 |
Vendredi 19 avril 2024 - 11:49 |
| Translate |
|
| Rubriques |
| Réseaux sociaux |
|
| Liste des jeux Amiga |
|
| Trucs et astuces |
|
| Glossaire |
|
| Galeries |
|
| Téléchargement |
|
| Liens |
|
| Partenaires |
|
| A Propos |
|
| Contact |
|
|
|
Le numéro commence par 05 90. C'est donc un numéro vert. Et celui du FBI, celui que ses agents en France utilisent pour joindre gratuitement le siège américain. En se faisant passer pour celui qu'il n'était pas, "Frantic" a passé cinq mois en détention préventive.
Téléphoner gratuitement dans le monde entier en imitant la voix du patron du FBI, c'est gonflé mais ça coûte cher. Entre tolérance à l'européenne et répression à l'américaine, la France cherche sa politique face à un problème qu'elle semble découvrir.
Internet, un monde peu sécurisé
D'accord, se faire passer pour quelqu'un d'autre afin de profiter d'une ligne téléphonique, cela s'apparente plus à de l'escroquerie qu'à du piratage. Mais pour un pirate, la démarche est similaire. La voix remplace simplement les impulsions du boîtier de communication, du modem. Le piratage informatique est une affaire de passionnés : le but du jeu est de trouver la faille. Et comment résister devant l'énormité du transit informatique que connaît notre fin de siècle ? Chaque télé-achat, chaque courrier confidentiel, chaque entrepôt de données électroniques, sont autant de tentations de relever un défi, celui de s'immiscer dans un domaine dans lequel on n'est pas attendu.
Internet regrouperait actuellement 6 millions d'ordinateurs dans le monde, avec une estimation de 50 millions d'utilisateurs selon certaines sources, 28 millions selon d'autres. Impossible de se faire une idée précise, mais le maillage informatique mondial est assurément impressionnant. Difficile de trouver aux États-Unis une entreprise de pointe qui ne soit pas connectée au réseau. Les autorités américaines font des pieds et des mains pour imposer un semblant d'ordre sur le réseau, mais l'instinct pionnier et libertaire de ses usagers rend leur tâche ardue. En France, les derniers chiffres font état de 15 000 abonnés, et 100 000 utilisateurs... Notre doux pays est plus réputé pour son Minitel (massivement piraté lui aussi) que pour son penchant pour les "autoroutes de l'information", bien que les chiffres soient en constante augmentation malgré le sous-équipement informatique. Il faut dire que les Américains ne paient pas leurs communications locales et ont ainsi beau jeu de faire office de colons du cyberespace.
Les entreprises françaises se méfient en majorité d'Internet, victime de sa réputation d'insécurité des données. Mais celles qui sont reliées rejoignent la cohorte de sociétés qui, de par le monde, sont joignables de votre domicile, pour peu que vous disposiez d'un compte sur Internet.
Les pirates conçoivent Internet comme la prairie dans laquelle on engraisse le troupeau... Mais depuis peu, des garde-champêtres ont tendance à mieux se cacher derrière les arbres. La méfiance gagne, Internet ne servirait donc plus qu'à former les novices et à échanger les informations, sauf pour quelques débrouillards comme Kevin Mitnick, dont la traque aura été un véritable roman d'espionnage. Les entreprises n'ont pas attendu Internet pour se relier au monde extérieur. Beaucoup de sociétés disposent d'une ligne téléphonique sur laquelle les employés et les autres sociétés se connectent pour accéder au serveur central. De nombreux systèmes fonctionnent ainsi en France : transactions entre banques, réservations d'avions depuis une agence de voyage, autorisation de débit de carte bleue depuis un magasin, etc. Les estimations des pertes dues aux différents incidents de fonctionnement sur ces transactions varient énormément selon les experts en sécurité. Même si elles sont souvent occasionnées par des sabotages ou des malversations d'employés en délicatesse avec la société, le pirate reste le bouc émissaire favori.
