Histoire du Hacking (3/3)

Troisième et dernière partie de notre courte série d’articles dédiés à l’histoire du hacking. Si vous avez manqué les deux premières parties, vous pouvez les découvrir ici pour le premier volet et là pour le second.

Tout au long de cet article, nous aborderons les différentes formes de hacking.

Le hacking au service du militantisme : Le cas des Anonymous

Assez proche des idéaux du Chaos Computer Club, un mouvement commence à faire parler de lui en 2008, les Anonymous. Il s’agit d’un collectif à l’échelle mondiale regroupant des personnes qui militent, entre autres, pour le droit à la liberté d’expression.
Leur devise est la suivante : « Nous sommes Anonymous. Nous sommes Légion. Nous ne pardonnons pas. Nous n’oublions pas. Redoutez-nous. »
Ce mouvement utilise ses compétences en piratage informatique dans le but de dénoncer des injustices, faire circuler des informations et lancer des alertes via Internet. Cette forme de militantisme se nomme Hacktivisme (contraction de Hacker et activisme). Généralement, on les nomme Grey Hat (chapeau gris).

Le cas des Anonymous est en fait assez compliqué dans le sens ou tout le monde peut revendiquer son appartenance à ce mouvement. Ils se sont fait connaître au départ grâce à une série d’attaques visant l’église de la scientologie.
L’ensemble de leurs actions et annonces suscitent parfois beaucoup de remous, l’affaire MegaUpload a été au cœur de plusieurs débats et parfois condamnée au sein du collectif lui-même.

Leurs implications dans de nombreux hacks de comptes X (anciennement Twitter) de personnes soupçonnées d’être extrêmement dangereuses et autres dénonciations n’ont eu de cesse de diviser l’opinion publique les concernant. Tantôt pirates, pilleurs, voleurs, tantôt justiciers, lanceurs d’alertes, protecteurs des droits fondamentaux, les avis à leur sujet, interrogent, divisent et préoccupent.

Les actions néfastes imputées aux hackers couvrent un spectre assez large d’infractions possibles, on le nomme Cybercrime. En dehors des intrusions illégales au sein de nombreux systèmes, il y a les traitements et le vols de données confidentielles et/ou personnelles, les infractions aux cartes bancaires, l’usurpation d’identité, l’incitation à la haine raciale et/ou terrorisme, l’atteinte à la vie privée, l’atteinte aux biens, le blanchiment d’argent, le vol de la propriété intellectuelle … Etc

Les pirates ne sont pas seulement craints et redoutés par les entreprises, ils sont également courtisés par celles-ci. En effet, les intérêts économiques liés à la sécurité de leurs infrastructures sont un enjeu majeur impactant directement leur survie.

Je t’aime moi non plus

Depuis toujours, il existe une attraction/répulsion entre les hackers et les entreprises. Véritable défi pour l’un, ennemi juré pour l’autre, si la sécurité informatique est ce qu’elle est aujourd’hui, c’est avant tout grâce à ce jeu du chat et de la souris que se livrent ces deux partis.

Le terme Hacker éthique ou white Hat a, au fil des années, pris naturellement sa place dans l’arsenal sécurité des entreprises. À la différence des Black Hat, leurs homologues considérés comme malveillants, les white Hat sont sollicités pour toutes sortes de tâches. Ils ont pour mission de réaliser des tests d’intrusion ou participent à des programmes de Bug Bounty. En véritable spécialiste des manipulations technologiques, de l’accès à l’information, le hacker éthique dispose de connaissances pointues des différents systèmes et langages.

Les hackers éthiques utilisent les mêmes outils que les attaquants pour tenter de s’infiltrer dans un système d’information (SI), ils le font cependant à la demande d’une entreprise et ne causent aucun dégât. La plupart du temps, ils explorent différents scénarios possibles d’intrusion, ce sont des pentesteurs. Ils vont ainsi évaluer le niveau de sécurité et rendre ensuite leurs conclusions, recommandations et dans certains cas des solutions.

Parmi toutes ces (cyber)menaces, que devient le facteur humain ?

Si les hackers s’emploient à trouver des failles dans les systèmes d’informations, le système humain ne fait pas exception. L’ingénierie sociale (Social engineering) est souvent utilisée dans le milieu informatique pour désigner des méthodes d’approches en ligne mise en place par certains hackers afin d’amener leurs victimes à faire toutes sortes d’erreurs dans le but de compromettre les moyens de sécurité qui ont été mis en place pour les protéger. Ces techniques, reposent sur la manipulation, la peur, la séduction ou encore la cupidité.

