L’art de devenir un « bon » hacker
conseil

L’art de devenir un « bon » hacker

avis d'expert  |  CORTO GUEGUEN, INGENIEUR SECURITE RESEAUX NOMIOS | 11/01/2016

Les hackers ne sont pas forcément des « bad guy » : ils peuvent être du bon ou du mauvais côté de la barrière.

Il faut aussi se rappeler que les hackers font de bons pen-testeurs, et qu’un bon pen-testeur est forcément un hacker. Tout au long de cet article, nous verrons comment font les hackers pour devenir des experts, pour expliquer ensuite pourquoi ces personnes doivent être reconnues et surtout pourquoi elles sont paradoxalement nécessaires.

0/ Les fondements

Devenir un hacker, c’est bien plus qu’un métier. C’est quelque chose que l’on est. En anglais, « hacker » signifie initialement « bidouilleur ». Bien que cette définition ait largement évolué, par le biais des médias, ainsi que de l’évolution des pratiques, on retrouve toujours cette notion de « bidouiller », qui définit un hacker, dans l’informatique, mais également dans d’autres domaines. On pourra donner comme exemple ce qu’on appelle le « hardware hacking » qui consiste à recréer ou modifier un objet pour en détourner ou améliorer l’usage.

C’est en fait une envie - voire un besoin - de comprendre comment les choses fonctionnent, comment les améliorer, les détourner. Ce désir est la base d’un « bon hacker », c’est grâce à cela que les hackers ont toujours cette recherche de compréhension nécessaire pour déterminer le fonctionnement d’un système informatique et surtout quelles en sont ses faiblesses.

Devenir un hacker, c’est aussi comprendre qu’on ne comprend pas. Qu’il faut du temps pour assimiler le fonctionnement d’un ordinateur, d’un OS, d’un programme, d’un script. Qu’on ne devient pas un génie de l’informatique uniquement en regardant des vidéos Youtube, et que l’apprentissage et long et parsemé d’embuches.

Enfin, être un hacker, c’est avoir 7 ans, découvrir un ordinateur pour la première fois, sans réellement comprendre tout ce que cela signifie, mais voir quelque chose d’impressionnant, et qu’il est possible de faire bien plus qu’écrire un document ou utiliser Paint.

 

1/ L'apprentissage

Apprendre à devenir un hacker va bien plus loin que quelques techniques de contournement et d’attaques qu’on peut trouver grâce à des sites ou des scripts. En effet, ce domaine est bien plus large que la simple technique. On y trouve tout d’abord un univers qu’il est intéressant, et presque utile, de connaitre. On citera par exemple Kévin Mitnick, connu pour avoir piraté des infrastructures américaines, The mentor, qui a écrit le Manifeste du hacker, ou encore les webzines connus tel que Phrack et feu MadChat pour le côté français.

Connaitre les mythes et l’Histoire du hacking ne suffit pas. Il est bien sur nécessaire d’apprendre la technique. Pour cela, plusieurs solutions existent, certaines légales, d’autres moins. Pour la partie illégale, nous n’allons évidemment pas détailler dans cet article ce qui est possible de trouver. On expliquera ici seulement qu’il est possible d’apprendre en passant par le darknet (tor, freenet, etc) ou par d’obscurs sites.

Il existe cependant des moyens à la portée de tous pour apprendre l’attaque (ainsi que la défense) : les sites de challenges. Ces sites web spécialisés permettent l’apprentissage technique en proposant des épreuves telles qu’injections SQL, cracking de programmes créés spécialement, cassage de chiffrement, etc. Sur ce point, le site français Newbie Contest est une référence et permet d’appréhender facilement la phase d’apprentissage.

Il existe aussi ce qu’on appelle des CTF (Capture The Flag) : des compétitions éphémères, créées pour quelques jours seulement, et proposant des épreuves de hacking d’un niveau souvent élevé. Ce type d’évènement rassemble généralement des « teams » venues de tous les pays pour le défi technique. Certains hackers de génie font parties de ces équipes, on donnera comme exemple « Plaid Parliament of Pwning », ou encore « More Smoked Leet Chicken ». La France n’est pas en reste avec des équipes talentueuses comme « 0x90r00t » ou « khack40 ».

En outre, différents canaux de communications permettent aux « newbies » de commencer ou continuer l’apprentissage, forums, blogs et canaux IRC en tête. Ces canaux de communication permettent l’échange et l’entraide nécessaire à l’évolution. On pourra citer comme exemples français les blogs d’IvanLef0u et de Cédric Blancher (expert sécurité aujourd’hui décédé).

Évidemment, la phase d’apprentissage est bien plus complexe que quelques sites de challenges, et la limite entre « bon » et « mauvais » coté est souvent fine et doit potentiellement être franchie pour comprendre en profondeur les failles et vulnérabilités parfois très complexes.

Cette phase d’apprentissage est difficile et beaucoup se perdent en chemin : abandon ou encore pente glissante et trop facile du « script kidding », l’échec est souvent au rendez-vous.

 

2/ L'exploitation

Vient ensuite la phase d’exploitation, celle où le hacker ayant les compétences nécessaires se confronte forcément à un moment donné.

Certains en font un métier à part entière : pen-testeur. Voie royale pour les personnes voulant lier hacking et légalité, la profession de pen-testing englobe évidemment tout ce qui est audit de sécurité, mais également d’autres voies comme la R&D, pour la recherche de 0days par exemple

D’autres en restent au stade de « jouet technique » avec lequel ils passent leur temps libre. Recherche de failles d’applications open sources, CTF comme vu précédemment, « Bounty bugs » sont autant de points qui leur permettent de mettre en pratique leurs compétences, voire de gagner leur vies.

