Description
L'histoire des hackers de l'aube de l'humanité à nos jours.
Compte instagram @mamiecyber
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Mais pourquoi est-il aussi méchant ? C'est très certainement la question que vous posez quand on parle de hacker. La première chose à comprendre, c'est qu'un hacker n'est pas forcément un pirate informatique. Et un pirate, pas forcément un hacker. En tout cas, pas forcément au sens des hackers dont on va discuter dans cet épisode. Souvent, on utilise le terme hacker pour désigner un pirate informatique, mais c'est souvent un abus de langage. Même s'ils sont en quelque sorte cousins très proches, les hackers ne sont pas forcément des pirates informatiques. Mais commençons par un peu d'histoire. De quand d'être le premier ordinateur ? En fait, ça dépend de ce qu'on appelle un ordinateur. Un ordinateur est une machine automatique de traitement de l'information, obéissant à des programmes formés par des suites d'instructions arithmétiques et logiques. En d'autres termes, un ordinateur est une machine capable d'exécuter une suite d'instructions. Ça paraît très simple dit comme ça, mais c'est bien plus complexe qu'il n'y paraît, et encore aujourd'hui cette définition reste parfaitement exacte. D'autant plus que si on regarde de très près le fonctionnement d'un orniateur, on s'aperçoit assez vite que le processeur ne connaît finalement qu'un ensemble assez restreint d'instructions. C'est ce qu'on appelle le jeu d'instructions, l'ensemble des instructions que le processeur est capable d'exécuter. Cet ensemble, aussi minimaliste soit-il, est bien suffisant pour exécuter n'importe quel programme. C'est un peu comme les notes de musique. Prises séparément, chaque note n'a pas vraiment d'intérêt, alors qu'une fois associées, vous pouvez écrire toutes les musiques du monde. Un détail près cependant. Chaque partition de musique sera toujours la même. Vous pourrez peut-être la jouer sur un piano ou une guitare, peut-être plus rapidement ou plus lentement, mais le morceau de musique restera le même. Sauf fausse note bien entendu, mais il ne changera pas. En revanche, l'exécution d'un programme, lui, va changer en fonction des paramètres extérieurs. Imaginez un programme capable de faire l'addition de deux nombres. Le programme sera toujours le même, mais le résultat lui va changer en fonction des nombres que vous allez lui fournir. Et là vous touchez du doigt l'un des plus grands problèmes de l'informatique, qui est de s'assurer que le programme s'exécutera toujours correctement, quelles que soient les variables d'entrée. La réponse semble assez simple quand il s'agit d'un programme qui fait une addition. Mais qu'en est-il d'un programme qui traite de la division ? Que se passe-t-il en cas de division par zéro ? Pour ceux qui ont un peu oublié leur cours de maths, vous pouvez faire l'expérience en prenant n'importe quelle calculatrice et faire la division de n'importe quel chiffre par zéro. La calculatrice ne va pas trop aimer. Cet exemple est encore assez simple à traiter. Mais vous voyez bien que même dans un contexte minimaliste, c'est-à-dire un programme de quelques lignes, il est déjà possible de faire des erreurs. Le problème est d'autant plus difficile à résoudre que le programme sera compliqué. Plus il est complexe, plus la probabilité d'erreur est importante. Il faut se rappeler que ce sont des humains qui créent ces programmes. On dit souvent que l'ordinateur a fait une erreur, comme si l'ordinateur avait une certaine marge d'interprétation ou une capacité à avoir son propre libre arbitre. En réalité, il n'en est rien. L'ordinateur ne fait jamais d'erreur. Il ne fait qu'exécuter un programme qui, lui, a une erreur de conception. C'est communément ce qu'on appelle un bug, un insecte en anglais. Cette expression remonte aux années 50, à l'époque où les ordinateurs utilisaient des tubes électroniques, l'ancêtre des transistors en silicium. Ces tubes provoquaient de la chaleur. Cette chaleur attire les insectes qui parfois provoquaient des courts-circuits. Ce qui avait pour effet de faire planter le programme. L'expression il y a un bug, il y a une erreur vient de là. Dans certains cas, ces bugs permettent de faire faire à la machine autre chose de ce qui était prévu initialement. Les hackers vont justement chercher ces failles pour manipuler le comportement de l'ordinateur. C'est un peu comme crocheter une serrure, le mot crocheter se traduit en anglais par hook et crocheteur par hacker Un hacker est donc un crocheteur, c'est-à-dire quelqu'un qui cherche à détourner le comportement et à trouver un autre usage que celui qui était prévu. Ah oui, c'est cocasse. Mais cet usage n'est pas forcément malveillant, bien au contraire. C'est de cette proximité étymologique entre hacker et pirate qu'est née une certaine ambiguïté. Et c'est probablement la raison pour laquelle on confond allègrement les deux. Mais revenons à notre ordinateur et à son mode de fonctionnement. L'ordinateur exécute donc certaines instructions. C'est ce qu'on appelle le langage machine ou aussi l'assembleur. C'est le niveau le plus bas de programmation puisque ces instructions sont directement exécutables par le processeur. La grande force d'un ordinateur est qu'il est capable d'exécuter des millions d'instructions par seconde sans jamais se fatiguer ni même faire une erreur. Car l'erreur vient du programme et non de l'exécution du processeur lui-même. En général, les développeurs ne codent pas directement leurs programmes en assembleur, car c'est un langage de très bas niveau, très adapté aux contraintes de la machine, mais beaucoup moins à celle de l'humain. C'est la raison pour laquelle les langages de programmation sont apparus. Le but de ces langages est de traduire une demande formalisée dans un langage compréhensible par un humain, en une suite d'instructions compréhensible par la machine. On reparlera de l'influence des langages de programmation dans la cybersécurité dans un autre épisode de ce podcast. On peut donc conclure qu'un ordinateur est donc une machine programmable, capable d'exécuter des instructions dans le but d'obtenir des résultats qu'on espère être corrects. Et la première machine capable de relever cet exploit est celle de Charles Babbage, qui l'a conçue en 1834. L'objectif de Charles Babbage était avant tout de concevoir des tables nautiques, astronomiques et mathématiques exactes, car celles de son époque comportaient de nombreuses erreurs. Là encore, le facteur humain a beaucoup joué. Car sans ordinateur, c'est un travail manuel, fastidieux et très ennuyeux. C'est ce qui explique pourquoi les tables comprenaient de nombreuses erreurs. Malheureusement, certaines de ces erreurs ont eu de graves conséquences, ayant entraîné la mort de Marin, mal orienté par des données erronées. C'est un peu comme si votre GPS se trompait de route et vous envoyait directement dans le ravin, simplement parce qu'il y a des erreurs dans les données qu'il utilise. Charles Babbage créa donc le premier ordinateur totalement mécanique. Il enseigna ce fonctionnement à Ada Lovelace, qui fut la première programmeuse du monde. Elle réalisa d'ailleurs 448 exemples de programmes, et c'est en son hommage que l'armée américaine donnait son nom à un langage de programmation dans les années 80. On retrouve aussi son visage sur les hologrammes anti-contrefaçon de Microsoft. Bien plus tard, d'autres femmes marqueront aussi l'histoire de l'informatique, comme Edie Lamar, qui travaillait sur un système de transmission de données par étalement de spectres par saut de fréquence. C'est plus facile à dire qu'à expliquer, Mais cette invention a été reprise dans la norme du Wi-Fi. A noter qu'elle était aussi star d'Hollywood à son époque. On est bien loin de Nabila et de Kim Kardashian. On citera aussi Grace Hopper, qui a travaillé à la NASA dans les années 50, et encore bien d'autres qui ont toutes marqué l'histoire de l'informatique à leur manière. Parce qu'en plus de ne pas être un pirate, un hacker n'est pas forcément un homme. Alors essaye, j'en t'ai y arrangé une petite table, hein. C'est de nous faire un truc mignon. Revenons en 1837. Depuis la Révolution, la France dispose d'un réseau étendu de télégraphes optiques, les télégraphes CHAP. C'est un moyen de communication visuel permettant la transmission de messages sur des distances de plusieurs centaines de kilomètres en quelques heures. Ce système était exclusivement réservé à l'État. Le système permettait de transmettre un message sur de longues distances grâce à un relais de tours dispersé à travers le territoire. Le principe de fonctionnement était assez simple. Un opérateur