Africa teaching

Serveurs piratés, numéros de cartes bancaires volés, sites web défigurés ("defacing") ; on estime aujourd’hui à moins de 4 mn le temps moyen pour qu’un PC non protégé connecté à Internet subisse une tentative d’intrusion ou soit contaminé par un programme malicieux . Bref, les pirates cybernétiques font de plus en plus parler d’eux.                                                                                       
Quelles sont leurs motivations ? Quelles sont leurs cibles principales ? Comment s’y prennent-ils ? Comment se protéger de leurs attaques ? Nous essayerons dans cet article de répondre à ces questions, de la manière la plus simple possible afin de le rendre lisible à tous.

Les différents types de pirates informatiques Comme le dit un adage de chez nous « les moutons se suivent mais ne se ressemblent pas... ». Dans le domaine du piratage informatique, il existe plusieurs types de pirates :

• Les Hackers

Selon leurs propres définitions, les hackers sont avant tout "des passionnés des réseaux". Ils veulent comprendre le fonctionnement des systèmes informatiques et tester à la fois les capacités des outils et leurs connaissances. La plupart des hackers affirment s’introduire dans les systèmes par passion pour l’informatique et pas dans l’objectif de détruire ou de voler des données.

• Les Crackers

Ce type de pirate est plutôt un criminel informatique dont le but principal est de détruire ou voler des données, de mettre hors service des systèmes informatiques ou de ‘kidnapper’ un système informatique en vue de demander une rançon. Les entreprises qui sont généralement victimes de cette race de pirates préfèrent ne pas divulguer l’information, par souci de préserver l’image de leurs entreprises, ce qui fait que les statistiques sur les entreprises piratées sont largement en dessous des valeurs réelles.

• Les script-kiddies

Les script-kiddies sont des pirates débutants qui agissent uniquement à l’aide des logiciels prêts à utiliser. Ils sont dans une logique de destruction ou de gain financier. Ils utilisent des outils qu’ils ne maîtrisent pas, ni ne comprennent le fonctionnement. La seule chose qu’ils font, c’est d’exécuter le logiciel et d’attendre le résultat.

Quelques types de piratage informatique

-Le Hacking

Ce mot désigne tout accès non autorisé à un système ou un réseau informatique. Sont regroupés sous ce vocable tous les pirates qui s’attaquent essentiellement aux réseaux informatique (hackers, crackers et script-kiddies).

-Le phreaking

Il peut se décrire comme le détournement de services de télécommunication par divers procédés, dans le but d’éviter les grosses factures de téléphone ou les oreilles indiscrètes. Un autre type de piratage téléphonique est l’utilisation détournée des téléphones cellulaires. Avec ce type de téléphones, aucune connexion physique n ‘est nécessaire, et il est facile d’écouter les conversations au moyen de scanners GSM et autres. Les téléphones cellulaires sont aussi facilement reprogrammables : les malfaiteurs peuvent ensuite les utiliser sans payer leurs communications, qui seront facturées aux véritables propriétaires.

-Le « carding »

Ces pirates s’attaquent principalement aux systèmes de cartes à puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles.

- Les « hacktivistes »

Le terme « hacktiviste »(contraction de hackers et activistes que l’on peut traduire en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique.

Quelles sont les motivations des pirates ?

Certains affirment s’attaquer aux systèmes informatiques juste pour le fun, pour le challenge. Certains veulent juste se faire connaître ou même trouver un emploi par ce moyen !

Contrairement aux idées reçues, les pirates qui attaquent des serveurs pour gagner de l’argent ou accéder aux données financières ne sont pas très nombreux. Car ce type de piratage nécessite des compétences de très haut niveau. Le "monde underground" fourmille plutôt de script-kiddies. Près de 90 % des attaques leur sont imputables. Ils n’ont pas besoin de compétences pointues et se contentent d’installer des chevaux de Troie téléchargés sur le Net.

