pour cela…

Mais toutes ces technologies complexes (SET, Cyber-COMM développées respectivement par Visa/Mastercard et les banques françaises) ont reçu un accueil négatif de la part des internautes. Les utilisateurs recherchent la simplicité avant tout et se contentent du système SSL (Secure Socket Layer) qui ne requiert aucun ajout logiciel ou matériel.

SSL, l'amour vache

De manière transparente pour l'utilisateur, le navigateur et le serveur marchand se chargent de tout…

Les données (n° de CB, adresse de livraison, etc.) sont cryptées entre le navigateur et le serveur. Ce système (le petit cadenas dans le bas du navigateur…) est devenu un standard "de fait" par adoption générale de la part des utilisateurs. Comme bien des choses sur Internet d'ailleurs…

Sans vouloir opposer standard de fait et standard par adoption de l'industrie, il faut dire que tout oppose ces démarches. A entendre les responsables de Cyber-COMM le jour de la présentation de leur bébé à la presse, Cyber-COMM allait l'emporter sur SSL justement parce qu"il s'agit d'un standard de l'industrie, un truc normalisé...

Passons sur le fait que les mêmes responsables se gaussent d'avoir un "machin" qui est complètement SET, cette norme utilisée par zéro internaute...

La seule manière d'imposer Cyber-COMM serait de refuser de traiter les paiements réalisés via une solution SSL... Peu probable...

Même si les banques ont toutes les armes pour faire ce genre de choses, on voit mal les marchand se contenter de 20.000, voire 200.000 (un jour) acheteurs potentiels alors que SSL leur ouvre le monde (online) entier... Enfin, les banques américaines ne seraient sans doute pas très heureuses. Et de mémoire, leur poids dans Visa et Mastercard reste légèrement supérieur à celui des banques françaises...

Nos institutions financières nationales  peuvent donc continuer de dépenser des millions de dollars pour rien avec des systèmes comme SET ou Cyber-COMM…

SSL n'est pourtant  pas une panacée. Puisqu'il crée un tuyau sûr entre deux points du réseau, il est possible de s'attaquer aux deux extrémités, mais aussi de détourner le tuyau pour se faufiler dedans. En clair, une société de sécurité informatique a réussi à "voler" une session SSL d'un internaute qui passait ses ordres de bourse. Accès total garanti au portefeuille boursier...

Outre les aspects liés au commerce électronique, la cryptographie en soi a un intérêt certain. Notamment en ce qui concerne le droit à au respect de la vie privée. Une très belle initiative dans ce sens est menée par Zero-Knowledge. Son logiciel, Freedom, permet d'utiliser Internet de manière totalement anonyme. Et d'échapper ainsi à tout flicage, qu'il soit réalisé dans un but marketing ou policier (dans certains pays). De même, il est possible d'échanger des e-mails ou des fichiers cryptés, ce qui permet d'échapper aux éventuels regards indiscrets. Le célèbre logiciel de cryptographie PGP (Pretty Good Privacy ou en français "Une confidentialité plutôt bonne") est disponible gratuitement sur le Net. Mais son utilisation avec un niveau de cryptage acceptable reste illégale en France…

Kitetoa

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb