Pour continuer un peu sur la lignée du post sur les hackers je vais aujourd’hui vous parler du phishing (ou hameçonnage).
Tout d’abord une définition s’impose: Pour faire simple le pishing c’est une technique qui a été longtemps utilisée par les hackers/crackers afin d’obtenir des informations leur permettant de s’introduire dans votre réseau ou encore d’usurper votre identité. La technique est très simple et peut très facilement passer inaperçue. Comment est-ce possible? Eh bien la personne va faire croire à sa victime qu’elle est une personne de confiance et à la suite de diverses questions et affirmations elle va réussir à soutirer à sa victime sa date de naissance, son mot de passe ou encore son numéro de carte de crédit…
Certaines personnes l’auront compris cette technique est tiré tout droit du social engineering dont Kevin Mitnick a parlé dans son livre “L’art de la supercherie”. L’ingénierie sociale, en français, c’est donc le fait d’user de la naïveté ou de l’ignorance de certaines personnes afin d’obtenir des informations généralement personnelles.

Le phishing est principalement utilisé pour voler de l’argent. On peut voir beaucoup d’arnaques de ce type sur des sites comme ebay ou paypal, des courriers électroniques sont alors envoyés aux utilisateurs afin de les informer d’un problème ou pour leur demander des informations afin de vérifier les comptes ou mettre à jour la base de données. Les messages ayant l’air sérieux et venant d’une société à laquelle on fait confiance l’utilisateur va se laisser avoir et croit au problème présenté, dès lors le mot de passe est trop souvent confié et le fraudeur a alors accès à ce qu’il voulait sans que personne ne s’en aperçoive.

Typiquement, les messages ainsi envoyés semblent émaner d’une société digne de confiance et sont formulés de manière à ne pas alarmer le destinataire afin qu’il effectue une action en conséquence. Comme je le disais précédemment, l’approche la plus souvent utilisée est d’indiquer à la victime que son compte a été désactivé à cause d’un problème et que la réactivation ne sera possible qu’en cas d’action de sa part. Dans le message présenté à l’utilisateur, on peut trouver un lien qui dirige celui-ci vers une page web qui ressemble comme deux gouttes d’eau au vrai site de la société censée être à l’origine du message. Si l’utilisateur arrive sur cette page, il sera alors invité à saisir ses informations confidentielles qui seront alors enregistrées par le criminel.

Pour se protéger de ces attaques: il existe plusieurs astuces qui devraient être utilisées pour beaucoup d’autres liens afin de ne jamais atterrir à un endroit où on ne voudrait pas.

- La vérification de l’adresse peut être effectuée dans la barre d’adresse du navigateur ou en bas de celui-ci lorsque l’on pointe un lien. Pour ma part je vérifie quasiment tout le temps de cette façon. Cela dit cette vérification n’est pas forcément la plus sure car l’adresse peut être une fausse ou une redirection. Pour palier à cela on pourra alors regarder les propriétés de la page à l’aide du navigateur afin de voir la vraie adresse.

- Si vous êtes contacté pour une vérification de compte ou un quelconque problème, chercher à régler le problème directement avec la société ou alors rendez-vous sur le site afin de trouver le soi-disant problème. Il est très important de se souvenir que les sociétés, comme les banques par exemple, n’utilisent jamais le courrie électronique pour corriger des problèmes de sécurité.

- Soyez vigilant lorsque vous rencontrez une adresse contenant le symbole ” @ “, par exemple http://www.mabanque.com@members.unsite.com/. Ce type d’adresse essaie de connecter l’internaute en tant qu’utilisateur “www.mabanque.com” sur le serveur “members.unsite.com”. Cette méthode affiche un début d’adresse innocent.
De même, on peut trouver des adresses de sites contenant une faute de frappe, ou alors des sous-domaines, par exemple http://www.mabanque.com.unsite.net/ ou http://www.mabanqeue.com/.

Les navigateurs récents possèdent un système qui permet d’avertir les utilisateurs de site douteux et qui demande donc si l’on veut vraiment se connecter à de telles adresses. De même les filtres anti-spam aident à protéger les utilisateurs contre certains mails contenant des liens pouvant être liés au phishing.

Depuis 2007, une autre attaque est apparue, sous le nom de “man in the middle” ou “attaque de l’homme du milieu”, cette attaque repose en fait sur un principe un peu plus difficile puisque la personne scrupuleuse se trouvera alors en train d’espionner des conversations. De ce fait elle interceptera des messages, pourra les lire voire même les modifier entre le moments où les messages partent de la personne A et le moment où ils arrivent à la personne B. Ici encore, l’attaque se fait sans que personne ne s’en aperçoive.