Les outils et méthodes des hackers

Les débutants utilisent des logiciels qui scannent le web à la recherche des systèmes vulnérables. Quant aux hackers, ils commencent leur travail d’abord par une enquête sur leur cible : l’adresse IP, les logiciels installés, etc. Ces informations sont parfois très facilement accessibles : les forums en ligne fourmillent de messages d’administrateurs qui détaillent les caractéristiques de leur système en cherchant une solution à leur problème.

Une fois ces informations obtenues, le pirate peut utiliser plusieurs techniques, comme l’intrusion par un port TCP/IP non protégé, l’exploitation des failles de sécurité des logiciels, l’IP Spoofing (usurpation de l’adresse IP de la victime), le Buffer overflow (blocage de l’ordinateur par l’envoi intempestif de données), la prise d’empreinte des systèmes d’exploitation, les attaques par force brute, l’exécution d’outils utilisant des techniques d’évasion, d’insertion ou de fragmentation de paquets, etc.

Quelques techniques de piratage informatique

• Le « social engineering » ou ingénierie sociale Le terme d’« ingénierie sociale » désigne l’art de manipuler des personnes afin de contourner des dispositifs de sécurité. Il s’agit ainsi d’une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct. Elle est basée sur l’utilisation de la force de persuasion et l’exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc.

• Le scam

Le « scam » (« ruse » en anglais), est une pratique frauduleuse d’origine africaine, consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d’argent dont ils pourraient toucher un pourcentage. L’arnaque du scam est issue du Nigéria, ce qui lui vaut également l’appellation « 419 » en référence à l’article du code pénal nigérian réprimant ce type de pratique.

L’arnaque du scam est classique : vous recevez un courrier électronique de la part du seul descendant d’un riche africain décédé il y a peu. Ce dernier a déposé plusieurs millions de dollars dans une compagnie de sécurité financière et votre interlocuteur a besoin d’un associé à l’étranger pour l’aider à transférer les fonds. Il est d’ailleurs prêt à vous reverser un pourcentage non négligeable si vous acceptez de lui fournir un compte pour faire transiter les fonds.

• Le « Spoofing IP » ou usurpation d’adressse IP L’« usurpation d’adresse IP » est une technique consistant à remplacer l’adresse IP de l’expéditeur d’un paquet IP par l’adresse IP d’une autre machine. Cette technique permet ainsi à un pirate d’envoyer des paquets anonymement. Il ne s’agit pas pour autant d’un changement d’adresse IP, mais d’une mascarade de l’adresse IP au niveau des paquets émis.

• L’ « hijacking » ou détournement de session Le détournement de session est une technique consistant à intercepter une session TCP initiée entre deux machine afin de la détourner. Dans la mesure où le contrôle d’authentification s’effectue uniquement à l’ouverture de la session, un pirate réussissant cette attaque parvient à prendre possession de la connexion pendant toute la durée de la session. Beaucoup d’attaques viennent de l’intérieur des entreprises.

Bien que les chiffres réels soient difficiles à établir, la plupart des spécialistes conviennent que la plus grande menace pour la sécurité provient non pas de l’extérieur, mais plutôt de l’intérieur des entreprises. Il peut s’agir de l’envoi par le personnel de documents diffamatoires ou indécents à l’aide du système de courriel interne (pour lesquels les dirigeants de la société peuvent être tenus responsables) ou encore d’une fraude à grande échelle ou d’espionnage industriel.

La seule façon de contrer cette menace consiste à établir une culture axée sur la sécurité et une politique de sécurité comportant des vérifications et des contre-mesures. En fait, 90% de la sécurité a tout simplement trait au bon sens. Il peut s’agir simplement, par exemple, de vérifier l’identité des personnes avant de les laisser entrer dans les locaux, de ne communiquer aucune information par téléphone à un inconnu, d’éviter les mots de passe faciles comme le nom de famille, la date de naissance de son fils ou .... le prénom de sa maîtresse. Il existe des outils utilisant des dictionnaires et permettant de craquer un mot de passe composé essentiellement de lettres ou de chiffres en quelques secondes !

Comment se protéger des attaques ?