Kevin Mitnick, un ancien hacker très célèbre connu sous le pseudonyme « Le Condor », a publié un livre basé sur ses expériences personnelles, l’art de la supercherie. Cet ouvrage traite principalement des différentes approches et méthodes pour briser les chaînes de sécurité grâce au facteur humain.

• https://www.eccouncil.org/
• https://sysdream.com/
• https://www.offensive-security.com/

• VPN pour les nuls

Histoire du hacking (partie 2/3)

Deuxième partie cette semaine de notre courte série d’articles dédiés au Hacking. Si vous avez manqué la première partie de Histoire du hacking (partie 1/3), c’est ici.

Vers l’internet tel que nous le connaissons

1989, en Suisse, les laboratoires du CERN développent le World Wide Web. Internet était né.

Si au départ, les failles de sécurité étaient détectées au sein de réseaux fermés appartenant à l’armée, certaines universités ou encore des grandes entreprises de l’époque, l’apparition d’un réseau mondial a redéfini certains contours concernant la sécurité et la protection des données numériques.

Les premiers logiciels de chiffrement font leur apparition. En 1991, le fameux PGP (pour Pretty Good Privacy, « assez bonne confidentialité » en français) est développé et diffusé par Philip Zimmermann. L’idée était de pouvoir chiffrer toutes sortes de données de façon à les sécuriser et notamment les communications par courriel. Il n’était pas question de protéger sa vie privée ou de protéger ses données sur un cloud sécurisé à cette époque, les enjeux étaient essentiellement économiques et militaires. Bon nombre de projets étaient développés conjointement par plusieurs personnes, parfois de pays différents, et il était impératif de limiter au maximum les risques de fuites.

Quand les banques deviennent une cible, la naissance d’une légende russe, Vladimir Levin

Présenté comme un scientifique, Vladimir Levin faisait parti d’un groupe de pirates russes du nom des « hackers de Saint-Pétersbourg ». C’est une histoire de vol et de détournement assez controversée. Vladimir Levin aurait accédé aux grands comptes des clients de la CityBank grâce à leur service de virement. Il a pu ainsi transférer des fonds sur des comptes ouverts un peu partout dans le monde pour un montant d’un peu plus de 10 millions de Dollars. Il fut arrêté en 1995, reconnu coupable et condamné à 3 ans de prison.

L’histoire ne s’arrête pas là. ArkanoiD, un membre supposé des hackers de Saint-Pétersbourg affirme en 2005 avoir pénétré le premier, le réseau de la CityBank et déclare que Vladimir Levin n’a jamais eu les compétences nécessaires pour réaliser ce genre d’intrusion et qu’il a bénéficié des accès par l’intermédiaire du groupe de hackers.

Internet commence peu à peu à s’étendre et devient un formidable terrain de jeu pour tous les passionnés de sciences et d’informatique du monde entier. À partir de 1995, le surf internet prend forme avec l’apparition des navigateurs. Des mesures et des sanctions importantes sont mises en place pour écarter certains pirates considérés comme dangereux, c’est le cas de MinorThreat qui fut le premier hacker a être interdit d’Internet.

À cette époque, la population était encore considérée comme sous-équipée et peu informée. Très peu de livres et revues informatiques étaient accessibles à la compréhension de tous. Pourtant, les vers, les virus ainsi que les chevaux de Troye commençaient à se repandre. Il n’était pas question au départ de s’emparer de quoi que ce soit chez les utilisateurs. Les hackers s’intéressaient au défi que pouvait représenter les détections de faille de sécurité au sein des grandes firmes technologiques, de créer, d’innover et d’apporter des solutions. Internet Explorer a d’ailleurs été une cible assez prisée.
Les dégâts provoqués par les virus et les détournements de ressources machines des utilisateurs étaient, au départ, soit des dommages collatéraux, soit des expériences d’adolescents particulièrement doués.

An 2000, I Love You

C’est sans doute le ver informatique le plus célèbre de ce début de siècle. La population mondiale étant de plus en plus équipée, sa vitesse de propagation fut extrêmement rapide, en 4 jours, il a infecté plus de 3 millions de machines à travers le monde provoquant des millions de Dollars de dégâts. Ce malware, originaire des Philippines, aurait été identifié comme étant la création d’un certain Onel de Guzmán, alors âgé de 24 ans, il nia en être le créateur. L’absence de lois contre le hacking dans ce pays, au moment des faits, a eu pour conséquence de laisser impuni l’auteur d’un des vers les plus destructeurs.

Mafiaboy, un script Kiddie sous-évalué

Un script Kiddie est un terme assez péjoratif désignant un adolescent sans réelles compétences en sécurité informatique, mais essayant des scripts crées par de véritables hackers dans le but de s’infiltrer dans différents systèmes. Détestés par les hackers, sous-estimés par les autorités, ces « gamins à script » sont une menace pourtant réelle et leur nombre augmente.

C’est ce qui est arrivé en 2000, un adolescent canadien de 15 ans, Micheal Calse, connu sous le pseudonyme Mafiaboy a réussi une série d’attaques contre Yahoo ! Amazon, Dell, CNN et eBay ayant pour résultat d’en fermer les accès temporairement. Surveillé à cette époque, mais jamais inquiété par les autorités, car il était considéré comme un adolescent aux médiocres aptitudes techniques, le montant des pertes fut estimées à plus d’1,7 milliards de Dollars.
Il est finalement arrêté la même année après qu’il se soit vanté sur IRC d’être l’auteur de ces attaques.

Les supports et les risques se multiplient, évoluent, mutent.

La première décennie des années 2000 verra une succession d’arrestations de hackers partout dans le monde allant de la simple intrusion dans un système au vol de données sensibles. La propagation des malwares commence à devenir une véritable plaie pour les utilisateurs. Les antivirus, essentiellement utilisés par les entreprises s’installent aussi chez les particuliers. Les multiples logiciels destinés à la communication comme IRC, ICQ, MSN, le téléchargement de fichiers sont autant de failles de sécurité dont il faut commencer à se protéger.

Même si la navigation internet comporte des risques pour le matériel des utilisateurs, ceux-ci continuent de s’équiper et les débits de connexion n’ont de cesse d’augmenter pour couvrir de plus en plus d’activités en ligne, smartphones, tablettes, objets connectés, téléchargements, streaming, jeux en réseau… La puissances des ordinateurs des utilisateurs ainsi que leurs données personnelles commencent peu à peu à devenir des cibles dignes d’intérêt.

Si les hackers suscitent la méfiance, il n’en demeure pas moins qu’ils sont des alliés solides du développement technologique et des entreprises.

Dans la troisième et dernière partie de notre dossier consacré aux hackers, nous aborderons les différentes facettes du hacking.

Liens utiles :

• Site officiel de Philip Zimmermann
• VPN pour les nuls

Histoire du hacking (partie 1/3)

Cette semaine marque la première partie d’une courte série d’articles dédiés à l’histoire du hacking.

Dans le monde, chaque jour, 30 000 sites sont piratés et plus de 350 000 malwares sont recensés.

Peu nombreux, parfois organisés, pas nécessairement animés par les mêmes motivations, mais toujours passionnés, les hackers n’ont eu de cesse de faire parler d’eux et d’évoluer depuis 60 ans. En passe de devenir un véritable mythe, le pirate informatique inquiète autant qu’il fascine. Loin d’un Internet lisse et balisé, les Hackers, eux, évoluent de l’autre côté du miroir.

Bidouiller, expérimenter pour le plaisir

C’est au MIT (US), l’institut spécialisée dans les sciences et la technologie, que les premiers Hacks ont fait leur apparition dans les années 60. Il s’agissait de raccourcis conçus pour améliorer les performances d’un système.

Si ces recherches avaient initialement pour but d’enrichir les logiciels et renforcer leur sécurité, au début des années 70, un homme, John Draper, connu sous le pseudonyme de Captain Crunch va devenir le premier Phreaker, en français; Pirate du Téléphone. Cette technique reposait sur l’émission d’une fréquence sur une ouverture de ligne longue distance libre, cette tonalité simulait que l’appel était terminé. Toujours connecté à cette ligne, mais non pris en charge pas le central téléphonique, le pirate pouvait alors composer le numéro de son choix sans être facturé et téléphoner gratuitement. Le dispositif servant à émettre la tonalité de 2600 hertz a été baptisé Blue Box.