utilise des signaux optiques pour transmettre un message à l'opérateur qui se trouve dans la tour suivante. celui-ci observe le précédent à l'aide d'une longue vue, et une fois le message reçu, le rend transmis à l'opérateur suivant, et ainsi de suite. C'est assez archaïque, pas forcément très fiable, car il est impossible de transmettre un message la nuit ou par temps brumeux. De plus, il y a souvent des erreurs dans la transmission, ce qui impose aux opérateurs d'avoir recours à des instructions pour corriger une transmission erronée. D'une certaine manière, c'est un peu l'ancêtre du réseau. Mais souvenez-vous des principes dont nous avons parlé lors du premier numéro. tout est vulnérable d'une certaine manière. Bien les frères Blancs en 1834 ont parfaitement compris ce principe et surtout l'usage détourné des instructions pour corriger un message. Si vous pouvez corriger un message, c'est que vous pouvez le modifier à un point A et le modifier à nouveau à un point B. Les frères jumeaux François et Louis Blanc spéculent régulièrement à la Bourse de Bordeaux. A l'époque, il fallait trois jours pour que tous les cours de la Bourse de Paris puissent descendre à Bordeaux. Bien évidemment, quiconque ayant l'information avant tout le monde pourra spéculer à coup sûr. C'est la raison pour laquelle les frères Blancs entreprennent de détourner le télégraphe optique. Ils ont élaboré un plan à l'aide de l'ancien directeur du télégraphe de Lyon, Pierre Renaud, qui les informe probablement de présences régulières d'erreurs dans les messages et surtout de la possibilité d'y glisser des messages cachés. Le détournement ne peut pas être effectué avant la station de Tours puisque les messages de Paris risquent d'être corrigés entre-temps. Les frères Blancs parviennent à corrompre le directeur de cette station, ainsi que son assistant, et lors de la phase de correction du message, ils introduisent un mot-clé qui se trouve ensuite retransmis en cascade d'une tour chape à l'autre, et ainsi de suite jusqu'à Bordeaux. Le détournement a fonctionné parfaitement pendant deux ans, malgré les suspicions croissantes sur les succès boursiers des frères Blancs. On peut donc considérer que les frères blancs sont les premiers pirates informatiques de l'histoire. C'est exactement la définition du hacker malveillant. Observer un système, comprendre ses failles et les utiliser à son profit. Cet état d'esprit, cette façon de penser existe très certainement depuis l'aube de l'humanité. Les frères blancs ne sont peut-être que le premier cas parfaitement renseigné. Certains jeunes américains étaient animés par les mêmes intentions dans les années 50, et l'un de leurs terrains de jeux préférés était le réseau téléphonique en général, et celui de Pacific Bell en particulier. En 1954, un jeune hacker du nom de John Draper découvre par hasard que s'il siffle avec le sifflet au fer dans les céréales Capitaine Crutch, s'il siffle dans un combiné de téléphones, le téléphone aura une drôle de réaction. Il découvre aussi que les centrales téléphoniques pensent que le téléphone est raccroché. En fait, le sifflet en question émet un son à une fréquence de 2600 Hz. Un combiné téléphonique émet ce signal sur cette fréquence pour indiquer que la ligne est raccrochée. Pour exploiter pleinement cette faille de sécurité, le hacker doit d'abord téléphoner à un numéro vert, c'est-à-dire un téléphone où la communication est gratuite, et ensuite siffler avec son sifflet Capitaine Crunch. Le central téléphonique va détecter le signal et conclure que l'appel est fini car le combiné est raccroché. En fait, il n'en est rien. Car c'est à ce moment-là que le hacker peut composer un autre numéro qui lui sera bien payant. Ma voisine, s'il vous plaît, j'aurais le vote de Arellien. C'est ce fameux hack qui donna à John Rapper le surnom de Capitaine Crunch, et aussi le droit à quelques mois de prison. Il avouera bien des années plus tard que la découverte du signal 2600 Hz était en fait celle d'un autre hacker, Joe Ingresia, qui lui aussi cherchait à pirater les réseaux téléphoniques. Mais la légende était faite, d'une part John Draper alias Capitan Crunch fut le premier fricœur, les fricœurs étant les pirates du téléphone, et 2600 Hz est devenu la fréquence qui symbolise le mieux les fricœurs. C'est encore aujourd'hui un symbole fort de la cyberculture. Et ce hack a été repris par deux illustres inconnus de cette époque, Steve Jobs et Steve Wozniak, qui vendèrent un dispositif appelé la Blue Box, permettant de pirater le réseau téléphonique à l'aide de cette fameuse fréquence de 2600 Hz. A cette époque, le réseau téléphonique était le terrain de jeu favori pour les hackers. Car le plus grand terrain de jeu du monde, Internet, n'en était encore qu'à ses débuts. Arpanet, l'ancêtre d'Internet, ne relie encore que 4 universités. On était donc encore bien loin de l'essor d'Internet tel qu'on le connaît aujourd'hui. Cette fameuse fréquence de 2600 Hz est tellement cultissime qu'un magazine porte son nom. C'est un magazine trimastriel créé en 1984 par Eric Gordon Corley, alias... Emmanuel Goldstein. Initialement dédié au freaking, le piratage du réseau téléphonique, il est devenu par la suite plus généraliste et traite maintenant d'un grand nombre de sujets liés au hacking et à la cyberculture. Vous noterez le clin d'œil appuyé à l'œuvre de George Orwell, 1984, ce fameux roman dystopique, dont l'un des personnages centrales est Emmanuel Goldstein. En 1983, un autre hacker américain, Kevin Paulson, alias Darkdent, pénètre le réseau Harpanet, encore lui, à l'âge de 17 ans. Entre l'époque du Capitaine Crunch et celle de Darkdent, le réseau s'était fortement étendu, mais encore fermé au public. Ce n'est qu'en 1989 que le CERN ouvrit ses premières connexions externes en Europe. Ce qui coïncide avec la création en Europe du RIPE, Réseau d'Adresses Européens. Pour résumer, c'est le régulateur européen des adresses IP. c'est-à-dire des points d'entrée sur le réseau. En 1989, il se fait arrêter par le FBI, car on découvre qu'il possède une quantité impressionnante de matériel de piratage du réseau téléphonique, dont les victimes principales sont, devinez qui, Pacific Bell. Mais il s'enfuit avant sa comparaison devant le juge, et part en cavale pour une durée de 17 mois, période pendant laquelle il se permet de hacker un grand jeu organisé par la station KISFM de Los Angeles. Le jeu avait un principe assez simple. La personne qui était la 102ème à appeler la station gagne une Porsche. C'est Kevin qui a gagné cette voiture après avoir hacké le système téléphonique. Paulson sera arrêté grâce à l'émission de télévision Unsolved Mystery. Quand l'émission a traité de l'affaire Paulson, les lignes téléphoniques du numéro vert de l'émission sont tombées mystérieusement en panne, rendant les éventuels téléspectateurs ayant des informations dans l'impossibilité de contacter la chaîne. Mais quelqu'un informait les agents d'investigation de Pacific Bell ? que Paulson faisait ses courses dans un supermarché de la banlieue de Los Angeles. À la boulette ! Il sera arrêté par la FBI en avril 1991. Il plaida coupable et écopa de 4 ans de prison et dut payer 56 000 dollars de dédommagement à la compagnie Pacific Bell. Cette affaire était sans emblématique car c'est la première fois qu'on traite un piratage au même titre qu'un autre délit. Par la suite, d'autres affaires ont été traitées avec la même sévérité. On citera par exemple le cas du verre Maurice. Le 2 novembre 1988, Robert Tappan-Maurice, âgé de 23 ans, décide de tester son verre et de mettre en action son malware directement sur Internet. Résultat, 6000 machines hors d'usage. Sachant qu'à l'époque, il n'y avait que 60 000 machines connectées sur Internet, Ça donne un ratio de 10%. Aujourd'hui, on estime qu'il y a 20 milliards de machines connectées sur le net. Ce joli score a valu à son auteur 400 heures de travail d'intérêt général, 10 000 dollars d'amende, et disons-le franchement, une certaine notoriété. En 1995, Kevin Mitnick, dit le Condor, sera condamné à 50 prisons pour avoir, entre autres, piraté la base de données des clients de... devinez qui ? Et oui, c'est encore eux, Pacific Bell. C'est la première fois qu'un hacker était sur la liste du FBI des 10 criminels les plus dangereux. Bien qu'il soit auteur de Hack technique Kevin Mitnick excelle dans l'art de la supercherie. C'est ce qu'on appelle dans le jargon de la cyber, l'ingénierie sociale. Si vous voulez avoir un exemple bien concret de technique de manipulation, vous pouvez aller sur YouTube et faire une recherche sur Social Engineering Baby Cry L'exemple parle de lui-même. Outre le début des