Tout ce que vous avez toujours voulu pirater sans jamais savoir comment procéder

 

Le billet intitulé “La durée de vie d’un ordinateur non protégé est de… 4 minutes” a suscité beaucoup de commentaires. Lorna Hutcheson, l’auteur de l’étude que je citais, qui collabore au très respectable SANS Institute après avoir travaillé dans l’armée et les services de renseignements américains, l’écrivait pourtant elle-même :

“On me demande souvent si les statistiques du temps de survie des nouveaux ordinateurs connectés à l’internet sont correctes. La réponse est oui pour la majeure partie des utilisateurs et systèmes. Ca peut être plus long en fonction de votre système, de son utilisateur et de ce à quoi il sert. Mais la durée de survie est d’à peu près 4 minutes pour les ordinateurs non mis à jour”.

J’ai voulu avoir le point de vue d’un professionnel de la sécurité informatique. Désigné par le gouvernement suisse au poste de responsable de la sécurité des systèmes d’information de la République et du Canton du Jura, Bruno Kerouanton est par ailleurs l’un des rares professionnels du genre à être par ailleurs blogueur (bruno.kerouanton.net/blog/).

Et pour vous mettre dans l’ambiance, voici son compte-rendu détonnant, et que je vous incite vivement à lire jusqu’au bout, de LA conférence sécurité de l’année, organisée par le Chaos Computer Club allemand (ou CCC pour les intimes), qui fêtait pour le coup sa vingt-cinquième édition, en décembre dernier :

25C3 : La conférence sécurité où l’on pirate tout !

Ce billet se veut pour une fois à caractère pédagogique pour les non initiés à la sécurité des systèmes d’information. Que les puristes me pardonnent certains raccourcis et simplifications pour la bonne cause…

Je ne citerai pas toutes les présentations (sur quatre jours, il y a eu de quoi raconter beaucoup de choses), mais celles qui (d’après les échos que j’en ai eus par quelques chanceux qui ont pu y participer, et en allant lire les présentations et annonces mentionnées sur le site de l’évènement) m’ont parues les plus intéressantes.

J’ai pris la liberté de redécouper ainsi les thèmes :

1.     PREMIERE PARTIE : Tout se pirate… même grand-mère, si si !

2.     SECONDE PARTIE : Les questions de fond et existentielles que tout le monde se pose

3.     TROISIEME PARTIE : Maman, y’a un monsieur qui me regarde… Big Brother is watching

En gros, je remarque que les attaques électroniques se développent à grande vitesse, j’en suis content car c’est quelque chose que je trouve intéressant, et l’on parle de plus en plus de l’onmiprésence de la surveillance qui nous entoure et de la perte progressive des libertés de chacun. Bonne lecture, ne tremblez pas trop !

PREMIERE PARTIE : TOUT SE PIRATE…

Les réseaux domestiques… piratés… une fois de plus

Après le WiFi qui s’est fait allégrément montrer du doigt des années durant à cause de ses trop nombreuses failles de sécurité, c’est au tour du CPL (Courant Porteur en Ligne) d’avoir des soucis. Si vous n’avez pas (encore) de WiFi chez vous, il est possible que vous ayiez opté pour le réseau via les prises de courant électrique, aussi dénomé CPL. (Présentation).

Les téléphones sans fil… piratés (pour 23 euros !)

Vous le savez peut-être, le DECT est (entre autres) ce qui relie les combinés téléphoniques sans fil à leur base. Il y a des millions de téléphones de ce type dans nos foyers, entreprises et ailleurs. Seulement voilà… Il est désormais possible d’écouter à distance les conversations à l’aide d’un ordinateur sous Linux et une carte coûtant la modique somme de… 23 Euros ! La carte en question se fait passer pour la base, et demande gentillement au combiné de ne pas chiffrer la conversation. Comme c’est simple ! Ah, j’oubliais… ça utilise le même outil que pour attaquer les réseaux WiFi, comme c’est pratique !

Le réseau GSM… piraté

En fait c’est déjà fait depuis quelque temps. Il s’agit plutôt de : Comment monter son réseau GSM à la maison… c’est tout de même amusant de transformer son appartement en réseau opérateur, histoire de faire une farce aux voisins… Ah ? Il faut une licence opérateur pour cela et l’Etat ne me la donnera certainement pas ? Allons bon ! (Présentation).