Les intrusions de pirates sur les divers réseaux informatiques se multiplient. Ou peut-être que les entreprises ont moins honte qu'avant d'avouer une intrusion sur leur site. Face aux pirates, les administrateurs des systèmes informatiques (les sysops, "system operators") manquent trop souvent de formations, voire de connaissances sur les modes d'action de leurs adversaires. On voit encore trop souvent de parcs informatiques sur lesquels les mots de passe par défaut du constructeur sont toujours valides...
Ce type d'erreur grossière est inacceptable dans un monde qui oeuvre pour l'abolition des frontières. N'importe quel individu peut aujourd'hui se connecter à une entreprise française depuis l'Iran, la Patagonie ou le Nebraska. La distance est maîtrisée. L'espion informatique moderne peut opérer de son lit, le bol de café sur la table de nuit, n'en déplaise aux films d'espionnage à base "d'infiltration" et de "couverture". L'informatique a révolutionné l'espionnage industriel. Les forces de sécurité françaises garantissent qu'elles savent faire la différence entre un "espion" et un passionné de défis. Enfin, presque toujours. C'est pourquoi les pirates les plus raisonnables s'interdisent de toucher aux sites sensibles (Matra, Dassault, CEA, ESA, Banque de France, etc.), afin d'éloigner les soupçons. Les autres, trop prétentieux et orgueilleux, ont bien du mal à prouver leur bonne foi quand la justice s'en mêle.
Pas de quartier !
Les intrusions de pirates font plus ou moins de dégâts, selon le niveau technique et la nature du pirate. Lorsqu'un administrateur système arrive à son travail, il consulte théoriquement (sauf sur les Unix, les DEC-10 et les IRIS, d'habitude), le fichier journal, alias "log", ce fichier qui répertorie notamment les tentatives de connexion infructueuses. S'il constate une série de 30 connexions de ce type, par exemple, avant l'acceptation du visiteur, il est sûr d'être en présence d'une effraction informatique. Il ne lui reste plus qu'à faire le tour de son réseau ou de son poste pour évaluer l'action du pirate. Le pirate qui ne modifie pas le fichier journal d'un serveur où il a pénétré mérite le qualificatif de "lamer" (équivalent de "incapable") que ses confrères plus aguerris lui donneront certainement.
Si l'administrateur système constate que des fichiers ou des répertoires ont été effacés, le cas est plus problématique. Un pirate qui endommage un système où il pénètre attire à juste titre de sérieux soupçons sur lui. Le sabotage industriel est un délit sévèrement réprimé, et il est impossible au pirate coupable d'écarter de lui cette légitime accusation. Quand un pirate endommage un fichier par erreur de manipulation, rien ne l'empêche en effet d'alerter l'administrateur système du site qu'il pirate pour lui expliquer la situation en détail. Les juges non plus n'apprécient guère les effacements méthodiques des disques durs...
Enfin, dans tous les cas, les administrateurs système de sites sensibles ne font pas de quartier. Par site sensible, il faut comprendre les serveurs de la Défense Nationale, des industries de pointe, etc. Beaucoup d'administrateurs système ont une tendre indulgence envers les pirates, à condition qu'ils soient respectueux du site. On a même vu des serveurs sur lesquels un répertoire du type "/welcome_hacked" leur était aménagé comme aire de jeu. En revanche, les administrateurs système de sites sensibles ont théoriquement consigne de rester en état d'alerte maximale au moindre incident. Il n'y a pas de pitié pour ceux qui s'y font prendre.
La tribu pirates
En France, on emploie volontiers le terme de "pirate". La dénomination est vague par rapport au jargon des intéressés. Ils préfèrent distinguer les "déplombeurs" et les "hackers". Le déplombeur est un pirate qui ne s'intéresse qu'à sa supériorité sur le système sécuritaire d'un serveur. Un déplombeur n'aura comme seul but que l'intrusion sur l'ordinateur qui l'en empêche, en trouvant le mot de passe ou la faille dans la fortification. Le hacker, lui, est un pirate qui se balade, qui explore le système qu'il a vaincu, jusqu'à le connaître par coeur pour le forcer à repousser les limites de ses capacités. Le hacker est un passionné qui a soif de connaissances, par opposition au déplombeur qui cherche à en savoir juste assez pour pénétrer le système.