condamnations pour piratage informatique, les années 90 marquent aussi la naissance de groupes d'hackers ayant le désir de structurer leurs actions dans le but de changer le monde. Rien que ça. Le plus emblématique de ces groupes est certainement celui des Cypherpunks, nés en 1992. Ses trois fondateurs sont Eric Hugues, Timothy May et John Gilmore. Ils décidèrent de se réunir une fois par mois, non pas pour discuter de comment hacker Pacific Bell, mais d'imaginer le monde de demain. Ils commençèrent à diffuser des messages au travers de mailing lists. Ces messages traitaient d'un nombre de sujets très large, techniques parfois, mais aussi politiques, sociétales et même mathématiques. Les sujets récurrents de ce groupe de travail étaient principalement sur la protection de la vie privée. la surveillance du gouvernement et la centralisation des contrôles. Les nombreux travaux sur ces thèmes, et plus particulièrement sur la cryptographie, donnaient lieu au manifeste des cypherpunks, mais aussi à celui des hackers que je vais vous lire. Règle numéro 1. L'accès aux ordinateurs, ainsi que tout ce qui peut vous apprendre quelque chose sur le fonctionnement du monde, doit être illimité et total. Règle numéro 2. Toute information devrait être libre. Règle numéro 3, se méfier de l'autorité, encourager la décentralisation. Règle numéro 4, les hackers devraient être jugés par leurs actes, et non seulement les faux critères comme l'appartenance, l'âge, la race, le genre ou le rang social. Règle numéro 5, on peut créer l'art et le beau à l'aide d'un orniateur. Règle numéro 6, les orniateurs peuvent changer votre vie pour le meilleur. Règle numéro 7, ne fouillez pas dans les données d'autres personnes, utilisez les données publiques et protégez les données privées. C'est presque une forme de tétrafarmacum moderne, sauf qu'au lieu d'avoir 4 règles, il y en a 7. Et en toute logique, cela vous permettrait d'atteindre une sorte d'ataraxie numérique. C'est pas faux ! Pour bien comprendre l'importance de ces manifestes, il faut d'abord se remettre dans le contexte. Nous sommes dans les années 90 et en France, on avait à peine le Minitel. Les hackers en général et les cypherpunks en particulier ont compris trois choses très importantes. La première est qu'Internet va révolutionner le monde dans les 30 prochaines années. Ils ont parfaitement compris la révolution technologique qui s'énonçait. La seconde... c'est que cette expansion risque d'être anarchique à bien des égards et particulièrement pour la protection de la vie privée et des données personnelles. La troisième, c'est que cette révolution est à la fois une opportunité unique de liberté pour chacun d'entre nous, mais aussi un outil fantastique pour le contrôle et la manipulation de masse. Les cypherpunks se méfient des gouvernements et des systèmes financiers et veulent mettre en place un moyen d'échange décentralisé. En fait, les cypherpunks avaient prédit tous les grands thèmes de cybersécurité d'aujourd'hui. La protection des données privées, le droit à l'anonymat, mais aussi les moyens pour se prémunir de tentatives d'intrusion ou de contrôle des États. Ils avaient aussi défini les bases de ce qui deviendra bien plus tard les crypto-monnaies. On pense même que Satoshi Nakamoto, l'obscur inventeur des bitcoins, est en fait l'un des membres des cypherpunks. Par ce manifeste, les hackers tentent de rééquilibrer la désymétrie qui existe entre l'État et le peuple. L'État possède plus de moyens et de connaissances que le peuple, et qui lui donne un avantage décisif, sauf si le peuple se met à utiliser massivement des outils de cryptographie. Un épisode de ce podcast sera consacré à la cryptographie, et je ne vais pas détailler ici et maintenant le pourquoi du comment. Mais sachez que la cryptographie est un moyen structurel de protection car elle utilise des lois mathématiques immuables. Et ces lois, comme celles de la physique et contrairement à celles des hommes, sont les mêmes pour tout le monde dans l'univers. Toute proportion gardée, le manifeste des cypherpunks a eu un impact sociétal identique que la lettre à Kenstein adressa au président Roosevelt. Cette fameuse lettre lui expliquant qu'il était théoriquement possible de créer la bombe atomique. Cette lettre n'avait pas pour vocation d'initier le projet Manhattan, le projet de construction de la bombe atomique, mais de prendre en compte cette éventualité. Les cypherpunks sont dans le même état d'esprit. Ils ne veulent pas créer de l'anonymat pour permettre à des réseaux pédocriminels de se protéger, ou à des réseaux mafieux d'utiliser des bitcoins pour faciliter l'achat de drogue, et encore moins de permettre à des dictatures de contrôler son peuple et d'éliminer ses opposants. A l'instar du nucléaire, qui permet un usage pacifique, Il y a aussi le revers de la médaille qui l'est beaucoup moins. C'est l'un des dilemmes de la cybersécurité. Contrôler, et dans quel but ? Protéger ses données, mais contre qui ? Ce dilemme est aussi au cœur des activités de Julian Assange à travers Wikileaks. Mais ça, c'est un autre sujet. Certains hackers étaient tellement persuadés que l'État leur cachait des choses qu'ils décidèrent de pirater certaines des institutions étatiques. C'est le cas de Gary McKinnon, surnommé Solo, qui a piraté la NASA, le Pentagone, l'armée de... terre, la marine et encore bien d'autres administrations américaines. Il a causé 800 000 dollars de dégâts et tout ça pour en savoir plus sur les petits hommes verts. En réalité il était persuadé que la NASA et l'armée américaine cachait l'existence d'extraterrestres et le but de sa hack était de trouver des informations compromettantes capables de démontrer l'existence réelle des extraterrestres. D'autres hackers avaient des intentions clairement vénales. C'est le cas d'Albert Gonzalez qui entre 2005 et 2007 a volé 170 millions de numéros de cartes de crédit. Il a été condamné en 2006 et sortira en 2025. En 2003, le forum 4chan vit la naissance d'un groupe de discussion anonyme, où tout le monde était anonyme. Ce groupe de discussion donna naissance quelques années plus tard au groupe de hackers Anonymous. C'est le journaliste Chris Landley qui a probablement écrit la meilleure définition de ce que sont les Anonymous. Il est défini comme cela. C'est la première super-conscience construite à l'aide de l'internet. Anonymous est un groupe semblable à une volée d'oiseaux. Comment savez-vous que c'est un groupe ? Tout simplement parce qu'ils veulent tous dans la même direction. A tout moment, les oiseaux peuvent rejoindre ou quitter le groupe ou aller dans une direction totalement contraire à ce dernier. Effectivement, ce groupe a pour particularité de ne pas avoir de chef ou de leader. Chacun peut faire partie du groupe avec ou sans connaissance en matière de cybersécurité. D'ailleurs, la plupart de ces membres sont loin d'être les pirates chevronnés qu'on pourrait imaginer. Leur force réside plutôt dans le nombre et dans leur capacité à diffuser et communiquer des moyens simples de cyberguerrilla. On citera entre autres comme fait d'arme l'opération Chénologie en 2008, cette opération ayant pour but de déstabiliser l'église de Scientologie. En 2011, l'opération Tunisie vise à soutenir les internautes tunisiens lors du printemps arabe. En 2012, c'est Arseneur Mittal qui a fait les frais des attaques du groupe. Bien d'autres opérations auront lieu lors des années suivantes. A noter que beaucoup de ces opérations ne requièrent pas de connaissances techniques, mais l'une des forces de ce groupe est de pouvoir s'organiser et d'agir dans le même sens, dans le but de perturber le fonctionnement des institutions attaquées. Il faut avouer que la méthode est assez efficace. C'est un peu la version moderne des manifestations où l'on va faire brûler des pneus et des palettes devant les portes de l'usine. les mergazans moins. D'autres groupes de hackers ont émergé à travers le monde comme le Chaos Computing Club qui existe depuis 1981. Ce groupe berlinois est très influent surtout en Europe. Il organise très régulièrement des congrès dédiés à la cybersécurité. Congrès qui devinrent de plus en plus populaire avec le temps. Quelques centaines de participants à leurs débuts et aujourd'hui ils refusent du monde. En 2021 ce groupe a été mandaté par l'état allemand pour valider l'application de lutte contre le Covid. l'équivalent de tous anti-covid en France. Le but était de garantir la protection des données personnelles. Un groupe de hackers qui collabore avec un état, peut-il y voir la fin d'une époque ? En fait, le monde des hackers s'est simplement polarisé depuis les années 90. On peut désormais