John Draper fut condamné en 1976 à 2 mois de prison. Il est un des pionniers dans les techniques de piratage téléphonique ainsi que dans leur diffusion. Il ne fut pas le seul, Steve Wozniak avec la complicité de Steve Jobs ont reproduit cet appareil pirate et ont revendu quelques exemplaires pour 150$ pièce. Les pertes pour les compagnies du téléphone de l’époque n’ont jamais été estimées.

Chaos Computer Club : Le véritable commencement

Le début des années 80 a marqué un tournant important. En effet, bon nombre de réalisations en lien direct avec l’informatique ont vu le jour pendant cette période; Microsoft, Sun Microsystems (Java) ou encore le système de Nom de Domaine (DNS).

Rapidement certains hackers se rassemblent, s’organisent. De nombreuses organisations voient le jour. En 1981, le Chaos Computer Club est fondé à Berlin, il deviendra une association de hackers particulièrement influente en Europe. Le CCC est une communauté œuvrant contre toute forme de censure. Elle prône un internet libre et se considère essentiellement comme étant une vaste plate-forme de communication destinée aux hackers confirmés et ceux en devenir. Il s’agit d’un espace de réflexion, d’échanges sur toutes les possibilités qu’offre la technologie au service des individus. Le CCC publie régulièrement et très volontiers les résultats de ses recherches en matière de sécurité.

Combler un vide juridique

Les premières lois aux Etats Unis visant à sanctionner la fraude informatique et toute forme d’abus ont été adoptées en 1986.
En 1988, le premier ver informatique lancé par accident par Robert Tappan Morris sur plusieurs dizaines de milliers de machines a eu pour conséquence des ralentissements à travers tous les États-Unis. Il fut le premier hacker à être poursuivi et inculpé en vertu de la loi Computer Fraud and Abuse Act. La peine fut de 3 ans de probation, 10 000 $ d’amende et 400 heures de travail d’intérêt général.

Le cas Kevin Poulsen

Kevin Lee Poulsen, ancien pirate informatique connu sous le pseudonyme de Dark Dante, s’est forgé au cours de la dernière décennie une excellente réputation de journaliste d’investigation sur la lutte contre la cybercriminalité.

Mais cela n’a pas toujours été le cas. Son premier acte d’intrusion remonte à 1983, à cette époque, il pirate le réseau ARPAnet de l’université de Californie. Mineur à l’époque, il ne sera pas inculpé. Bien que consultant pour Sun Microsystems, il continue ses activités d’intrusion et entre en possession d’un document classé secret défense détaillant des exercices militaires. Kevin Lee Poulsen s’est également introduit au sein du réseau MASnet appartenant à l’armée de terre Américaine.
Expert en crochetage de serrure, il a également pénétré par effraction dans les locaux de la Pacific Bell (une compagnie de téléphone) pour y voler du matériel.

Arrêté une première fois en 1989, il s’enfuit. Cette cavale va durer 17 mois pendant lesquels il accomplira son plus gros hack. Uns station de radio offrait une Porsche au 102e auditeur; Kevin Poulsen pris alors le contrôle de toutes les lignes téléphoniques et s’est arrangé pour être le 102e à téléphoner. Il gagna la voiture. Il fut arrêté à la suite d’une dénonciation alors qu’il faisait ses courses en 1991.
Il fut accusé d’entrave à la justice, de vol de biens appartenant à Pacific Bell, d’appropriation de données, d’espionnage, d’intrusion dans un réseau militaire et de vol de dossiers classés secret défense. Il fut Condamné à 4 ans de prison ferme et à verser 56 000 $ à la compagnie Pacific Bell.

Les hackers sont, avant tout, des individus, bons ou non, qui contournent l’usage de systèmes d’information. Quand une personne mal intentionnée s’applique à chercher, trouver et s’engouffrer dans une faille de sécurité, on la nomme Black Hat (chapeau noir).

Si les terrains de jeu des hackers étaient jusqu’alors assez limités, en 1989, tout change, c’est la naissance d’internet.

Dans la seconde partie de notre dossier consacré aux hackers, nous aborderons ce qui aura contribué à dessiner les contours de l’Internet que nous connaissons aujourd’hui.

Liens utiles :

• VPN pour les nuls
• Site officiel de John Draper
• Site officiel de Kevin Poulsen