Les hackers ne sont jamais rassasiés d'informations. Ils s'intéressent aussi à tous les autres champs de la contre-culture informatique qui couvrent le piratage téléphonique ("phreaking" - contourner les systèmes de facturation téléphonique, entre autres), la reprogrammation des téléphones cellulaires, l'interception de données météorologiques émises par les satellites, voire, pour les plus audacieux, le trafic de cartes de crédit ("carding" - arnaques par cartes de crédit ou de téléphone), etc. Pour maîtriser autant de sujets, on se doute que le hacker développe une forme de monomanie. Le film Wargames est une oeuvre majeure à leurs yeux, celle qui a donné l'impulsion à bon nombre de vocations. Beaucoup se sont initiés au piratage très jeune, avec en tête cette image de Matthew Broderick sondant tous les numéros de téléphone de son quartier pour découvrir les portes d'entrée de serveurs informatiques. La fréquentation régulière de babillards électroniques douteux, les échanges d'informations avec d'autres hackers de la planète, leur ont permis d'accumuler une somme de connaissances que seule la passion exige.
Il serait faux de croire que les hackers sont des adolescents buveurs de Coca. L'image est séduisante, mais force est de reconnaître que beaucoup d'acteurs de la maigrichonne "scène" française, bien que jeunes, ressemblent plutôt à des anciens élèves d'écoles d'informatique. Une école privée détient même le record d'anciens élèves devenus "célèbres", bien qu'elle se défende devant l'évidence. Les meilleurs hackers sont ceux qui ne recherchent pas la publicité. Mais sont-ils rares ? La plupart des hackers connus sont paranoïaques, mythomanes (ils ont vite fait de métamorphoser une intrusion dans une base d'intendance alimentaire de l'armée en piratage du Pentagone), vantards et égocentriques. Un des hackers français, NeurAlien, est d'ailleurs l'auteur d'un article réputé fustigeant la "French Scene". Ce que l'on appelle la Scène est incarnée par un petit groupe de hackers, reconnus pour leur ingéniosité et leurs innovations. La scène française est pour l'instant sous-développée, à l'image du retard technologique en matière de télécommunications. Faut-il désigner le responsable ?
Réveil des pouvoirs publics
Les hackers sont paranoïaques à juste titre. Ils ont connu une époque dorée, celle où l'ordinateur était un outil mystérieux, les serviteurs de l'État moins conscients de l'importance de l'enjeu du piratage. Ce temps est révolu. De nos jours, les organes de répression font face avec aplomb et parlent des réseaux aussi bien que le PDG de Netscape. Ils s'adjoignent le concours d'ingénieurs qualifiés, et quelques responsables sont passés par une école d'informatique. Les rumeurs dans la scène désignent tel ou tel hacher ou ex-hacker comme collaborateur régulier, consentant ou non. Vous voyez l'ambiance... Les hackers pris sur le fait ont parfois des offres de collaboration, ce qui n'est d'ailleurs pas pour les rassurer.
Les organismes mandatés pour la lutte contre le piratage sont principalement au nombre de quatre. La Direction de la Surveillance du Territoire, dépendant du ministère de l'Intérieur et de l'Aménagement du Territoire, est logiquement en charge de la lutte. Les hackers les appellent les "V", peut-être par allusion à la série télévisée des Visiteurs ? Ce service de "contre-espionnage" est hyperactif : il a compétence dans le domaine du piratage informatique, mais aussi dans celui de la copie de logiciels, de la lutte contre les virus, etc. En tant que service de contre-espionnage, ils ne peuvent se permettre d'ignorer quelque affaire de piratage que ce soit. Ils appuient leur action sur une excellente connaissance du milieu - inquiétante, même. Le deuxième organe de lutte est le SEFTI, le Service d'Enquêtes sur les Fraudes aux Technologies de l'Information. Ce service fort d'une dizaine d'enquêteurs dépend de la Préfecture de Paris et n'intervient principalement que sur la région. La Brigade Centrale de Répression de la Criminalité Informatique (BCRCI) constitue le troisième organe de lutte. Cette brigade de police intervient sur tout le territoire.
