Comment devenir un bon hacker

3
On distingue aujourd'hui trois catégories de hackers.

Le hacking - bien que ce terme ne soit qu'une vulgarisation dans cet article - est un domaine à part dans l'informatique. Pour être un bon « hacker », il est nécessaire de respecter quelques « conditions » sans lesquelles il est inutile de se « revendiquer » hacker, tant soit peu qu’un hacker se revendique ainsi.

Avant de commencer, il faut comprendre une chose : les hackers ne sont pas forcément des « bad guy » : ils peuvent être du bon ou du mauvais côté de la barrière. Il faut aussi se rappeler que les hackers font de bons pen-testeurs, et qu’un bon pen-testeur est forcément un hacker. Tout au long de cet article, nous verrons comment font les hackers pour devenir des experts, pour expliquer ensuite pourquoi ces personnes doivent être reconnues et surtout pourquoi elles sont paradoxalement nécessaires.

 

Les fondements

Devenir un hacker, c’est bien plus qu’un métier. C’est quelque chose que l’on est. En anglais, « hacker » signifie initialement « bidouilleur ». Bien que cette définition ait largement évolué, par le biais des médias, ainsi que de l’évolution des pratiques, on retrouve toujours cette notion de « bidouiller », qui définit un hacker, dans l’informatique, mais également dans d’autres domaines. On pourra donner comme exemple ce qu’on appelle le « hardware hacking » qui consiste à recréer ou modifier un objet pour en détourner ou améliorer l’usage. C’est en fait une envie – voire un besoin - de comprendre comment les choses fonctionnent, comment les améliorer, les détourner. Ce désir est la base d’un « bon hacker », c’est grâce à cela que les hackers ont toujours cette recherche de compréhension nécessaire pour déterminer le fonctionnement d’un système informatique et surtout quelles en sont ses faiblesses.

Devenir un hacker, c’est aussi comprendre qu’on ne comprend pas. Qu’il faut du temps pour assimiler le fonctionnement d’un ordinateur, d’un OS, d’un programme, d’un script. Qu’on ne devient pas un génie de l’informatique uniquement en regardant des vidéos Youtube, et que l’apprentissage et long et parsemé d’embuches.

Enfin, être un hacker, c’est avoir 7 ans, découvrir un ordinateur pour la première fois, sans réellement comprendre tout ce que cela signifie, mais voir quelque chose d’impressionnant, et qu’il est possible de faire bien plus qu’écrire un document ou utiliser Paint.

 


L'apprentissage

Apprendre à devenir un hacker va bien plus loin que quelques techniques de contournement et d’attaques qu’on peut trouver grâce à des sites ou des scripts. En effet, ce domaine est bien plus large que la simple technique. On y trouve tout d’abord un univers qu’il est intéressant, et presque utile, de connaitre. On citera par exemple Kévin Mitnick, connu pour avoir piraté des infrastructures américaines, The mentor, qui a écrit le Manifeste du hacker, ou encore les webzines connus tel que Phrack et feu MadChat pour le côté français.

Evidemment, connaitre les mythes et l’Histoire du hacking ne suffit pas. Il est bien sur nécessaire d’apprendre la technique. Pour cela, plusieurs solutions existent, certaines légales, d’autres moins. Pour la partie illégale, nous n’allons évidemment pas détailler dans cet article ce qui est possible de trouver. On expliquera ici seulement qu’il est possible d’apprendre en passant par le darknet (tor, freenet, etc) ou par d’obscurs sites.

Il existe cependant des moyens à la portée de tous pour apprendre l’attaque (ainsi que la défense) : les sites de challenges. Ces sites web spécialisés permettent l’apprentissage technique en proposant des épreuves telles qu’injections SQL, cracking de programmes créés spécialement, cassage de chiffrement, etc. Sur ce point, le site français Newbie Contest est une référence et permet d’appréhender facilement la phase d’apprentissage.

Il existe aussi ce qu’on appelle des CTF (Capture The Flag) : des compétitions éphémères, créées pour quelques jours seulement, et proposant des épreuves de hacking d’un niveau souvent élevé. Ce type d’évènement rassemble généralement des « teams » venues de tous les pays pour le défi technique. Certains hackers de génie font parties de ces équipes, on donnera comme exemple « Plaid Parliament of Pwning », ou encore « More Smoked Leet Chicken ». La France n’est pas en reste avec des équipes talentueuses comme « 0x90r00t » ou « khack40 ».

En outre, différents canaux de communications permettent aux « newbies » de commencer ou continuer l’apprentissage, forums, blogs et canaux IRC en tête. Ces canaux de communication permettent l’échange et l’entraide nécessaire à l’évolution. On pourra citer comme exemples français les blogs d’IvanLef0u et de Cédric Blancher (expert sécurité aujourd’hui décédé).

Evidemment, la phase d’apprentissage est bien plus complexe que quelques sites de challenges, et la limite entre « bon » et « mauvais » coté est souvent fine et doit potentiellement être franchie pour comprendre en profondeur les failles et vulnérabilités parfois très complexes. Cette phase d’apprentissage est difficile et beaucoup se perdent en chemin : abandon ou encore pente glissante et trop facile du « script kidding », l’échec est souvent au rendez-vous.