partager le monde des hackers en quatre catégories. Les chercheurs en cybersécurité, ou White Hat, c'est la catégorie des hackers dont font partie le Chaos Computing Club, les lanceurs d'alerte ou les cypherpunks. Ces groupes cherchent à améliorer le monde dans lequel nous vivons, pour le rendre plus libre, plus sûr, et cherchent à protéger la neutralité d'Internet. Ces groupes sont des contre-pouvoirs importants à quiconque souhaiterait utiliser la technologie pour contrôler les peuples. L'invention de l'imprimerie a donné l'opportunité à tous de lire. L'Internet nous a donné la possibilité d'écrire à tous, ce qui rend possible bien des choses. Bonne ou mauvaise ? Les mafieux. Ce sont souvent des groupes éphémères qui ne durent que quelques années, dont le seul but est de faire de l'argent. A noter qu'à gain égal, les peines et amendes encourues en cas de cyberdélinquance sont bien moindres que celles encourues pour trafic de drogue ou traite des blanches. Je parle bien ici de cyberdélinquance, car en France, les cyberattaques sont des délits et non des crimes. Il n'y a donc pas de cybercriminels, mais des cyberdélinquants. Ils s'insèrent généralement dans un écosystème qui lui est bien structuré. Des groupes sont responsables d'évaluer leur ratio de faussabilité. En d'autres termes, ils essaient d'évaluer la cible. Une grande entreprise, par exemple, si elle a des lacunes en matière de cybersécurité et qu'en plus l'entreprise fait un bénéfice confortable, il y a phare à parier qu'elle sera attaquée en priorité. D'autres groupes ont pour vocation de faciliter le travail de blanchiment d'argent, et d'autres de donner des évaluations sur les services des uns et des autres, à l'instar de TripAdvisor pour les hôtels. Vous pouvez aussi acheter leur service à la demande. Si vous souhaitez mener votre propre attaque avec votre propre malware, vous pouvez trouver des groupes capables de vous fournir cela. On trouvera aussi dans cette même catégorie des hackers moins structurés et moins professionnels. C'est un peu comme dans la vie réelle, vous avez des patrons de cartel avec des gangs organisés et des voleurs à la tire. Les mercenaires. Vous avez peut-être entendu parler de Pegasus. Pegasus est un logiciel espion édité par la société israélienne NSO Group. Ce logiciel permet la surveillance d'un téléphone portable d'une personne juste en lui envoyant un SMS. Ce système a été vendu pendant de nombreuses années à des États, dont certains européens, et d'autres peut-être moins démocratiques puisque plusieurs personnes de l'entourage de Jamal Khashoggi ont été visées par ce système de surveillance. Vous êtes bien sympathique, mais épargnez-moi vos analyses politiques. Vous savez tout simplement ce que c'est qu'une dictature. Une dictature, c'est quand les gens sont communistes. Déjà, ils en croient avec des chapeaux gris et des chaussures à fermeture éclair. C'est ça, une dictature, Dolorès. On peut aussi citer Anchrochat, un système de communication néerlandais massivement utilisé par le trafiquant de drogue. Mais la France n'est pas en reste avec la société Amésis, maintenant connue sous le nom de Nexa Technologies et son logiciel de surveillance global Eagle, maintenant connue sous le nom Cerebro. On peut se poser des questions quant à la moralité de ces outils. Quels usages va-t-on en faire ? Est-ce qu'il va être utilisé pour détecter une tentative d'attentat ou éliminer un opposant politique ? C'est un peu comme la vente d'armes, ce n'est pas forcément moral, mais c'est légal. Il y a d'ailleurs un accord qui couvre ce type de vente, c'est l'arrangement de VASMAR. Bien que cet arrangement ait été transposé dans le droit français, on peut légitimement se poser la question du bien fondé de ce genre d'outils au regard des droits de l'homme. Mais l'argument qui est souvent mis en avant, c'est que d'une part, si ce n'est pas une entreprise française qui va vendre ce genre de technologies, ce sera peut-être une autre nation comme la Chine ou la Russie. Et d'autre part, si l'État donne son accord sur ce type de transactions, c'est servir son pays que de vendre ce type de logiciels. Je vous laisse juge de l'argumentation. Et justement, dernière catégorie, les États. Les États ont depuis longtemps investi le terrain de la cyberdéfense, mais aussi celui de la cyberattaque, d'une part d'un point de vue militaire. C'est un peu comme à la fin de la Seconde Guerre mondiale, où les premiers ballons et avions étaient capables de faire du repérage sur les lignes ennemies. À cette époque, les avions n'étaient pas très performants, mais avec l'évolution des technologies, cela créa un nouveau domaine d'action, raison pour laquelle l'armée se dota de l'armée de l'air. il en va de mame pour le domaine cyber on peut prendre par exemple le verre stuxnet il tait extrêmement sophistiqu et nécessit des moyens que seul un etat pouvait s'offrir au del de sa complexit ce verre avait la capacit de neutraliser des centrifuges utilis s pour enrichir l'uranium Ce sont les centrifugeuses iraniennes qui en ont été victimes, et l'attaque était si bien faite que Stuxnet a continué à envoyer de fausses informations aux consoles de surveillance pour faire croire aux opérateurs que tout allait parfaitement bien, alors qu'en réalité les équipements étaient détruits depuis bien longtemps. D'autres attaques, comme celle ayant pour but la surveillance d'entreprises stratégiques, a duré pendant plusieurs années, voire des dizaines d'années. Seul un État est capable de tenir aussi longtemps. Il y a aussi la mise en œuvre des cyberarmées ayant pour vocation la défense mais aussi l'attaque. Contrairement à la guerre physique, où l'on peut clairement identifier la fabrication et l'origine du matériel militaire, les cyberattaques peuvent être analysées et réutilisées contre d'autres, ce qui rend l'attribution des attaques extrêmement délicate. Puisqu'il est très difficile de savoir si vous êtes la victime initiale ou si l'attaque a été rejouée contre vous. Un hacker est comme un gamin de 7 ans qui découvre qu'avec un tournevis, il est capable de tout démonter pour comprendre comment les choses fonctionnent. Tout le problème réside dans l'exploitation de ses connaissances. Est-ce qu'il va les utiliser pour améliorer les choses, rendre le monde plus sûr, ou au contraire en tirer profit ? Au-delà de cette dualité, les malveillants ne sont pas toujours ceux auxquels on pose en premier. Le suite à capuche n'est pas plus un signe de malveillance que le costume cravate, un signe d'honnêteté. La réalité est bien plus complexe que ça, car derrière ce terme, à cœur, se cachent des enjeux sociétaux bien plus globaux. Si on parle du coût de la cybersécurité, c'est 6 milliards de dollars par an. La cybercriminalité est 5 fois plus rentable que tous les crimes transnationaux combinés. 83% des petites et moyennes entreprises n'ont pas encore adopté un plan d'évaluation et d'atténuation des risques cybersécurité, ce qui laisse une manne considérable de victimes potentielles. Les hackers peuvent vous protéger car ils vous garantiront de manière indépendante que l'application qui est dans votre poche ne vous esplanera pas. Ou au contraire, ils fourniront à l'État les moyens de surveiller tout un peuple. Ils peuvent gagner leur vie en découvrant des failles de sécurité et demander aux éditeurs de logiciels de les corriger, ou les revendre au marché noir pour des sommes considérables. On est bien loin de l'époque un peu romanesque où on cherchait simplement à passer un coup de fil gratuit, ou celle où on craquait le système de la NASA pour voir s'il ne cachait pas quelque chose concernant les petits hommes verts. La cybersécurité est devenue un enjeu majeur pour nos sociétés, et donc un business comme un autre, au même titre que la défense ou la santé. Et c'est peut-être la raison pour laquelle aujourd'hui, il est devenu aussi méchant. Pour réaliser ce numéro, je me suis inspiré du rapport annuel de cybersécurité de PWC, ceux de Varonis et bien d'autres fournisseurs de systèmes de protection. Je me suis inspiré encore une fois d'un épisode de No Limits Sécu, celui intitulé Cyberpirate Corsair Mercenaise, de Christophe Renard, du livre de Julian Assange, SaferPeng. Et surtout un grand merci à Pacific Bell qui a fourni pendant tant d'années un terrain de jeu au cœur de tout genre.
- Speaker #1
N'hésitez pas à poser vos questions dans les commentaires, n'hésitez encore moins à liker et à suivre cette autre pièce qui est en effet au terme de la prochaine vidéo. Merci de m'avoir écouté et ce qui nous dit, certaines personnes considèrent que la cyber-sécurité est un réel besoin, bien que ça aille de sa vie.