Le quatrième organisme de lutte, préventive cette fois, est la Délégation Interministérielle pour la Sécurité des Services Informatiques. Cette DISSI est rattachée directement au cabinet du premier ministre. Sa mission est de protéger les ressources informatiques du territoire et de centraliser l'action menée par les services des ministères de l'État. Elle dicte à tel ou tel ministère les modalités de protection de ses données. Elle conseille aussi les entreprises-clés de notre économie en matière de sécurité. Enfin, elle a mission d'inciter l'industrie française à plus de rigueur et de vigilance. La France disposerait aussi d'unités offensives. Les rumeurs désignent naturellement la DPSD (le renseignement militaire) et la DGSE (les "services extérieurs"). Aucune déclaration officielle ne vient cependant confirmer ces bruits colportés par d'ex-hackers, maintenant dans la vie active...
Le chat et la souris
D'un côté de la barrière, on ne peut que déplorer le manque de sensibilisation d'une partie de responsables informatiques. Certes, les administrateurs système des sites sensibles reçoivent des formations solides, et sont conseillés par la DISSI. Mais qu'en est-il de la cohorte d'administrateurs système qui oeuvrent dans des entreprises apparemment plus anodines ? De l'autre côté de la barrière, on est étonné de l'agitation qui règne autour d'un petit nombre de hackers français dont l'anonymat n'est qu'illusoire. Ceux-ci ont fait leur passion de la découverte des méandres de notre univers technologique. Malheureusement pour eux, toutes les nations ont su mettre cette virtuosité au service de l'espionnage à distance. Impossible de départager l'espion du passionné. Une fois le système pénétré, le premier s'empare de documents, le deuxième musarde (ou endommage le système s'il est inconscient).
Quelle solution apporter pour mieux protéger le territoire ? La problématique des pouvoirs publics se formule en ces termes. Il en va de la sécurité informatique comme de la prévention en matière de drogue. On peut prévenir ou réprimer. La DISSI se donne énormément de mal en faveur de la première solution, par son action de conseil personnalisé ou dans les salons professionnels. La DST se charge de la répression.
La situation des hackers, marginalisés à cause de leur violon d'Ingres, pourrait émouvoir si l'on oubliait en premier lieu la perte de temps qu'ils occasionnent aux administrateurs système. "Ils n'ont qu'à être plus compétents" ou "Ça leur permet d'améliorer leurs protections" sont les deux arguments qui reviennent à chaque fois. Cela revient à brûler un bébé avec une allumette pour lui apprendre le danger du feu. En second lieu, le "hacking" est devenu une véritable culture, érigeant une statue aux héros qui maîtrisent les activités annexes énumérées plus haut et qui sont le trafic de cartes de crédit, le piratage téléphonique, etc. Le trafic de cartes de crédit (voir le paragraphe sur les logiciels de piratage) n'est ni plus ni moins qu'une vulgaire arnaque de margoulin, qui s'opère, qui plus est, au détriment d'individus. Le piratage téléphonique permettait, quant à lui, de téléphoner gratuitement à l'étranger, avant que les compagnies américaines n'engagent d'anciens pirates pour modifier leurs centraux téléphoniques. Bref, autant d'activités passionnantes si on ne considère que le défi intellectuel, mais hautement répréhensibles au regard de la loi et de la morale.
On rencontre tout de même quelques hackers qui considèrent la répression comme un juste garde-fou à leurs activités. Ceux-là estiment qu'elle fait partie du jeu et qu'elle pimente leurs activités. Ces hackers rares, responsables, et franc-jeu, jouent au jeu du chat et de la souris en ayant l'espoir et l'impression de n'être pas perçus comme des criminels endurcis.
Logiciels de piratage
La panoplie de logiciels développés par les pirates est franchement imposante. Passons sur les centaines de logiciels de déplombage et de composition de numéros de téléphone ("scanner"), pour nous intéresser aux logiciels plus exotiques. On trouve ainsi des utilitaires permettant de se contacter des numéros de carte de crédit valides (Visa, MasterCard et American Express, en général). On indique au logiciel la banque émettrice, le type de carte, et le nombre de numéros à engendrer, et il vous fournit une liste. Les numéros sont valides, c'est-à-dire que les 16 chiffres ont été créés en utilisant les algorithmes officiels de génération aléatoire. Pour acheter par correspondance (à condition de ne pas se faire livrer chez soi), il ne reste qu'à contourner le problème de la date d'expiration, non fournie par le logiciel, mais toujours exigée à l'achat par téléphone.