Rappelez vous, dans mon article sur les hackers éthiques je vous parlais de Gary McKinnon qui a effectué la “plus grande attaque informatique contre des sites militaires de tous les temps” en déjouant la sécurité des ordinateurs de la Nasa autour de 2001.
Eh bien ce monsieur risque une condamnation de 60 ans de prison!! En effet McKinnon reconnait les faits et a avoué avoir utilisé un programme su nom de “RemotelyAnywhere”. Ce qui lui a permis de pirater des PC durant la nuit, alors que les employés étaient absents. Malheureusement pour lui il a été repéré car il s’est trompé dans la différence d’heures entre les Etats Unis et la Grande Bretagne, un employé avait alors remarqué que son PC se comportait bizarrement. Pour sa défence Gary McKinnon maintient que son intrusion dans les machines américaines était pour trouver des preuves que le gouvernement américain sait des choses sur les soucoupes volantes, et qu’il n’a jamais causé aucun tort par ses visites. Les autorités américaines ne sont pas du tout du même avis, au contraire d’après elles ses intrusions ont perturbé les réseaux des militaires qui étaient stratégiques après les attaques terroristes du 11 septembre 2001. Elles chiffrent à 700 000 $ les dommages causés par Gary McKinnon.

[Via Reseaux-Telecoms.net]

Beaucoup de personnes se font une mauvaise image du hacker en général car pendant longtemps le hacking a été considéré comme une pratique illégale utilisée pour accomplir de mauvaise actions.
On se souviendra tous de Kévin Mitnick qui a été jusqu’à prendre le contrôle du réseau téléphonique de Californie afin de mettre sur écoute les agents fédéraux qui devaient le capturer, ou encore Gary Mckinnon qui a effectué la “plus grande attaque informatique contre des sites militaires de tous les temps” . Mckinnon a été accusé d’avoir pénétré dans pas moins de 97 ordinateurs américains (NASA, Navy, armée de l’air, ministère de la défense et Pentagone). et d’après les autorités aurait causé plus de 700 000 $ de dommages et rendu inopérable le système informatique d’une base navale armée au mauvais moment: pendant les attentats du 11 septembre 2001.

Par définition, un hacker est un spécialiste disposant d’un savoir-faire exceptionnel dans la maitrise de la sécurité informatique et donc des moyens de déjouer cette sécurité. Certains d’entre eux utilisent ce savoir faire dans un cadre légal et d’autres sont hors-la-loi.
Parmi toutes les différenciations qu’on peut trouver, on retient principalement deux catégories: les “white hats” (chapeaux blancs) et les “black hats” (chapeaux noirs).

Ici je m’intéresse plus particulièrement aux “white hats” puisque les hackers éthiques sont des “white hats” :
Ils œuvrent en vue d’effectuer de bonnes actions. Cela dit, certains “black hats” ayant des passés allant jusqu’à l’ennemi public se sont finalement reconvertis afin d’œuvrer pour le bien comme par exemple Kevin Mitnick qui est depuis devenu consultant en sécurité informatique.
Les “white hats”, tout comme les “black hats”, maitrisent les mécanismes de sécurité informatique et arrivent à découvrir des vulnérabilités qui n’avaient encore jamais été exploitées (dans le jargon informatique on appelle ces failles les “0 days” ou “zéro jours d’utilisation”). Jusque là les hackers sont tous similaires mais vient alors le choix de rendre publique ou non ces découvertes. A ce moment, les “white hats” veulent la “full-disclosure” c’est-à-dire la divulgation totale de la vulnérabilité afin que n’importe qui soit au courant de son existence et que les développeurs puissent travailler à des améliorations en vue de corriger les failles. Les “black hats” quant à eux voudraient plutôt garder ces informations pour eux et s’en servir. Les hackers éthiques fonctionnent comme tous les hackers, ils tentent de s’introduire dans des systèmes et de trouver par exemple des informations censées rester introuvables et avertissent les propriétaires afin que ceux-ci mettent en place un moyen de protéger leur système.

Depuis déjà longtemps certains grands hackers avaient été recrutés par les services de l’Etat, d’autres se sont reconvertis. Les pirates intéressent souvent les firmes spécialisées dans la sécurité.
Désormais, des métiers ont fait leur apparition, en naviguant sur le site de l’Onisep je suis tombé sur une fiche concernant le métier “expert en sécurité informatique”. Des écoles ont même ouvert leurs portes avec des formations spécialisées autour du hacking : l’université écossaise de Aberday apprend à ses étudiants toutes les techniques connues de hacking et d’intrusion dans un système. Des sociétés cherchent aussi à recruter des hackers afin d’améliorer la sécurité de leurs parcs informatiques comme la société genevoise Ilion Sécurité.