Description
L'histoire des hackers de l'aube de l'humanité à nos jours.
Compte instagram @mamiecyber
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Mais pourquoi est-il aussi méchant ? C'est très certainement la question que vous posez quand on parle de hacker. La première chose à comprendre, c'est qu'un hacker n'est pas forcément un pirate informatique. Et un pirate, pas forcément un hacker. En tout cas, pas forcément au sens des hackers dont on va discuter dans cet épisode. Souvent, on utilise le terme hacker pour désigner un pirate informatique, mais c'est souvent un abus de langage. Même s'ils sont en quelque sorte cousins très proches, les hackers ne sont pas forcément des pirates informatiques. Mais commençons par un peu d'histoire. De quand d'être le premier ordinateur ? En fait, ça dépend de ce qu'on appelle un ordinateur. Un ordinateur est une machine automatique de traitement de l'information, obéissant à des programmes formés par des suites d'instructions arithmétiques et logiques. En d'autres termes, un ordinateur est une machine capable d'exécuter une suite d'instructions. Ça paraît très simple dit comme ça, mais c'est bien plus complexe qu'il n'y paraît, et encore aujourd'hui cette définition reste parfaitement exacte. D'autant plus que si on regarde de très près le fonctionnement d'un orniateur, on s'aperçoit assez vite que le processeur ne connaît finalement qu'un ensemble assez restreint d'instructions. C'est ce qu'on appelle le jeu d'instructions, l'ensemble des instructions que le processeur est capable d'exécuter. Cet ensemble, aussi minimaliste soit-il, est bien suffisant pour exécuter n'importe quel programme. C'est un peu comme les notes de musique. Prises séparément, chaque note n'a pas vraiment d'intérêt, alors qu'une fois associées, vous pouvez écrire toutes les musiques du monde. Un détail près cependant. Chaque partition de musique sera toujours la même. Vous pourrez peut-être la jouer sur un piano ou une guitare, peut-être plus rapidement ou plus lentement, mais le morceau de musique restera le même. Sauf fausse note bien entendu, mais il ne changera pas. En revanche, l'exécution d'un programme, lui, va changer en fonction des paramètres extérieurs. Imaginez un programme capable de faire l'addition de deux nombres. Le programme sera toujours le même, mais le résultat lui va changer en fonction des nombres que vous allez lui fournir. Et là vous touchez du doigt l'un des plus grands problèmes de l'informatique, qui est de s'assurer que le programme s'exécutera toujours correctement, quelles que soient les variables d'entrée. La réponse semble assez simple quand il s'agit d'un programme qui fait une addition. Mais qu'en est-il d'un programme qui traite de la division ? Que se passe-t-il en cas de division par zéro ? Pour ceux qui ont un peu oublié leur cours de maths, vous pouvez faire l'expérience en prenant n'importe quelle calculatrice et faire la division de n'importe quel chiffre par zéro. La calculatrice ne va pas trop aimer. Cet exemple est encore assez simple à traiter. Mais vous voyez bien que même dans un contexte minimaliste, c'est-à-dire un programme de quelques lignes, il est déjà possible de faire des erreurs. Le problème est d'autant plus difficile à résoudre que le programme sera compliqué. Plus il est complexe, plus la probabilité d'erreur est importante. Il faut se rappeler que ce sont des humains qui créent ces programmes. On dit souvent que l'ordinateur a fait une erreur, comme si l'ordinateur avait une certaine marge d'interprétation ou une capacité à avoir son propre libre arbitre. En réalité, il n'en est rien. L'ordinateur ne fait jamais d'erreur. Il ne fait qu'exécuter un programme qui, lui, a une erreur de conception. C'est communément ce qu'on appelle un bug, un insecte en anglais. Cette expression remonte aux années 50, à l'époque où les ordinateurs utilisaient des tubes électroniques, l'ancêtre des transistors en silicium. Ces tubes provoquaient de la chaleur. Cette chaleur attire les insectes qui parfois provoquaient des courts-circuits. Ce qui avait pour effet de faire planter le programme. L'expression il y a un bug, il y a une erreur vient de là. Dans certains cas, ces bugs permettent de faire faire à la machine autre chose de ce qui était prévu initialement. Les hackers vont justement chercher ces failles pour manipuler le comportement de l'ordinateur. C'est un peu comme crocheter une serrure, le mot crocheter se traduit en anglais par hook et crocheteur par hacker Un hacker est donc un crocheteur, c'est-à-dire quelqu'un qui cherche à détourner le comportement et à trouver un autre usage que celui qui était prévu. Ah oui, c'est cocasse. Mais cet usage n'est pas forcément malveillant, bien au contraire. C'est de cette proximité étymologique entre hacker et pirate qu'est née une certaine ambiguïté. Et c'est probablement la raison pour laquelle on confond allègrement les deux. Mais revenons à notre ordinateur et à son mode de fonctionnement. L'ordinateur exécute donc certaines instructions. C'est ce qu'on appelle le langage machine ou aussi l'assembleur. C'est le niveau le plus bas de programmation puisque ces instructions sont directement exécutables par le processeur. La grande force d'un ordinateur est qu'il est capable d'exécuter des millions d'instructions par seconde sans jamais se fatiguer ni même faire une erreur. Car l'erreur vient du programme et non de l'exécution du processeur lui-même. En général, les développeurs ne codent pas directement leurs programmes en assembleur, car c'est un langage de très bas niveau, très adapté aux contraintes de la machine, mais beaucoup moins à celle de l'humain. C'est la raison pour laquelle les langages de programmation sont apparus. Le but de ces langages est de traduire une demande formalisée dans un langage compréhensible par un humain, en une suite d'instructions compréhensible par la machine. On reparlera de l'influence des langages de programmation dans la cybersécurité dans un autre épisode de ce podcast. On peut donc conclure qu'un ordinateur est donc une machine programmable, capable d'exécuter des instructions dans le but d'obtenir des résultats qu'on espère être corrects. Et la première machine capable de relever cet exploit est celle de Charles Babbage, qui l'a conçue en 1834. L'objectif de Charles Babbage était avant tout de concevoir des tables nautiques, astronomiques et mathématiques exactes, car celles de son époque comportaient de nombreuses erreurs. Là encore, le facteur humain a beaucoup joué. Car sans ordinateur, c'est un travail manuel, fastidieux et très ennuyeux. C'est ce qui explique pourquoi les tables comprenaient de nombreuses erreurs. Malheureusement, certaines de ces erreurs ont eu de graves conséquences, ayant entraîné la mort de Marin, mal orienté par des données erronées. C'est un peu comme si votre GPS se trompait de route et vous envoyait directement dans le ravin, simplement parce qu'il y a des erreurs dans les données qu'il utilise. Charles Babbage créa donc le premier ordinateur totalement mécanique. Il enseigna ce fonctionnement à Ada Lovelace, qui fut la première programmeuse du monde. Elle réalisa d'ailleurs 448 exemples de programmes, et c'est en son hommage que l'armée américaine donnait son nom à un langage de programmation dans les années 80. On retrouve aussi son visage sur les hologrammes anti-contrefaçon de Microsoft. Bien plus tard, d'autres femmes marqueront aussi l'histoire de l'informatique, comme Edie Lamar, qui travaillait sur un système de transmission de données par étalement de spectres par saut de fréquence. C'est plus facile à dire qu'à expliquer, Mais cette invention a été reprise dans la norme du Wi-Fi. A noter qu'elle était aussi star d'Hollywood à son époque. On est bien loin de Nabila et de Kim Kardashian. On citera aussi Grace Hopper, qui a travaillé à la NASA dans les années 50, et encore bien d'autres qui ont toutes marqué l'histoire de l'informatique à leur manière. Parce qu'en plus de ne pas être un pirate, un hacker n'est pas forcément un homme. Alors essaye, j'en t'ai y arrangé une petite table, hein. C'est de nous faire un truc mignon. Revenons en 1837. Depuis la Révolution, la France dispose d'un réseau étendu de télégraphes optiques, les télégraphes CHAP. C'est un moyen de communication visuel permettant la transmission de messages sur des distances de plusieurs centaines de kilomètres en quelques heures. Ce système était exclusivement réservé à l'État. Le système permettait de transmettre un message sur de longues distances grâce à un relais de tours dispersé à travers le territoire. Le principe de fonctionnement était assez simple. Un opérateur utilise