Les terminaux de paiement par carte bancaire… piratés

Lorsque vous payez par carte au restaurant, on vous apporte une petite machine munie d’un clavier sur lequel vous tapez votre code PIN… Comme c’est assez délicat et un peu secret tout de même, les constructeurs ont mis en place des mesures pour éviter les bricolages éventuels de commerçants indélicats qui aimeraient bien avoir votre code PIN et votre numéro de carte… Désormais il faudra vous méfier, car à priori l’exercice semble possible ! (Présentation).

Les sites Internet “sécurisés”… piratés

A l’aide de “seulement” 200 consoles de jeu Playstation 3 (qui sont parmi les ordinateurs les plus puissants disponibles au le public), il est possible de recréer des certificats racine… Vous savez, le petit cadenas qui s’affiche lorsque vous allez sur le site de votre banque ou de vente en ligne préférée, ou des impôts… En synthèse, la preuve a été apportée que “n’importe qui” (ou presque) pouvait fabriquer un faux site et le faire passer pour un vrai, même si ce dernier était dit sécurisé. Cela touche bien d’autres domaines d’ailleurs… Toute la presse en a parlé mais je ne pense pas que ce soit l’annonce la plus inquiétante de la conférence.

Les rames de métro… piratées

Ou “comment prendre le contrôle des systèmes de communication d’une rame de métro ?” Simplement par radio, puisque ces engins discutent avec leur central via des guides d’onde et des capteurs radio… Une vraie mine pour un scénariste de films à sensation en mal d’inspiration ! (Présentation).

Les machines à voter… piratées

Les spécialistes de la sécurité sont unanimes, ces engins ne sont pas au point du tout malgré ce qu’on veut faire croire au public. Une énième présentation en démontrent certaines faiblesses, et pourquoi les corrections successives ne corrigeront finalement rien du tout. (Présentation).

Les passeports et permis de conduire… piratés

L’art d’utiliser les fréquences radio pour “exciter” les puces présentes dans les documents d’identité, et leur faire cracher leur contenu… Une rumeur circule à cet effet disant qu’un terroriste pourrait utiliser un tel procédé pour cibler son attaque… une bombe qui ne se déclencherait qu’après s’être assuré qu’au moins cinq personnes de plus de 18 ans, de nationalité américaine et de sexe masculin sont présents sur le site… C’est désormais possible avec les avancées technologiques. Fou, n’est-ce pas ?

Les pass de métro et les badges d’accès… piratés

Cet été, cette équipe de chercheurs a défrayé la chronique en expliquant qu’ils avaient cassé MiFair… Késako ? Tout simplement l’un des systèmes de contrôle d’accès (cartes de métro, badges d’accès de bâtiments et parkings, etc…) les plus répandus au monde, en millions d’exemplaires… Que ce soit la carte Oyster du métro de Londres, ou d’autres applications, ce système est omniprésent. Maintenant que son mécanisme a été mis à nu, le monde entier va devoir réinvestir dans des millions de nouveaux systèmes de serrures électroniques, remplacer des millions de cartes et badges d’accès… ah que le progrès surprend parfois… (Présentation).

Les badges RFID et autres tags électroniques… piratés

Une présentation plus générale que la précédente, mais intéressante également, démontrant qu’il ne faut plus vraiment vouer une confiance aveugle en nos petits badges et portes-clefs “magnétiques” (comme certains disent encore) ! (Présentation).

Les appareils médicaux et les pacemakers… piratés

Plus précisément un microcontrôleur (puce) chargé de faire fonctionner de nombreux équipements, dont des systèmes médicaux… Sur un même registre, le piratage des pacemakers et des défibrillateurs implantés a déjà été traité un peu plus tôt… certains pourraient d’ailleurs en avoir une attaque rien qu’en lisant le titre : “Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses” !

La mémoire des ordinateurs… piratée

Une attaque qui commence à dater mais qui a fait couler beaucoup d’encre. Ou comment extraire les mots de passe de la mémoire d’un ordinateur ultra sécurisé par opération à coeur ouvert (une vraie lobotomie) : on ouvre la machine, et on lui retire la mémoire sous cryogénie pour l’analyser… promis la bête ne souffre pas, l’effet est immédiat et lors du réveil la machine ne se souvient de rien, mais le “chirurgien” possède désormais les mots de passe ! (Présentation).

