Hackito Ergo Sum !
Par Bertrand Arquilliere le vendredi 3 août 2007, 22:00 - Humeur - Lien permanent
En réponse à un billet et à quelques commentaires sur le blog de Frédéric AKA FredLynx ICI, je souhaite apporter quelques éclaircissements sur le monde difficile de la sécurité informatique et surtout de la découverte de failles
Certains reconnaitront peut être le titre de ce billet, si c'est le cas, n'hésitez pas à vous manisfester 
Il est important de différencier plusieurs types de hackers dont les deux principales catégories sont :
- Le White Hat, qui ne travaille pas pour son interêt mais plutôt pour protéger vos données circulant sur Internet
- Le Black Hat, dont l'unique objectif est de s'enrichir en exploitant des failles de sécurité qu'il ne rendra pas publique au risque des les voir corrigées.
Les objectifs étant différent, les méthodes de travail sont similaires dans la phase de recherche, identification et exploitation d'une faille, et encore, l'exploitation ne sera pas tout à fait la même puisque l'objectif final n'est pas le même.
Le White Hat :
Le White Hat (ou Ethical hacking), lorsqu'il aura identifié une faille inconnue du public va chercher à l'exploiter dans un but de "Proof of Concept", c'est à dire que le White Hat exploitera la faille afin de démontrer l'existance de la vulnérabilité, il n'exploitera pas la vulnérabilité dans toute sa puissance.
Une fois son proof of concept bien en main et bien maitrisé, le White Hat va imaginer ce qu'il serait possible de faire en utilisant cette vulnérabilité, et va rédiger un advisory à l'attention de l'éditeur du logiciel incriminé.
Cet advisory sera conservé par le White Hat afin de le rendre public dans un délai relativement court après avoir prévenu l'éditeur (généralement 1 mois). Le White Hat va rendre public son advisory, non pas pour se la péter sur le net, ou pour satisfaire son égo ou bien encore pour se faire mousser, mais bien pour prévenir l'ensemble des utilisateurs du logiciel, que ce logiciel représente un risque pour l'intégrité, la confidentialité et la disponibilité de leur données.
Les entreprises responsables et sensibilisés disposent généralement d'un RSSI (Responsable Sécurité des SI) qui fait une veille permanente sur les failles publiées concernant les outils utilisés dans leurs entreprises.
Les RSSI seront alors avertis par des médiums courants (sur lesquels le white hat aura publié son advisory : Habituellement les CERTs et web site de White Hat) du risque que représente l'outil pour leur entreprise, charge à eux de faire une analyse du risque et d'évaluer si ce risque est à un niveau acceptable pour la sécurité des SI de leurs entreprises, il prendra alors la décision de voir avec l'éditeur pour obtenir un correctif, ou cherchera un workaround le temps que le correctif soit disponible.
Le White Hat a donc :
- Trouvé une faille
- Prévenu l'éditeur de l'existence d'une vulnérabilité dans son logiciel.
- Prévenu l'ensemble des utilisateurs via des médias spécialisés.
Charge à l'éditeur de mettre à disposition un correctif dans les meilleurs délais, et au moins un workaround immédiat.
Charge aux RSSI de faire appliquer le workaround et/ou le correctif (A condition qu'il y ai un RSSI ou une personne faisant la veille sécurité)
Or entre le moment ou le White Hat découvre la faille et la publie, un Black Hat peut lui aussi trouver cette même faille, et nous allons voir qu'alors les conséquences peuvent être bien plus grave.
Le Black Hat :
Le Black Hat, lorsqu'il aura identifié une faille inconnue du public, va chercher à l'exploiter dans son interêt (bien souvent financier), il va exploiter la faille dans toute sa puissance afin d'obtenir un maximum de résultat.
Une fois qu'il maitrisera parfaitement l'exploitation de la vulnérabilité, il va l'utiliser partout ou il le pourra, à la recherche de son objectif (politique : voir les blacks hats Turcs très actifs en ce moment, ou financier : vol de carte bleus, ou va se constituer un réseau de zombie qui lui permettra des lancer des attaques de plus grande envergure).
Pendant ce temps, ni l'éditeur, ni les utilisateurs du logiciel, ni les autres black hat ne sont informés de la faille. Ensuite, le Black Hat va porter le coup de grâce en écrivant un programme permettant l'automatisation de l'attaque, c'est à dire qu'il n'y aura pas besoin de compétence spéciale en sécurité pour exploiter la vulnérabilité et gagner un peu d'argent ou faire passer un message politique. Ce programme va se retrouver en vente sur internet sous le nom de 0Day, pour des sommes allant de 10000 à 60000 USD selon l'ampleur de l'attaque et des gains espérés.