Les programmes de boîte bleue simulent les tonalités téléphoniques
des touches du téléphone. Les impulsions sont réglées à la milliseconde près.
Ces programmes trompaient les centraux téléphoniques américains et leur
ordonnaient de ne rien facturer. Ne fonctionne plus.
Horizon incertain
Les pouvoirs publics tentent par-dessus tout de maîtriser les groupes de hackers, ou en tout cas d'être au fait de leurs activités. Le développement des télécommunications dans notre société, même entravé par le conservatisme du service public, prend une proportion considérable. Depuis le début de l'année, la Bourse est informatisée. Imaginez ce que vous pourriez faire si vous parveniez à y pénétrer... Vous enrichir peut-être, provoquer un krach boursier sans précédent sûrement. Les organes vitaux de notre économie deviennent ainsi jour après jour accessibles au monde entier. On comprend mieux le souci de vigilance des pouvoirs publics, et la sévérité parfois apparemment déplacée des magistrats.
Hérésie à la française
PGP, ça doit vous dire quelque chose si vous lisez les actualités des magazines informatiques avec assiduité. Pretty Good Privacy est un logiciel de cryptage conçu par Philip Zimmermann. Avec PGP (maintenant en version 2.3a, sauf erreur), une personne peut envoyer un message à une autre personne, tout en étant sûr qu'aucun autre individu ne pourra le lire. Ce logiciel utilise le principe de clé publique et de clé secrète. La clé publique est, au besoin, connue de tous, contrairement à la clé secrète. PGP garantit la confidentialité lorsque l'utilisateur choisit de crypter son message : non seulement l'algorithme employé à cette fin est dérivé du très réputé RSA, mais il engendre de plus une clé de cryptage qui mesure jusqu'à 1024 bits de long ! Ce qui nous fait 95 x (10 puissance 1024) combinaisons à essayer pour casser le code d'une seule personne (pour mémoire, 10 puissance 9 est égal à un milliard). PGP est interdit en France. Dans notre pays, "l'utilisation d'une méthode de chiffrement est soumise à l'accord préalable de notre vénérable SCSSI, aussi appelé le service du chiffre. Sans leur accord et le respect de leurs conditions, vous vous mettez hors-la-loi. Il est amusant de constater qu'aux côtés de la France, la Chine, la CEI, l'Irak et l'Indonésie sont les seules nations à interdire expressément PGP. Nous voilà en belle et démocratique compagnie ! L'argument avancé par les pouvoirs publics français est que PGP mettrait en échec les services de contrôle. Or, les hackers français utilisent PGP depuis belle lurette. Cette interdiction nuit uniquement aux citoyens qui voudraient protéger leurs données. Vous imaginez la tête d'un hacker qui ne découvre, jour après jour, que des sites traités au PGP ?
Comment font-ils ?
Les articles didactiques sont généralement controversés. Lorsque leur niveau technique est suffisant, ils permettent aux entreprises d'être moins démunies face à leurs adversaires. Les pirates sont quant à eux bien plus au fait des techniques décrites. Les moins expérimentés d'entre eux qui mettent ces conseils en pratique se privent des tâtonnements indispensables à leur propre sécurité. En bref, ils sont assurés de faire un faux pas. Nous vous présentons, dans les lignes qui suivent, quelques procédés mis en oeuvre par les hackers. Ils sont incomplets ou nécessitent des logiciels qui circulent dans le milieu.
Avant toute chose, vous devez être équipé d'un PC et d'un modem, un boîtier qui relie le PC à la ligne téléphonique. Le piratage de serveur par modem est sans doute l'expérience la plus enrichissante pour un hacker, dans la mesure où elle exige qu'il trouve le numéro de téléphone et réussisse à pénétrer sur la machine hôte. Pour pénétrer un système depuis votre domicile, il vous faut le numéro de téléphone d'accès à ce système.
Petit exercice de pirate pour soutirer des informations à une opératrice sur les particuliers.
Les documents en circulation sur Internet et les babillards électroniques sont surtout américains.