des signaux optiques pour transmettre un message à l'opérateur qui se trouve dans la tour suivante. celui-ci observe le précédent à l'aide d'une longue vue, et une fois le message reçu, le rend transmis à l'opérateur suivant, et ainsi de suite. C'est assez archaïque, pas forcément très fiable, car il est impossible de transmettre un message la nuit ou par temps brumeux. De plus, il y a souvent des erreurs dans la transmission, ce qui impose aux opérateurs d'avoir recours à des instructions pour corriger une transmission erronée. D'une certaine manière, c'est un peu l'ancêtre du réseau. Mais souvenez-vous des principes dont nous avons parlé lors du premier numéro. tout est vulnérable d'une certaine manière. Bien les frères Blancs en 1834 ont parfaitement compris ce principe et surtout l'usage détourné des instructions pour corriger un message. Si vous pouvez corriger un message, c'est que vous pouvez le modifier à un point A et le modifier à nouveau à un point B. Les frères jumeaux François et Louis Blanc spéculent régulièrement à la Bourse de Bordeaux. A l'époque, il fallait trois jours pour que tous les cours de la Bourse de Paris puissent descendre à Bordeaux. Bien évidemment, quiconque ayant l'information avant tout le monde pourra spéculer à coup sûr. C'est la raison pour laquelle les frères Blancs entreprennent de détourner le télégraphe optique. Ils ont élaboré un plan à l'aide de l'ancien directeur du télégraphe de Lyon, Pierre Renaud, qui les informe probablement de présences régulières d'erreurs dans les messages et surtout de la possibilité d'y glisser des messages cachés. Le détournement ne peut pas être effectué avant la station de Tours puisque les messages de Paris risquent d'être corrigés entre-temps. Les frères Blancs parviennent à corrompre le directeur de cette station, ainsi que son assistant, et lors de la phase de correction du message, ils introduisent un mot-clé qui se trouve ensuite retransmis en cascade d'une tour chape à l'autre, et ainsi de suite jusqu'à Bordeaux. Le détournement a fonctionné parfaitement pendant deux ans, malgré les suspicions croissantes sur les succès boursiers des frères Blancs. On peut donc considérer que les frères blancs sont les premiers pirates informatiques de l'histoire. C'est exactement la définition du hacker malveillant. Observer un système, comprendre ses failles et les utiliser à son profit. Cet état d'esprit, cette façon de penser existe très certainement depuis l'aube de l'humanité. Les frères blancs ne sont peut-être que le premier cas parfaitement renseigné. Certains jeunes américains étaient animés par les mêmes intentions dans les années 50, et l'un de leurs terrains de jeux préférés était le réseau téléphonique en général, et celui de Pacific Bell en particulier. En 1954, un jeune hacker du nom de John Draper découvre par hasard que s'il siffle avec le sifflet au fer dans les céréales Capitaine Crutch, s'il siffle dans un combiné de téléphones, le téléphone aura une drôle de réaction. Il découvre aussi que les centrales téléphoniques pensent que le téléphone est raccroché. En fait, le sifflet en question émet un son à une fréquence de 2600 Hz. Un combiné téléphonique émet ce signal sur cette fréquence pour indiquer que la ligne est raccrochée. Pour exploiter pleinement cette faille de sécurité, le hacker doit d'abord téléphoner à un numéro vert, c'est-à-dire un téléphone où la communication est gratuite, et ensuite siffler avec son sifflet Capitaine Crunch. Le central téléphonique va détecter le signal et conclure que l'appel est fini car le combiné est raccroché. En fait, il n'en est rien. Car c'est à ce moment-là que le hacker peut composer un autre numéro qui lui sera bien payant. Ma voisine, s'il vous plaît, j'aurais le vote de Arellien. C'est ce fameux hack qui donna à John Rapper le surnom de Capitaine Crunch, et aussi le droit à quelques mois de prison. Il avouera bien des années plus tard que la découverte du signal 2600 Hz était en fait celle d'un autre hacker, Joe Ingresia, qui lui aussi cherchait à pirater les réseaux téléphoniques. Mais la légende était faite, d'une part John Draper alias Capitan Crunch fut le premier fricœur, les fricœurs étant les pirates du téléphone, et 2600 Hz est devenu la fréquence qui symbolise le mieux les fricœurs. C'est encore aujourd'hui un symbole fort de la cyberculture. Et ce hack a été repris par deux illustres inconnus de cette époque, Steve Jobs et Steve Wozniak, qui vendèrent un dispositif appelé la Blue Box, permettant de pirater le réseau téléphonique à l'aide de cette fameuse fréquence de 2600 Hz. A cette époque, le réseau téléphonique était le terrain de jeu favori pour les hackers. Car le plus grand terrain de jeu du monde, Internet, n'en était encore qu'à ses débuts. Arpanet, l'ancêtre d'Internet, ne relie encore que 4 universités. On était donc encore bien loin de l'essor d'Internet tel qu'on le connaît aujourd'hui. Cette fameuse fréquence de 2600 Hz est tellement cultissime qu'un magazine porte son nom. C'est un magazine trimastriel créé en 1984 par Eric Gordon Corley, alias... Emmanuel Goldstein. Initialement dédié au freaking, le piratage du réseau téléphonique, il est devenu par la suite plus généraliste et traite maintenant d'un grand nombre de sujets liés au hacking et à la cyberculture. Vous noterez le clin d'œil appuyé à l'œuvre de George Orwell, 1984, ce fameux roman dystopique, dont l'un des personnages centrales est Emmanuel Goldstein. En 1983, un autre hacker américain, Kevin Paulson, alias Darkdent, pénètre le réseau Harpanet, encore lui, à l'âge de 17 ans. Entre l'époque du Capitaine Crunch et celle de Darkdent, le réseau s'était fortement étendu, mais encore fermé au public. Ce n'est qu'en 1989 que le CERN ouvrit ses premières connexions externes en Europe. Ce qui coïncide avec la création en Europe du RIPE, Réseau d'Adresses Européens. Pour résumer, c'est le régulateur européen des adresses IP. c'est-à-dire des points d'entrée sur le réseau. En 1989, il se fait arrêter par le FBI, car on découvre qu'il possède une quantité impressionnante de matériel de piratage du réseau téléphonique, dont les victimes principales sont, devinez qui, Pacific Bell. Mais il s'enfuit avant sa comparaison devant le juge, et part en cavale pour une durée de 17 mois, période pendant laquelle il se permet de hacker un grand jeu organisé par la station KISFM de Los Angeles. Le jeu avait un principe assez simple. La personne qui était la 102ème à appeler la station gagne une Porsche. C'est Kevin qui a gagné cette voiture après avoir hacké le système téléphonique. Paulson sera arrêté grâce à l'émission de télévision Unsolved Mystery. Quand l'émission a traité de l'affaire Paulson, les lignes téléphoniques du numéro vert de l'émission sont tombées mystérieusement en panne, rendant les éventuels téléspectateurs ayant des informations dans l'impossibilité de contacter la chaîne. Mais quelqu'un informait les agents d'investigation de Pacific Bell ? que Paulson faisait ses courses dans un supermarché de la banlieue de Los Angeles. À la boulette ! Il sera arrêté par la FBI en avril 1991. Il plaida coupable et écopa de 4 ans de prison et dut payer 56 000 dollars de dédommagement à la compagnie Pacific Bell. Cette affaire était sans emblématique car c'est la première fois qu'on traite un piratage au même titre qu'un autre délit. Par la suite, d'autres affaires ont été traitées avec la même sévérité. On citera par exemple le cas du verre Maurice. Le 2 novembre 1988, Robert Tappan-Maurice, âgé de 23 ans, décide de tester son verre et de mettre en action son malware directement sur Internet. Résultat, 6000 machines hors d'usage. Sachant qu'à l'époque, il n'y avait que 60 000 machines connectées sur Internet, Ça donne un ratio de 10%. Aujourd'hui, on estime qu'il y a 20 milliards de machines connectées sur le net. Ce joli score a valu à son auteur 400 heures de travail d'intérêt général, 10 000 dollars d'amende, et disons-le franchement, une certaine notoriété. En 1995, Kevin Mitnick, dit le Condor, sera condamné à 50 prisons pour avoir, entre autres, piraté la base de données des clients de... devinez qui ? Et oui, c'est encore eux, Pacific Bell. C'est la première fois qu'un hacker était sur la liste du FBI des 10 criminels les plus dangereux. Bien qu'il soit auteur de Hack technique Kevin Mitnick excelle dans l'art de la supercherie. C'est ce qu'on appelle dans le jargon de la cyber, l'ingénierie sociale. Si vous voulez avoir un exemple bien concret de technique de manipulation, vous pouvez aller sur YouTube et faire une recherche sur Social Engineering Baby Cry L'exemple parle de lui-même. Outre le début des condamnations pour