Les utilisateurs ne sont toujours pas informés de cette vulnérabilité et elle commence a être exploitée à grande échelle. Des entreprises remercient leur RSSI, car leur site web a été piraté (Le RSSI ne fait rien quand tout va bien, et dès qu'il y a un problème c'est un incompétent), ou bien des données confidentielles se retrouvent dans les mains d'un concurrent.
Enfin lorsque l'attaque aura était suffisamment exploitée, ou bien parce que de grande sociétés de sécurité auront acheté le 0Day, ou bien parce que une analyse forensic aura eu lieu sur un site piraté, la faille sera publiée et l'éditeur prévenu.
Le Black Hat a donc :
- Découvert une faille
- Exploiter la faille pour son bénéfice
- Divulguer la faille dans son réseau underground
- Mis en vente un exploit de type 0Day (Si la faille en vaut le coup)
Charge aux White Hats et aux RSSI d'analyser les attaques, de trouver un workaround, de publier la vulnérabilité dans les réseaux de veille en sécurité et de prévenir l'éditeur
Alors ... on fait quoi les White Hat ?
On continue a publier nos failles même si certain pensent que c'est juste pour péter plus haut que notre cul, ou pour nous faire mousser, ou pour emmerder le monde ?
Ou on laisse faire les black Hat plus vite que nous et on laisse pleurer les sociétés qui se sont faites pirater (perdant parfois plusieurs millions d'euros) ?
En tout cas je trouve qu'un mois de délai entre l'annonce d'une faille à un éditeur et la publication officielle c'est déjà trop. Pendant ce mois là, des black hats peuvent eux aussi trouver cette faille et en profiter pleinement sans soucis.
Ca ne tiendrait qu'à mois, la faille serait publiée chez les CERT en même temps que l'éditeur ...
Nous avons aussi un autre problème lorsque nous signalons une faille de sécurité à un éditeur, ne nous ayant rien demandé, il est très rare qu'on nous prenne au sérieux, et bien souvent on s'imagine qu'on va rançonner quelque chose en échange de la non-divulgation de la faille.
On nous traite de menteur, de voleur, de mythomane et d'autres noms d'oiseaux, alors qu'au final, qu'est ce qu'on a en a foutre que tel ou tel logiciel soit vulnérable ?
Après tout si les entreprises ayant acheté le logiciel ne s'en sont pas rendues compte et bien qu'elles continuent à se faire pirater dans la joie et la bonne humeur !
Si l'éditeur se retrouve avec des procès par des entreprises ayant perdues beaucoup d'argent à cause de leur logiciel, en quoi ça nous touche ?
Et le meilleur dans tout ça c'est que nous les White Hat, lorsque nous publions les failles que nous avons découverte, on ne demande pas un rond, on a notre petit salaire d'administrateur système/réseaux et ça nous suffit (bon OK un petit mail de remerciement de la part de l'éditeur nous fait aussi plaisir, mais c'est très rare. en ce qui me concerne, je n'ai publié que 2 failles ... la troisième est en cours, et je n'ai JAMAIS eu un remerciement ni d'un éditeur, ni d'une société exploitant le logiciel incriminé).
Cerise sur le gâteau on nous traite de trou du cul zigotos lorsqu'on publie une vulnérabilité, sous prétexte que nous voulons nous faire mousser...
Tant pis ce qu'on pourra dire sur moi, je continuerai à publier mes découvertes, je continuerai à chercher de nouvelles vulnérabilités dans les applications qui me passeront dans les mains, et je continuerai a espérer un poste de RSSI car :
Hackito Ergo Sum !
EDIT : réaction à chaud suite au billet de FredLynx, je l'éditerai surement plus tard dans le week end pour soit modérer mes propos, soit modifier la tournure de certaines phrases afin d'éviter tout double sens possible.
Commentaires
Pour info, l'école de Hackers ne concerne pas uniquement les jeunes ados, elle s'adresse à tout particulier désireux de se former dans cette pratique.
J'ai une question concernant les blacks Hat. Est-ce que se sont eux qui créent les "trojan", "spyware", "virus" et tous ces programmes parasites ?
Les black Hats ne sont pas responsables de tous les maux informatiques de la planète. Il y a des gens spécialisés dans le spam, d'autres dans les virus, d'autres encore dans les trojans ... ect.