Pour conclure on peut dire que les hackers éthiques sont des agents de sécurité de l’informatique, des cyber-détectives en quête de la moindre faille et de plus en plus de sociétés font appel à leurs services afin de contrer les hackers mal intentionnés et surtout s’en protéger.

La question que je me pose aujourd’hui, après en avoir parlé avec quelques personnes, est-ce que hacker peut devenir un vrai métier? Et dans le cas présent où il semblerait qu’être expert en sécurité informatique devient un métier, sera-t-il aussi concluant de former des étudiant au hacking que prendre des hackers célèbres et très doués qui n’ont pas fait ces études?

Charlie Miller, dont je vous avais parlé ici lorsqu’il a trouvé la faille sur le Macbook Air, a fait une déclaration intéressante. En effet, il a expliqué qu’il est plus rentable de vendre une faille 0 day visant Windows Vista que Mac.

Le concours remettait un chèque de 10000$ et le portable hacké à celui qui trouvait en premier. Selon Charlie Miller, une faille pour Vista vaut beaucoup plus chèr que ce qui était offert.

Pour l’information: une faille “0 day” est une faille qui n’a pas encore été exploitée, elle a zéro jours d’existance.

Comme je l’ai dit dans le précédent article, le Mac a été le premier à être hacké. Eh bien, Shane Macaulay a exploité une faille de la dernière version de Flash pour hacker le Fujitsu U810 sous Windows Vista.
Hier, les hackers avaient le droit d’installer n’importe quelle application sur les ordinateurs du moment qu’elles étaient jugées populaires par les responsables du concours.

Shane Macaulay est dont reparti avec le PC et un chèque de 5000$.

Le VAIO tournant sous Ubuntu 7.10 tient toujours le coup.

Souvenez vous je vous parlais ici de la conférence CanSecWest qui réunit des experts en sécurité informatique.

La conférence CanSecWest a débuté il y a deux jours avec trois ordinateurs sous Linux, Windows et Mac OS X.

Le premier jour, les hackers n’avaient pas le droit d’accéder physiquement aux ordinateurs. Depuis hier, ils pouvaient y accéder en utilisant seulement les logiciels livrés en standard avec le système.

Là, il n’a même pas fallu deux minutes à Charlie Miller pour mettre en défaut le MacBook Air. Il a, semble-t-il, exploité une faille de Safari. Il a pu obtenir le contrôle total de l’ordinateur en se rendant sur un site web malicieux. Il n’y a pas encore beaucoup de détail car le concours prévoit que le gagnant ne peut pas s’exprimer clairement sur le sujet tant qu’Apple n’a pas été prévenu de la faille et tant que celle-ci n’a pas été corrigée.

Charlie Miller n’est pas inconnu tout de même, y compris chez Apple puisqu’il fut l’un des premiers à réussir à hacker l’iPhone l’année dernière. En utilisant un procédé du même genre, il avait trouvé un moyen permettant de récupérer à l’insu de l’utilisateur un nombre important d’informations (SMS, Carnet d’adresses…).

Désormais, le Mac est hors jeu mais les PC sur Linux et sous Windows Vista sont toujours en marche.

Chaque année la conférence CanSecWest qui se tient à Vancouver au Canada, réunit de nombreux experts venus échanger autour de leur sujet de prédilection : la sécurité informatique. Cette année, cette conférence a reçu le soutien de Microsoft, Google et Cisco. Comme à chaque fois, il n’y a pas de doutes qu’à l’issue de cette réunion d’expert de nombreuses failles seront dévoilées.

Ainsi, du 26 au 28 mars, trois machines équipées de trois OS bénéficiant des toutes dernières mises à jour de sécurité vont être mises à l’épreuve. En effet des hackers vont faire des attaques à distance et des tentatives de pénétration

Trois portables seront disposés côte à côte pour leur mise à l’épreuve:

* Fujitsu U810 fonctionnant sous Windows Vista Ultimate SP1
* MacBook Air d’Apple avec Mac OS X 10.5.2 Leopard
* VAIO VGN-TZ37CN intégrant la distribution Linux Ubuntu 7.10

Chaque hacker disposera de 30 minutes seulement pour trouver une vulnérabilité et devra se servir d’une vulnérabilité différente par machine, il ne pourra utiliser la même vulnérabilité qu’une seule fois.

Le premier à réussir l’épreuve recevra 25000 dollars de prix.