piratage informatique, les années 90 marquent aussi la naissance de groupes d'hackers ayant le désir de structurer leurs actions dans le but de changer le monde. Rien que ça. Le plus emblématique de ces groupes est certainement celui des Cypherpunks, nés en 1992. Ses trois fondateurs sont Eric Hugues, Timothy May et John Gilmore. Ils décidèrent de se réunir une fois par mois, non pas pour discuter de comment hacker Pacific Bell, mais d'imaginer le monde de demain. Ils commençèrent à diffuser des messages au travers de mailing lists. Ces messages traitaient d'un nombre de sujets très large, techniques parfois, mais aussi politiques, sociétales et même mathématiques. Les sujets récurrents de ce groupe de travail étaient principalement sur la protection de la vie privée. la surveillance du gouvernement et la centralisation des contrôles. Les nombreux travaux sur ces thèmes, et plus particulièrement sur la cryptographie, donnaient lieu au manifeste des cypherpunks, mais aussi à celui des hackers que je vais vous lire. Règle numéro 1. L'accès aux ordinateurs, ainsi que tout ce qui peut vous apprendre quelque chose sur le fonctionnement du monde, doit être illimité et total. Règle numéro 2. Toute information devrait être libre. Règle numéro 3, se méfier de l'autorité, encourager la décentralisation. Règle numéro 4, les hackers devraient être jugés par leurs actes, et non seulement les faux critères comme l'appartenance, l'âge, la race, le genre ou le rang social. Règle numéro 5, on peut créer l'art et le beau à l'aide d'un orniateur. Règle numéro 6, les orniateurs peuvent changer votre vie pour le meilleur. Règle numéro 7, ne fouillez pas dans les données d'autres personnes, utilisez les données publiques et protégez les données privées. C'est presque une forme de tétrafarmacum moderne, sauf qu'au lieu d'avoir 4 règles, il y en a 7. Et en toute logique, cela vous permettrait d'atteindre une sorte d'ataraxie numérique. C'est pas faux ! Pour bien comprendre l'importance de ces manifestes, il faut d'abord se remettre dans le contexte. Nous sommes dans les années 90 et en France, on avait à peine le Minitel. Les hackers en général et les cypherpunks en particulier ont compris trois choses très importantes. La première est qu'Internet va révolutionner le monde dans les 30 prochaines années. Ils ont parfaitement compris la révolution technologique qui s'énonçait. La seconde... c'est que cette expansion risque d'être anarchique à bien des égards et particulièrement pour la protection de la vie privée et des données personnelles. La troisième, c'est que cette révolution est à la fois une opportunité unique de liberté pour chacun d'entre nous, mais aussi un outil fantastique pour le contrôle et la manipulation de masse. Les cypherpunks se méfient des gouvernements et des systèmes financiers et veulent mettre en place un moyen d'échange décentralisé. En fait, les cypherpunks avaient prédit tous les grands thèmes de cybersécurité d'aujourd'hui. La protection des données privées, le droit à l'anonymat, mais aussi les moyens pour se prémunir de tentatives d'intrusion ou de contrôle des États. Ils avaient aussi défini les bases de ce qui deviendra bien plus tard les crypto-monnaies. On pense même que Satoshi Nakamoto, l'obscur inventeur des bitcoins, est en fait l'un des membres des cypherpunks. Par ce manifeste, les hackers tentent de rééquilibrer la désymétrie qui existe entre l'État et le peuple. L'État possède plus de moyens et de connaissances que le peuple, et qui lui donne un avantage décisif, sauf si le peuple se met à utiliser massivement des outils de cryptographie. Un épisode de ce podcast sera consacré à la cryptographie, et je ne vais pas détailler ici et maintenant le pourquoi du comment. Mais sachez que la cryptographie est un moyen structurel de protection car elle utilise des lois mathématiques immuables. Et ces lois, comme celles de la physique et contrairement à celles des hommes, sont les mêmes pour tout le monde dans l'univers. Toute proportion gardée, le manifeste des cypherpunks a eu un impact sociétal identique que la lettre à Kenstein adressa au président Roosevelt. Cette fameuse lettre lui expliquant qu'il était théoriquement possible de créer la bombe atomique. Cette lettre n'avait pas pour vocation d'initier le projet Manhattan, le projet de construction de la bombe atomique, mais de prendre en compte cette éventualité. Les cypherpunks sont dans le même état d'esprit. Ils ne veulent pas créer de l'anonymat pour permettre à des réseaux pédocriminels de se protéger, ou à des réseaux mafieux d'utiliser des bitcoins pour faciliter l'achat de drogue, et encore moins de permettre à des dictatures de contrôler son peuple et d'éliminer ses opposants. A l'instar du nucléaire, qui permet un usage pacifique, Il y a aussi le revers de la médaille qui l'est beaucoup moins. C'est l'un des dilemmes de la cybersécurité. Contrôler, et dans quel but ? Protéger ses données, mais contre qui ? Ce dilemme est aussi au cœur des activités de Julian Assange à travers Wikileaks. Mais ça, c'est un autre sujet. Certains hackers étaient tellement persuadés que l'État leur cachait des choses qu'ils décidèrent de pirater certaines des institutions étatiques. C'est le cas de Gary McKinnon, surnommé Solo, qui a piraté la NASA, le Pentagone, l'armée de... terre, la marine et encore bien d'autres administrations américaines. Il a causé 800 000 dollars de dégâts et tout ça pour en savoir plus sur les petits hommes verts. En réalité il était persuadé que la NASA et l'armée américaine cachait l'existence d'extraterrestres et le but de sa hack était de trouver des informations compromettantes capables de démontrer l'existence réelle des extraterrestres. D'autres hackers avaient des intentions clairement vénales. C'est le cas d'Albert Gonzalez qui entre 2005 et 2007 a volé 170 millions de numéros de cartes de crédit. Il a été condamné en 2006 et sortira en 2025. En 2003, le forum 4chan vit la naissance d'un groupe de discussion anonyme, où tout le monde était anonyme. Ce groupe de discussion donna naissance quelques années plus tard au groupe de hackers Anonymous. C'est le journaliste Chris Landley qui a probablement écrit la meilleure définition de ce que sont les Anonymous. Il est défini comme cela. C'est la première super-conscience construite à l'aide de l'internet. Anonymous est un groupe semblable à une volée d'oiseaux. Comment savez-vous que c'est un groupe ? Tout simplement parce qu'ils veulent tous dans la même direction. A tout moment, les oiseaux peuvent rejoindre ou quitter le groupe ou aller dans une direction totalement contraire à ce dernier. Effectivement, ce groupe a pour particularité de ne pas avoir de chef ou de leader. Chacun peut faire partie du groupe avec ou sans connaissance en matière de cybersécurité. D'ailleurs, la plupart de ces membres sont loin d'être les pirates chevronnés qu'on pourrait imaginer. Leur force réside plutôt dans le nombre et dans leur capacité à diffuser et communiquer des moyens simples de cyberguerrilla. On citera entre autres comme fait d'arme l'opération Chénologie en 2008, cette opération ayant pour but de déstabiliser l'église de Scientologie. En 2011, l'opération Tunisie vise à soutenir les internautes tunisiens lors du printemps arabe. En 2012, c'est Arseneur Mittal qui a fait les frais des attaques du groupe. Bien d'autres opérations auront lieu lors des années suivantes. A noter que beaucoup de ces opérations ne requièrent pas de connaissances techniques, mais l'une des forces de ce groupe est de pouvoir s'organiser et d'agir dans le même sens, dans le but de perturber le fonctionnement des institutions attaquées. Il faut avouer que la méthode est assez efficace. C'est un peu la version moderne des manifestations où l'on va faire brûler des pneus et des palettes devant les portes de l'usine. les mergazans moins. D'autres groupes de hackers ont émergé à travers le monde comme le Chaos Computing Club qui existe depuis 1981. Ce groupe berlinois est très influent surtout en Europe. Il organise très régulièrement des congrès dédiés à la cybersécurité. Congrès qui devinrent de plus en plus populaire avec le temps. Quelques centaines de participants à leurs débuts et aujourd'hui ils refusent du monde. En 2021 ce groupe a été mandaté par l'état allemand pour valider l'application de lutte contre le Covid. l'équivalent de tous anti-covid en France. Le but était de garantir la protection des données personnelles. Un groupe de hackers qui collabore avec un état, peut-il y voir la fin d'une époque ? En fait, le monde des hackers s'est simplement polarisé depuis les années 90. On peut désormais partager le monde des