Les portes de garage, les portières de voiture et les sas d’accès… piratés

Ces systèmes utilisent un mécanisme appelé KeeLoq pour s’assurer que le boîtier ou la clef que la personne utilise pour ouvrir sa porte de garage, voire sa voiture est légitime… C’est fini, on peut maintenant s’amuser avec la porte du voisin et même ouvrir sa portière de voiture. Cool !

l’iPhone d’Apple… piraté

On le sait depuis un peu de temps, mais il est intéressant de voir que les mesures de sécurité mises en place par Apple pour protéger ce qui tourne sur un iPhone ou iPod Touch ne tiennent pas longtemps… pourtant elles semblent sophistiquées au premier abord…

Les consoles de jeu Wii… piratées

Elle est complexe à pirater et cela a pris beaucoup de temps, mais il semble que nos compères soient parvenus à leurs fins. Cela reste encore assez technique et réservé aux bricoleurs, mais l’exercice est beau. On le savait depuis quelques mois mais voici réexpliqué le tout. (Présentation)

Internet… tout planté (troisième essai)

Cette année, Internet n’aura pas eu de répit : plus de trois démonstrations de comment planter tout Internet ! Heureusement que les gentils sont là pour corriger vite ! Cette fois-ci on parle des attaques TCP, un terme technique pour évoquer ce qui fait marcher Internet depuis ses débuts… Et c’est maintenant qu’on s’en aperçoit ? Alors là, je n’applaudis pas ;)

Les comptes en banque… piratés

Petite étude démontrant comment les criminels s’y prennent pour voler les pauvres internautes qui accèdent à leur banque en ligne… (Présentation).

Votre ADN… piraté

Après tout, tant qu’on y est… laissons nous pirater notre corps. Le génome humain a été entièrement séquencé, c’est fait. Certes, il y a encore du travail pour en comprendre le contenu, mais c’est en bonne voie et cela signifie le meilleur mais également le pire… Le titre suggestif de la présentation “All your base(s) are belong to us” est angoissant pour ceux qui en devinent le sens. A méditer ! (Présentation)

SECONDE PARTIE : LES QUESTIONS DE FOND

Pourquoi la sécurité ne sert (et ne servira jamais) à rien

Si l’on sécurise toutes vos données, vous risquez à un moment soit de ne plus avoir confiance puisque vous ne savez pas ce qu’ON en fait, et vous allez alors vous méfier des contrôles et cybersurveillances mis en place pour les sécuriser… donc vous allez instictivement chercher des moyens de contournement. Donc les données ne seront plus sécurisées… Scénario un peu pessimiste certes, mais que je vis au quotidien lorsque je dois mettre en place des mesures de sécurité dans le cadre de mes activités : elles sont tôt ou tard ignorées ou contournées (pire!)… cercle vicieux qui laisse songeur. (Présentation).

Tout sur le Commodore 64 en 64 minutes

Ah ! Et dire que je n’y étais pas… bouuuh !!! Il n’empêche que cette vieille machine tient bon la barre, puisqu’on parle d’elle depuis 25 ans ! J’en ai d’ailleurs encore quelques uns à la maison, et tous en état de marche, que je conserve avec une attention pieuse ;)Avec ses 64 Kilo-octets de mémoire RAM et son processeur tournant à la vitesse foudroyante de 1 MHz (non les jeunes, ne vous frottez pas les yeux, vouz avez bien lu !), cette machine était merveilleuse… elle l’est encore par certains aspects, d’ailleurs ! (Présentation).

Comment stocker ses vidéos pornographiques ?

Si, vous avez bien lu ! Et c’est à mademoiselle Rose White que revient l’honneur de présenter sa… thèse de doctorat sur le stockage des films cochons. Elle nous dit d’ailleurs ceci : “I am doing preliminary research on how people store and access their digital pornography collections.Et elle conclut en suggérant de stocker TOUT ce qui existe en matière de pornographie ! J’avais vu/lu des présentations bizarres et loufoques, mais celle-ci dépasse l’entendement !

TROISIÈME PARTIE : BIG BROTHER IS WATCHING US… puisque je vous le dis !

Votre grand-mère est une terroriste

Un titre un peu racoleur ! La présentation en question (qui n’a pas ce titre, désolé) explique que de plus en plus de personnes sont accusés de terrorisme sous de faux prétextes… Et de se poser la vraie question : qu’est-ce que le terrorisme, au juste ? (Présentation)

Vous n’avez pas encore de caméra qui vous filme aux WC ? Ca va venir !