D’autres encore utilisent ces compétences pour faire passer un message. Les Anonymous, connus pour leurs actions - nous ne parlerons pas ici du bien-fondé ou non de ce groupe - sont un exemple parlant : #opISIS, #opParis, Chanology pour citer quelques exemples au hasard. Bien qu’ils soient les plus connus, il existe de nombreux autres groupes d’hacktivistes utilisant le hacking comme moyen de communication.

Enfin, on pourra aussi trouver les hackers ayant comme but leur propre profit, n’hésitant pas à extorquer ou menacer des entreprises, vendre leurs virus aux plus offrants, etc.

Il existe bien sur d’autres cas de figures et on précisera également que ces différentes applications ne sont pas exclusives, il est tout à fait possible de porter plusieurs dossards.

 

3/ Bonus : choisir sa couleur

Dans le monde du hacking, il existe trois « courants de pensée » résumant les différents profils.

Tout d’abord, les chapeaux blancs, les « white hats » qu’on pourrait comparer aux shérifs du far west. Ces hackers restent dans la légalité et indiquent les failles qu’ils trouvent aux personnes concernées (administrateurs réseaux, webmasters, etc.).

On trouve également les « black hats » ou chapeaux noirs, qui, à l’instar des bandits du far west, vont utiliser pleinement de leurs compétences pour en tirer un profit quelconque : financier, moral, personnel, par exemple. La légalité est ici un concept totalement oublié puisque racket, « deface » et vol d’informations font partie des pratiques courantes.

Enfin, les « grey hats », ou chapeaux gris, sont plutôt considérés, pour rester dans la métaphore du far west, comme des cow boys des temps modernes. Pour résumer, ils se situent entre les deux catégories précédentes et franchissent la ligne de l’illégalité si besoin est, afin de combattre une cause qui leur paraissent juste.

Ces représentations sont simplistes et caricaturales, la réalité étant plus complexe : dans le monde du hacking, il est rare de se revendiquer d’un bord ou de l’autre, preuve de la vision simplifiée donnée ici. Le contexte est également important : en tant de guerre, un hacker coupant l’accès électrique d’un pays adverse est-il dans le clan des « bons » ou des « méchants » ?

 

4/ Best practice : faire appel à un hacker

La question à se poser est donc : « Puisque les hackers sont si bons, comment s’en protéger ? ».

La réponse est simple ; il suffit de faire appel à eux ! En effet, un hacker aura l’expérience nécessaire pour comprendre les faiblesses d’une architecture, aussi bien au niveau système que réseau et pourra ainsi limiter les dégâts.

Une attaque informatique n’est pas éventuelle, elle n’est tout simplement pas encore arrivée : les exemples sont (trop) nombreux ces temps-ci pour supposer que les attaque n’arrivent qu’aux autres. Il est donc important de réévaluer la sécurité d’un SI de manière récurrente : externes et internes, réseaux et applicatifs, black box et white box sont autant de manières d’appréhender des audits de sécurité.

Un audit de sécurité est toujours positif car il permet de valider la bonne mise en place d’une architecture ou de montrer et fixer ses faiblesses. De plus, c’est le meilleur moyen, si ce n’est le seul, de se prémunir efficacement contre les hackers. Ces audits doivent être faits selon les règles de l’art, et seules des sociétés expertes dans ce domaine seront à même de remplir cette mission.

 

Au final, un hacker, c’est plus que ce que les médias nous montrent. Ce sont des experts dans de nombreux domaines de l’informatique, et en avoir peut est inutile. Il est au contraire plus intéressant de travailler conjointement avec eux, afin de sécuriser au plus possible son système d’information, plutôt que d’espérer naïvement qu’ils passeront à côté.

 

Ils font aussi l 'actu...
réseau

F5 Networks présente des systèmes de défense DDoS nouvelle génération

communiqué de presse | 15/09/2016

F5 étend son portefeuille de solutions de sécurité avec des appliances contextuelles intelligentes dédiées à la protection DDoS et à l’orchestration SSL.

cloud

Le Top 50 des entreprises les plus innovantes dans le Cloud dans la région EMEA

communiqué de presse | 18/10/2017

F5 Networks dévoile un rapport exclusif sur la liste des entreprises qui tirent le mieux parti du Cloud pour innover et réussir.

télécoms

MyStream propose des fonctionnalités de portail captif en mode as a Service

communiqué de presse | 11/12/2014

Grâce à un partenariat avec Ucopia, les entreprises multi-sites peuvent disposer plus facilement de fonctionnalités avancées de gestion des visiteurs en mode « Cloud ».

cybersécurité

ThreatQuotient présente la première solution de gestion de situations du marché dans le monde Cyber

communiqué de presse | 10/04/2018

ThreatQ Investigations accélère les opérations liées à la cyber sécurité grâce à une visualisation immédiate de la menace, à une analyse collaborative et à la coordination...

erp/crm/bi

La gestion des risques au service du pilotage de l’entreprise

avis d'expert  | 09/07/2015

La gestion des risques est un outil indispensable au pilotage des activités et plus globalement de l’entreprise. En effet, l’entrepreneur ou chef d’entreprise est constammen...

stockage

Acronis ajoute la protection automatisée contre les ransomwares à sa solution de sauvegarde

communiqué de presse | 12/07/2017

Acronis Backup 12.5 est la première solution de sauvegarde qui allie protection des données contre les ransomwares et restauration automatisée des données endommagées.