hackers en quatre catégories. Les chercheurs en cybersécurité, ou White Hat, c'est la catégorie des hackers dont font partie le Chaos Computing Club, les lanceurs d'alerte ou les cypherpunks. Ces groupes cherchent à améliorer le monde dans lequel nous vivons, pour le rendre plus libre, plus sûr, et cherchent à protéger la neutralité d'Internet. Ces groupes sont des contre-pouvoirs importants à quiconque souhaiterait utiliser la technologie pour contrôler les peuples. L'invention de l'imprimerie a donné l'opportunité à tous de lire. L'Internet nous a donné la possibilité d'écrire à tous, ce qui rend possible bien des choses. Bonne ou mauvaise ? Les mafieux. Ce sont souvent des groupes éphémères qui ne durent que quelques années, dont le seul but est de faire de l'argent. A noter qu'à gain égal, les peines et amendes encourues en cas de cyberdélinquance sont bien moindres que celles encourues pour trafic de drogue ou traite des blanches. Je parle bien ici de cyberdélinquance, car en France, les cyberattaques sont des délits et non des crimes. Il n'y a donc pas de cybercriminels, mais des cyberdélinquants. Ils s'insèrent généralement dans un écosystème qui lui est bien structuré. Des groupes sont responsables d'évaluer leur ratio de faussabilité. En d'autres termes, ils essaient d'évaluer la cible. Une grande entreprise, par exemple, si elle a des lacunes en matière de cybersécurité et qu'en plus l'entreprise fait un bénéfice confortable, il y a phare à parier qu'elle sera attaquée en priorité. D'autres groupes ont pour vocation de faciliter le travail de blanchiment d'argent, et d'autres de donner des évaluations sur les services des uns et des autres, à l'instar de TripAdvisor pour les hôtels. Vous pouvez aussi acheter leur service à la demande. Si vous souhaitez mener votre propre attaque avec votre propre malware, vous pouvez trouver des groupes capables de vous fournir cela. On trouvera aussi dans cette même catégorie des hackers moins structurés et moins professionnels. C'est un peu comme dans la vie réelle, vous avez des patrons de cartel avec des gangs organisés et des voleurs à la tire. Les mercenaires. Vous avez peut-être entendu parler de Pegasus. Pegasus est un logiciel espion édité par la société israélienne NSO Group. Ce logiciel permet la surveillance d'un téléphone portable d'une personne juste en lui envoyant un SMS. Ce système a été vendu pendant de nombreuses années à des États, dont certains européens, et d'autres peut-être moins démocratiques puisque plusieurs personnes de l'entourage de Jamal Khashoggi ont été visées par ce système de surveillance. Vous êtes bien sympathique, mais épargnez-moi vos analyses politiques. Vous savez tout simplement ce que c'est qu'une dictature. Une dictature, c'est quand les gens sont communistes. Déjà, ils en croient avec des chapeaux gris et des chaussures à fermeture éclair. C'est ça, une dictature, Dolorès. On peut aussi citer Anchrochat, un système de communication néerlandais massivement utilisé par le trafiquant de drogue. Mais la France n'est pas en reste avec la société Amésis, maintenant connue sous le nom de Nexa Technologies et son logiciel de surveillance global Eagle, maintenant connue sous le nom Cerebro. On peut se poser des questions quant à la moralité de ces outils. Quels usages va-t-on en faire ? Est-ce qu'il va être utilisé pour détecter une tentative d'attentat ou éliminer un opposant politique ? C'est un peu comme la vente d'armes, ce n'est pas forcément moral, mais c'est légal. Il y a d'ailleurs un accord qui couvre ce type de vente, c'est l'arrangement de VASMAR. Bien que cet arrangement ait été transposé dans le droit français, on peut légitimement se poser la question du bien fondé de ce genre d'outils au regard des droits de l'homme. Mais l'argument qui est souvent mis en avant, c'est que d'une part, si ce n'est pas une entreprise française qui va vendre ce genre de technologies, ce sera peut-être une autre nation comme la Chine ou la Russie. Et d'autre part, si l'État donne son accord sur ce type de transactions, c'est servir son pays que de vendre ce type de logiciels. Je vous laisse juge de l'argumentation. Et justement, dernière catégorie, les États. Les États ont depuis longtemps investi le terrain de la cyberdéfense, mais aussi celui de la cyberattaque, d'une part d'un point de vue militaire. C'est un peu comme à la fin de la Seconde Guerre mondiale, où les premiers ballons et avions étaient capables de faire du repérage sur les lignes ennemies. À cette époque, les avions n'étaient pas très performants, mais avec l'évolution des technologies, cela créa un nouveau domaine d'action, raison pour laquelle l'armée se dota de l'armée de l'air. il en va de mame pour le domaine cyber on peut prendre par exemple le verre stuxnet il tait extrêmement sophistiqu et nécessit des moyens que seul un etat pouvait s'offrir au del de sa complexit ce verre avait la capacit de neutraliser des centrifuges utilis s pour enrichir l'uranium Ce sont les centrifugeuses iraniennes qui en ont été victimes, et l'attaque était si bien faite que Stuxnet a continué à envoyer de fausses informations aux consoles de surveillance pour faire croire aux opérateurs que tout allait parfaitement bien, alors qu'en réalité les équipements étaient détruits depuis bien longtemps. D'autres attaques, comme celle ayant pour but la surveillance d'entreprises stratégiques, a duré pendant plusieurs années, voire des dizaines d'années. Seul un État est capable de tenir aussi longtemps. Il y a aussi la mise en œuvre des cyberarmées ayant pour vocation la défense mais aussi l'attaque. Contrairement à la guerre physique, où l'on peut clairement identifier la fabrication et l'origine du matériel militaire, les cyberattaques peuvent être analysées et réutilisées contre d'autres, ce qui rend l'attribution des attaques extrêmement délicate. Puisqu'il est très difficile de savoir si vous êtes la victime initiale ou si l'attaque a été rejouée contre vous. Un hacker est comme un gamin de 7 ans qui découvre qu'avec un tournevis, il est capable de tout démonter pour comprendre comment les choses fonctionnent. Tout le problème réside dans l'exploitation de ses connaissances. Est-ce qu'il va les utiliser pour améliorer les choses, rendre le monde plus sûr, ou au contraire en tirer profit ? Au-delà de cette dualité, les malveillants ne sont pas toujours ceux auxquels on pose en premier. Le suite à capuche n'est pas plus un signe de malveillance que le costume cravate, un signe d'honnêteté. La réalité est bien plus complexe que ça, car derrière ce terme, à cœur, se cachent des enjeux sociétaux bien plus globaux. Si on parle du coût de la cybersécurité, c'est 6 milliards de dollars par an. La cybercriminalité est 5 fois plus rentable que tous les crimes transnationaux combinés. 83% des petites et moyennes entreprises n'ont pas encore adopté un plan d'évaluation et d'atténuation des risques cybersécurité, ce qui laisse une manne considérable de victimes potentielles. Les hackers peuvent vous protéger car ils vous garantiront de manière indépendante que l'application qui est dans votre poche ne vous esplanera pas. Ou au contraire, ils fourniront à l'État les moyens de surveiller tout un peuple. Ils peuvent gagner leur vie en découvrant des failles de sécurité et demander aux éditeurs de logiciels de les corriger, ou les revendre au marché noir pour des sommes considérables. On est bien loin de l'époque un peu romanesque où on cherchait simplement à passer un coup de fil gratuit, ou celle où on craquait le système de la NASA pour voir s'il ne cachait pas quelque chose concernant les petits hommes verts. La cybersécurité est devenue un enjeu majeur pour nos sociétés, et donc un business comme un autre, au même titre que la défense ou la santé. Et c'est peut-être la raison pour laquelle aujourd'hui, il est devenu aussi méchant. Pour réaliser ce numéro, je me suis inspiré du rapport annuel de cybersécurité de PWC, ceux de Varonis et bien d'autres fournisseurs de systèmes de protection. Je me suis inspiré encore une fois d'un épisode de No Limits Sécu, celui intitulé Cyberpirate Corsair Mercenaise, de Christophe Renard, du livre de Julian Assange, SaferPeng. Et surtout un grand merci à Pacific Bell qui a fourni pendant tant d'années un terrain de jeu au cœur de tout genre.
- Speaker #1
N'hésitez pas à poser vos questions dans les commentaires, n'hésitez encore moins à liker et à suivre cette autre pièce qui est en effet au terme de la prochaine vidéo. Merci de m'avoir écouté et ce qui nous dit, certaines personnes considèrent que la cyber-sécurité est un réel besoin, bien que ça aille de sa vie.
Share
Embed
You may also like