On trouve aujourd’hui sur le marché des outils de sécurité - comme des firewall personnels ou des détecteurs d’intrusion - accessibles aux particuliers et aux PME. Mais ces outils seuls ne suffisent pas à assurer une protection efficace. La majorité des pirates exploitent les failles de sécurité dues aux absences de mise à jour des logiciels. Il faut également veiller à ne pas laisser sur le Web des informations relatives aux caractéristiques de son système.

Télécharger des logiciels sur des sites non officiels, qui peuvent contenir des chevaux de Troie, est également à proscrire. Il faut aussi faire très attention à ceux à qui vous communiquez des informations critiques sur vos systèmes informatiques.

Aspects juridiques

Le piratage de quelque manière que ce soit (approfondissement de connaissance, but criminel) est illégal. Le piratage est passible de sanctions pouvant aller du paiement d’une amende et confiscation du matériel à une peine d’emprisonnement de 5ans !!! (Variable selon les pays). De même l’utilisation de matériel tels que les Scanners GSM ou tout outil d’écoute de systèmes de télécommunication ou réseaux sans autorisation préalable est illégale.

Quelques idées reçues

• J’ai un « puissant » firewall, alors je suis protégé : Faux

Un firewall ne permet pas de stopper toutes les attaques dans un réseau. Des techniques d’évasion, de fragmentation ou d’insertion permettent de contourner beaucoup de Firewall tant gratuits que commerciaux. Des outils permettent même de stresser les firewalls afin de les mettre hors service. Il vous faut donc en plus du firewall un outil de détection ou de prévention d’intrusion réseau (IDS/IPS), exécuter assez régulièrement des outils de détection de vulnérabilités réseaux et corriger éventuellement les vulnérabilités détectées, des antivirus, etc.

• J’ai un « puissant » antivirus, alors je suis protégé contre les virus : FAUX

Chaque jour, de nouveaux virus voient le jour. Pour être protégé, il faut donc régulièrement mettre à jour son anti-virus.

• Mon détecteur d’intrusion bloque toutes les intrusions dans mon réseau : FAUX

Il existe plusieurs techniques d’intrusion basées sur des approches par scénarios ou comportementales. Certains détecteurs d’intrusions ne sont capables de détecter que l’un ou l’autre des approches cités. Certains sont hybrides et permettent de détecter des intrusions basées sur les 2 approches.

Ceux basés sur une approche par scénarios ne permettent de détecter que des attaques déjà connues tandis que ceux basés sur le comportement permettent de détecter des intrusions basées sur une déviation par rapport à un comportement dit normal (ex la secrétaire qui se connecte à 3h du mat ou le technicien qui tente d’accéder à un répertoire où se trouve la base de données des salaires). Ces systèmes sont entraînés à reconnaître le comportement normal d’un utilisateur.

• Les pirates n’ont pas besoin d’attaquer mon réseau, j’ai aucune donnée sensible : FAUX

Si des pirates utilisent votre réseau pour commettre des malversations, vous pourrez avoir à répondre s’ils arrivent à effacer leurs traces et qu’il n’y a que votre machine qui est repérée lors de l’attaque. Il va vous falloir déjà prouver que ce n’est pas vous et croyez moi, ce n’est pas toujours facile.

• Je peux essayer de pirater juste quelque fois, c’est pas méchant : FAUX

Lorsque vous essayez d’accéder illégalement à un système informatique, ce système informatique enregistre l’adresse de la machine qui essaie de l’accéder. Alors courage et bonne chance à vous si vous essayez d’accéder par force brute ne serait ce qu’une seule fois un système informatique de l’armée Américaine par exemple et que vous êtes repéré.

NB : Cet article a juste un but informatif, il n’a nullement pour but d’initier au piratage informatique. L’auteur décline toute responsabilité quand aux actes que pourraient poser des lecteurs suite à une quelconque inspiration ou curiosité liées à lecture de cet article.

Abdoul Karim Ganamé
Doctorant en sécurité informatique

lefaso.net/