 

L'exploitation

Vient ensuite la phase d’exploitation, celle où le hacker ayant les compétences nécessaires se confronte forcément à un moment donné. Certains en font un métier à part entière : pen-testeur. Voie royale pour les personnes voulant lier hacking et légalité, la profession de pen-testing englobe évidemment tout ce qui est audit de sécurité, mais également d’autres voies comme la R&D, pour la recherche de 0days par exemple.

D’autres en restent au stade de « jouet technique » avec lequel ils passent leur temps libre. Recherche de failles d’applications open sources, CTF comme vu précédemment, « Bounty bugs » sont autant de points qui leur permettent de mettre en pratique leurs compétences, voire de gagner leur vies. D’autres encore utilisent ces compétences pour faire passer un message. Les Anonymous, connus pour leurs actions - nous ne parlerons pas ici du bien-fondé ou non de ce groupe - sont un exemple parlant : #opISIS, #opParis, Chanology pour citer quelques exemples au hasard. Bien qu’ils soient les plus connus, il existe de nombreux autres groupes d’hacktivistes utilisant le hacking comme moyen de communication.

Enfin, on pourra aussi trouver les hackers ayant comme but leur propre profit, n’hésitant pas à extorquer ou menacer des entreprises, vendre leurs virus aux plus offrants, etc. Il existe bien sur d’autres cas de figures et on précisera également que ces différentes applications ne sont pas exclusives, il est tout à fait possible de porter plusieurs dossards.

 

Bonus : Choisir sa couleur

Dans le monde du hacking, il existe trois « courants de pensée » résumant les différents profils.

Tout d’abord, les chapeaux blancs, les « white hats » qu’on pourrait comparer aux shérifs du far west. Ces hackers restent dans la légalité et indiquent les failles qu’ils trouvent aux personnes concernées (administrateurs réseaux, webmasters, etc.).

On trouve également les « black hats » ou chapeaux noirs, qui, à l’instar des bandits du far west, vont utiliser pleinement de leurs compétences pour en tirer un profit quelconque : financier, moral, personnel, par exemple. La légalité est ici un concept totalement oublié puisque racket, « deface » et vol d’informations font partie des pratiques courantes.

Enfin, les « grey hats », ou chapeaux gris, sont plutôt considérés, pour rester dans la métaphore du far west, comme des cow boys des temps modernes. Pour résumer, il se situe entre les deux catégories précédentes et franchit la ligne de l’illégalité si besoin est, afin de combattre une cause qui lui parait juste.

Evidemment, ces représentations sont simplistes et caricaturales, la réalité étant plus complexe : dans le monde du hacking, il est rare de se revendiquer d’un bord ou de l’autre, preuve de la vision simplifiée donnée ici. Le contexte est également important : en tant de guerre, un hacker coupant l’accès électrique d’un pays adverse est-il dans le clan des « bons » ou des « méchants » ?

 

Best practice : faire appel à un hacker

La question à se poser est donc : « Puisque les hackers sont si bons, comment s’en protéger ? ». La réponse est simple ; il suffit de faire appel à eux ! En effet, un hacker aura l’expérience nécessaire pour comprendre les faiblesses d’une architecture, aussi bien au niveau système que réseau et pourra ainsi limiter les dégâts.

Une attaque informatique n’est pas éventuelle, elle n’est tout simplement pas encore arrivée : les exemples sont (trop) nombreux ces temps-ci pour supposer que les attaque n’arrivent qu’aux autres. Il est donc important de réévaluer la sécurité d’un SI de manière récurrente : externes et internes, réseaux et applicatifs, black box et white box sont autant de manières d’appréhender des audits de sécurité.

Un audit de sécurité est toujours positif car il permet de valider la bonne mise en place d’une architecture ou de montrer et fixer ses faiblesses. De plus, c’est le meilleur moyen, si ce n’est le seul, de se prémunir efficacement contre les hackers. Evidemment, ces audits doivent être fait selon les règles de l’art, et seuls des sociétés expertes dans ce domaine seront à même de remplir cette mission.

Au final, un hacker, c’est plus que ce que les médias nous montrent. Ce sont des experts dans de nombreux domaines de l’informatique, et en avoir peur est inutile. Il est au contraire plus intéressant de travailler conjointement avec eux, afin de sécuriser au plus possible son Système d’Information, plutôt que d’espérer naïvement qu’ils passeront à côté.

Corto Gueguen

Ancien étudiant diplômé de Supinfo, Corto Gueguen a rejoint Nomios en Févrire 2012. En plus de son rôle d'ingénieur sécurité et réseau, il a mis en place le pôle Pentesting dès son arrivée pour élargir le champ d'action de Nomios. Il gère également l'équipe s'occupant de l'architecture interne, afin de répondre aux besoins et évolutions internes.

ECO DIGEST

Evadés fiscaux : il ne sera bientôt plus possible de régulariser sa situation

Impôts : Bercy peine à mettre au point le prélèvement à la source

Les députés refusent le contrôle de leur frais professionnels