mercredi 31 mars 2010

Piratage, Hacking, Social Engineering, OSINT : les fondamentaux !

Le récent piratage des comptes Twitter, dont celui du Président OBAMA, par un hacker français (cocorico !) a occasionné bon nombre de commentaires notamment télévisuels dont certains pourraient être jugés au mieux de "journalistiques", au pire de "totalement faux".

Plusieurs réactions ont tenté de remettre les "pendules à l'heure" de la réalité de l'état de l'art de la sécurité informatique. Ce message tente de s'inscrire dans cette démarche.

La première chose est de ne pas tout mélanger ! Le piratage ou le hacking sont des disciplines riches et complexes dont on fait souvent des comptes-rendus trop simples. Pour reprendre un auteur, la hacker est simplement celui qui cherche l'excellence dans la programmation informatique, une forme d'art dans l'expression d'un problème et dans sa résolution...Naturellement, de là, découlent des pratiques de détections de vulnérabilités.

Ne confondons pas "hackers", "crackers" et script-kiddies pas plus qu'il ne faut confondre cybercriminels et passionnés d'informatique !

Le hacker est un perfectionniste de l'informatique. Il cherche sans cesse une forme de perfection et par ailleurs, est souvent un glouton de l'information. Il cherche donc sans cesse les failles, les problèmes et les solutions des systèmes informatiques. Son travail n'est ni bon, ni mauvais comme toute forme de démarche scientifique.

Le cracker est celui qui va développer deux démarches : la "libération" des programmes afin de diffuser gratuitement et de permettre l'utilisation par tous des programmes payants. Les vandales du web sont aussi parfois appelés comme cela.

le script-kiddies est également un vandale de l'informatique. Il utilise des "scripts", des programmes développés par des hackers pour illustrer une vulnérabilité, afin de provoquer des dommages, voler des informations...Souvent malhabile, il utilise ces scripts sans les connaitre ni prendre garde aux dommages qu'il cause. C'est une des plaies du Web !

Vous me direz : où est notre Hacker Croll là dedans ? Nulle part si l'on s'en tient aux outils utilisés pour pirater Twitter : il n'est nul besoin de technicité pour faire ceci...Cela ne présage pas de compétences techniques qu'il peut avoir par ailleurs mais ses actions le placeraient plus prés des vandales du web.

Cela nous amène à nous poser d'autres questions : comment faire du piratage sans composante technique ?

Avec opiniâtreté, en étant malin et patient ! Plus précisément, en utilisant le social engineering et l'OSINT.

Le premier est une pratique vieille comme le monde mais renommée au gout du jour. Il s'agit de la capacité à manipuler une personne pour lui soutirer des informations. Très efficace sur le web, il est notamment au cœur de la plupart des escroqueries diverses. On définit généralement les leviers d'action sur l'individu par l'acronyme MICE : Money, Ideology, Compromise, Ego...

Le second est la capacité à optimiser la recherche d'informations et son traitement sur Internet. Considérant le web comme une ressource illimitée d'informations, une recherche optimisée permet de dénicher des éléments de très grande valeur. En l'occurrence, la réponse à la question de sécurité libérant la gestion du mot de passe du compte gmail d'un administrateur de Twitter par exemple !

On parle alors d'Open Source Intelligence ou renseignement sur sources ouvertes qui s'opposent à l'espionnage dans son acception plus traditionnelle qui vise à obtenir des informations de nature confidentielles. Il est à noter que de très nombreuses organisations utilisent ce type de pratiques et que même la CIA serait dotée d'équipes dédiées à l'exploitation du renseignement ayant Internet pour origine.

Quelques précisions donc pour éviter les confusions...

2 commentaires:

  1. Et dire qu'il n'a même pas vraiment poussé sur le côté social engineering... http://www.melty.fr/twitter-le-pirate-hackerkroll-risque-deu-actu31357.html
    1) Il a juste trouvé le nom d'un admin.
    2) Trouvé son vieux blog avec 36 15 talife.
    3) Et hop le strict nécessaire pour faire la récupération de mot de passe de la boîte mail yahoo de l'admin.
    Le mot de passe du compte admin twitter était dedans et pouf.

    J'ai du mal à comprendre que les comptes admin puissent avoir les mêmes droits depuis un accès Internet. Pourquoi ne pas mettre en place un VPN avec authentification forte et n'autoriser que les IP internes à faire de l'administration ?

    Il me semble qu'un compte admin myspace avait été bruteforcé sans difficulté. Pas de monitoring ? De verrouillage de compte ? Blocage de l'admin depuis Internet ?

    RépondreSupprimer
  2. Voilà un vrai exemple de social engineering : http://domainnamewire.com/2010/02/24/how-baidu-got-hacked-by-the-iranian-cyber-army/

    Plus méchant non ? :>

    RépondreSupprimer