Petit rappel de tout ce qui existe pour surveiller, tracer, enregistrer et analyser ce que l’on veut sur un individu, et comment les corporations et organismes étatiques ou non s’en servent déjà ou s’en serviront dans un proche avenir… Bon, si je débranchais tout ! Et je vais relire 1984, d’ailleurs ! (Présentation).

La vie sans vie privée : il va falloir… vivre avec !

Essai intéressant sur ce qui nous tombe déjà dessus : nous n’avons presque plus de vie privée, et cela le deviendra certainement dans quelques années. Et de se poser la vraie question : Qu’est ce que la vie privée, au juste ? Reste à savoir comment le prendre du bon côté et vivre avec. (Présentation).

…ou bien il va falloir apprendre à la protéger

un petit cours que tous les jeunes devraient retenir : pourquoi il n’est pas bien de tout dire sur un blog, de tout poster et de publier toutes ses photos de vacances en ligne… (Présentation).

Comment l’on vous traque dans les salons…

Superbe étude : On distribue à l’entrée d’une conférence des badges nominatifs à porter. Ceux-ci contiennent en réalité une puce RFID (encore eux) qui émet des signaux. Ainsi on peut traçer durant la totalité de l’évènement précisément où vous êtes, et surtout avec qui vous discutez et combien de temps durant les pauses. Un outil inquiétant pour découvrir qui fréquente qui… le KGB aurait rêvé le posséder si cela avait existé en son temps ! (Présentation).

Ca va ? Vous avez tenu jusque là ? Voici donc ce que Bruno Kerouanton m’a répondu, lorsque je lui ai demandé ce qu’il pensait de cette durée de vie d’un ordinateur non protégé, estimée par Lorna Hutcheson à 4 minutes :

Je rejoins le point de vue de Lorna Hutcheson. En revanche il est indispensable de poser quelques bases avant de se lancer dans l’annonce de telles mesures alarmantes !

La quasi-totalité des internautes particuliers utilisent des modems ADSL ou cable, qui font également office de routeur. Ces équipements, souvent fournis par les opérateurs, sont une première barrière aux différentes attaques puisqu’ils ne laissent -en principe- passer que les connexions sortantes. Ainsi, de très nombreuses attaques passent inaperçues pour l’internaute ayant un tel modem routeur.

Pour “visualiser” le niveau réel constituant le trafic dangereux, il faut brancher directement son ordinateur sur Internet, sans passer par un routeur. Dans ce cas, en moins de 4mn (mon “record personnel” d’infection est de 30 secondes sur un Windows 2000 non patché), si l’ordinateur est en frontal, ne possède aucun logiciel de sécurité (pas de pare-feu, pas d’antivirus, pas d’antispyware) et a ses partages réseaux actifs (comme c’est le cas sous Windows par défaut) il y a en effet de très fortes chances que l’ordinateur se fasse infecter. Et le phénomène est strictement identique avec un Mac, un Linux, un Windows ou autre chose.

Encore faut-il que son routeur soit sécurisé, ce qui n’est, bien évidemment, pas forcément le cas. Nicolas Ruff, autre professionnel de la sécurité informatique (il travaille à EADS), et lui aussi blogueur, avait ainsi enquêté pendant deux ans sur les vulnérabilités des “box” ADSL.

La présentation qu’il avait préparé pour l’édition 2005 du très sérieux Symposium sur la Sécurité des Systèmes d’Information et de la Communication (SSTIC) avait ainsi été “annulée pour des risques de représailles juridiques“, et reportée d’une année, le temps de laisser les FAI corriger les failles de sécurité qu’il avait repéré.

Je ne sais si ce billet entraînera une salve de commentaires similaire à celle du précédent billet. Je tiens juste à préciser qu’il ne s’agit jamais que de rappeler à ceux qui ne le sauraient pas que tout est piratable, et que tout un chacun est concerné.

La sécurité informatique est un métier. Et, paradoxalement, le métier de nombreux professionnels de la sécurité est précisément de tenter de trouver des failles de sécurité (afin de les corriger, faut-il le préciser).

Ce qui ne doit nullement empêcher les internautes d’apprendre les rudiments de la sécurité informatique, ce que j’essayais précisément de de susciter dans mon précédent billet.

PS : Bruno a d’ailleurs récemment remporté insomnihack, un concours de hacker suisse, cf le compte-rendu qu’il en fait, et les reportages TV qui en ont fait état, et dont la photo tout en haut est issue.

Imprimez ce billet, envoyez-le par e-mail ou faites-le tourner sur les réseaux sociaux :