La plupart des outils de hack sont des dérivés d'outils d'administration système. Et il y a les développeurs peu ou pas conscient des problématiques de sécurités, il y a les chefs de projets n'intégrant pas l'évaluation sécurité de leur projet et enfin il y a les entreprises refusant d'ouvrir les yeux sur la sécurité de leur SI se pensant à l'abri derrière leur anti-virus mis à jour hier et leur Firewall configuré par le petit neveu du patron l'année dernière.
Pour "l'école des hackeurs", je connais personnellement un monsieur très bien d'un certain âge qui a participé à un séminaire d'une semaine. Après en avoir discuté avec lui, il n'avait rien appris si ce n'est a être un parfait script-kiddie (à son âge tout de même
)
En plus d'avoir un gros EGO, ils sont susceptibles
STOP! C'est un au Xème degré!
Mon billet était surement trop général, mais en tout cas je suis content qu'il nous ait donné une aussi claire explication de texte sur les acteurs du domaine.
Je ne suis pas sur qu'il y ait grand chose à modérer dans tes propos, tu as aussi droit à ton coup de gueule
Terrible ce billet typologique sur les hackers. Le fait de ne rien y connaitre en programmation rend tout ça mystérieux et passionnant puisqu'entre une suite binaire et l'affichage à l'écran je ne comprend pas comment l'info est mobilisée dans un ordinateur (oui c'est triste).
J'aurais des milliers de question comme : à quoi ressemble une faille ? comment l'exploiter quand on est un blackhat ? comment la résorber quand on s'occupe de SI ? malheureusement il faudrait des métaphores ultra-poussées pour que je comprenne
En tout cas, concentré sur les SI, ton blog est super instructif même pour un ignare comme moi. As-tu penser à faire un peu d'enseignement ?
Oui Frame,
J'ai donné quelques cours d'initiation à la sécurité des S.I à des D.U.T, mais aussi à des auditeurs en cours du soir au CNAM.
J'ai aussi donné des cours d'initiation à GNU-Linux et des cours réseaux (TCP/IP).
Expérience passionnante, que j'aimerai bien renouveler ... mais encore une fois, en France, mon petit bac + 2 m'a fermé les portes de l'enseignement au CNAM.
Ben oui le nouveau directeur ne comprenait pas comment un DUT pouvait donner des cours à des adultes préparant un diplôme d'ingénieur ...
N'hésites pas à poser des questions si j'ai un début de réponse, ça sera avec plaisir que je ferrai un billet dessus.
J'adore le titre du billet, je trouve que ça donne un esprit "ninjaaaaaa" (ben oui, ça sonne chinois ou japonais "hackito", vous ne trouvez pas ? lol)
:p
Merci Bertrand, je n'y manquerai pas.
C'est bien dommage pour tes enseignements, j'espère que tu auras de nouveau l'occasion de mettre tes talents de vulgarisateur au profit des autres.
On considère qu'il faut une License pour commencer à enseigner en France. Ce qui est assez stupide dans une "matière" telle que l'informatique où les auto-didactes sont à la pointe là où l'Institution peine à se mettre aux goûts du jour. C'est un peu mettre la queue du serpent entre ses crocs mais bon...
Et bien je vais me permettre de revenir sur deux trois petits points si bertrand me le permet, ....
Alors pour ce qui est des chevaux de troie et des virus ils ont 2 provenances : blackhat ET script kiddies, il ne faut pas les oublier ceux là car ils restent les plus parasites, ces jeunes (ou moins jeunes) qui utilisent ce qui a été développé par d'autre pour pourir les moins informés....
Ensuite une chose qui n'est pas soulignée dans ton post est l'origine du mot hacker, le hacker est en fait le chercheur en informatique le plus pur, il est constamment en quête de connaissance du système, qu'il soit blackhat ou whitehat le hacker est en quête, point de hacker qui utilise ce qui a été fait par d'autres....
C'est pour cela qu'aujourd'hui dans le monde du cybercrime on a 90% de script kiddies (et encore je suis gentil) et 10% de hacker....
Merci pour ces précisions, je n'avais effectivement pas parlé des scripts kiddies, qui se contentent d'exploiter des outils sans en comprendre ni le fonctionnement ni la finalité.
Script kiddies qui vont balancer tous les outils à leur dispositions en espérant q'uil y en ai un qui marche. Si ça passe pas, qu'à celà ne tienne, plutôt que de chercher à comprendre pourquoi ça n'a pas marché, le script kiddie va s'orienter vers une nouvelle cible.