ToneLocator est le plus célèbre des "scanner" (logiciels de composition automatique de numéros de téléphone)
Pour générer en quelques secondes des numéros de cartes de crédits, le logiciel
pousse même le vice jusqu'à demander le nom de la banque émettrice
Le serveur répond à l'appel, se synchronise avec le modem et voilà le hacker prêt à dialoguer avec l'ordinateur. Le hacker ne porte aucun intérêt, sauf exception, à la marque de l'ordinateur, mais attache en revanche une grande importance au système d'exploitation qui tourne dessus (le DOS est un système d'exploitation, aussi appelé "OS"). VMS et Unix composent la majorité du parc informatique, mais on trouve aussi VM/CMS, VME et TOPS-10 en France. Les hackers mettent un point d'honneur à maîtriser un système d'exploitation, voire plusieurs. Chacun possède des failles. À la connexion, le système d'exploitation demande au hacker de s'identifier avec un nom de compte et un mot de passe. Rien ne dégoûte plus un déplombeur que de se connecter au serveur et de constater que les mots de passe par défaut du système d'exploitation n'ont pas été modifiés. Sur Unix, un simple "guest:guest" ou "admin:admin" fonctionne parfois. Sur VMS, il s'agira entre autres de "GUEST:GUEST" ou "SYSTEM:OPERATOR". Le piratage en France serait grandement réduit sans des erreurs aussi grossières.
Le forum NCSAFORUM sur Compuserve a pour but d'aider les entreprises
à communiquer entre elles sur le thème de la sécurité informatique
Les groupes de discussion sur Internet discutent de piratage à découvert
Pour combien de temps encore ? Ici, le groupe "alt.2600"
Explications pour tenter de forcer un utilisateur à changer son mot de passe
(d'accès au service de courrier électronique) et à vous
le communiquer. Là aussi censuré, bien sûr !
Si ces méthodes ne portent pas leurs fruits, le hacker fera d'autres tentatives, de plus en plus élaborées, jusqu'à laver cet affront personnel que leur fait le serveur. Matthew Broderick, dans le film Wargames, va jusqu'à chercher le nom du fils du concepteur de l'ordinateur qu'il attaque. Un piratage célèbre a été réussi en envoyant un faux logiciel à la victime, avec le numéro de télé-assistance en gros dessus. Le logiciel comportait évidemment un énorme bogue, ce qui a poussé la victime a appeler la supposée maison d'édition. À l'autre bout du fil, le hacker n'a eu aucun mal à soutirer des informations. Une fois dans le système, le hacker se promène au gré des répertoires, rapatrie sur son disque dur les éventuels jeux qui s'y trouvent, glane des numéros d'accès à d'autres serveurs, etc. Ce qu'il fait dans le serveur dépend de son degré de responsabilité. Avant de quitter l'hôte, le hacker doit effacer toutes les traces de son passage en modifiant les fichiers journaux pour y effacer la mention de sa connexion. Ces fichiers sont différents selon le système d'exploitation. C'est pourquoi les hackers se renseignent toujours sur celui qu'ils convoitent avant tout essai, de peur de ne pouvoir effacer leurs empreintes une fois dans la citadelle.
Les mots de passe
Choisir un mot de passe qui remplit son rôle sans faillir est plus ardu qu'il n'y parait. Un bon mot de passe est d'abord celui qui n'est pas connu : il est souvent aisé de déduire le mot de passe d'après la personnalité de l'utilisateur ("jimi_hendrix" pour l'admirateur du guitariste, "dark_vador" pour le passionné de La Guerre Des Étoiles, etc.) ou simplement parce qu'il utilise son numéro de téléphone ou de plaque minéralogique. Un bon mot de passe est ensuite celui qui ne peut se deviner. Si vous travaillez dans une banque, il vaut mieux éviter "dollars" "agios", ou "banque". Enfin, un bon mot de passe ne devrait pas être un nom propre ou un nom commun, dans la mesure où les logiciels de déplombage commencent par cette voie. Ne croyez pas que l'utilisation d'une série de chiffres vous met à l'abri : des logiciels spécialisés dans l'égrenage de combinaisons se chargeront d'en venir à bout.
|
