14 mars 2018

Hackers contre hackers

Le piratage du côté des gentils. Alors que s’apprête à démarrer la 11e édition d’Insomni’hack, la manifestation romande accueillant la fine fleur de la sécurité informatique, une visite chez SCRT, entreprise spécialisée et organisatrice de l’événement, s’impose.

Votre compte bancaire, les ordinateurs du Ministère de la défense en Allemagne, l’élection de Trump en 2016, ce faux lien que vous avez été invité(e) à cliquer… Hacker, cyberattaque, pishing, piratage des réseaux: entre ordinateurs et smartphones, le numérique est partout et la sécurité informatique est devenue un enjeu majeur au milieu d’une cyberguerre forcément sans frontières.

Données privées, sites sensibles d’entreprises ou de gouvernements, cartes de crédit, mots de passe: si le vol de données alimente films et gazettes, sa contrepartie légale reste, elle, bien moins connue du grand public.

Le hacking peut pourtant également être éthique. Et déjouer les protections d’un système informatique non pas à des fins criminelles, mais pour l’améliorer et le rendre plus sûr, donc moins perméable aux tentatives frauduleuses des pirates informatiques. Comme des détectives privés face aux voleurs. Mais ces Philip Marlowe contemporains n’arborent plus une allure stéréotypée.

Autant dire qu’on chercherait en vain une Lisbeth Salander (la célèbre hackeuse fictive des romans Millenium) chez SCRT (lien en anglais). Installée à Préverenges (VD) depuis bientôt seize ans, cette entreprise spécialisée dans la sécurité informatique s’apprête à organiser la 11e édition de la manifestation Insomni’hack, qui constitue le pendant romand de nombreux autres événements de piratage éthique à travers le monde.

Alain Mowat (à gauche), spécialiste dans l’anticipation des attaques informatiques, et Michael Zanetta, coordinateur du festival Insomni’hack (photo: Jeremy Bierer)

De l’humour au programme

«Nous avons notre propre équipe baptisée ‹0daysober›. Son logo est détourné des Alcooliques anonymes, car nous aimons bien boire un verre. Et zero day est aussi un terme indiquant une faille informatique non détectée et utilisée par les pirates.»

Coordinateur du festival Insomni’hack, Michael Zanetta cultive certes un désordre et un côté geek assumé partagé par plusieurs de sa quarantaine de collègues, mais, dans cet open space plutôt coquet, point de nerd punk piercé ou même de post-ado au ton blafard, cachant ses cheveux en bataille sous la capuche d’un jumper orné d’une tête d’Alien couleur fluo.

La sécurité informatique est prise autant au sérieux par ceux qui s’en occupent que par les entreprises ou administrations qui font appel à eux. «Même si, parfois, par exemple quand nous sommes mandatés pour tester le niveau de sécurité d’un réseau,

il nous arrive d’employer des moyens un peu hollywoodiens.

Michael Zanetta

Nous nous sommes ainsi fait passer pour des laveurs de carreaux et avons réussi à nous infiltrer ainsi.» Autre astuce dont l’équipe red team, celle de l’attaque informatique, n’est pas peu fière: l’envoi d’un colis contenant un portable allumé.

Il n’y a pas toujours besoin de wifi. De la 4G peut suffire pour pénétrer le réseau de l’entreprise.

Alain Mowat, rugbyman à ses heures du côté de La Côte, est responsable du département «audit», l’autre partie de SCRT œuvrant à la défense informatique en amont, mettant en place des équipements de sécurité et autres firewalls.

Mais souvent les entreprises ne se rendent compte qu’après plusieurs semaines qu’elles ont été attaquées.

Alain Mowat

Les écrans qui deviennent tout noirs et le pilotage à distance de l’ensemble du système, c’est surtout du cinéma. Les attaques sont beaucoup plus discrètes et sournoises que cela.» Contrairement à un cambriolage immédiatement visible, découvrir l’intrusion prend parfois du temps.

De graves failles de sécurité

En été 2016, Fiat Chrysler a mis en place un programme de récompenses à destination des spécialistes capables de les aider à renforcer la sécurité logicielle de leurs voitures. C’est qu’une année auparavant, devant un parterre de journalistes, des ingénieurs en sécurité révélaient l’existence d’une faille dans la sécurité de certaines voitures connectées à internet.

Avec, à la clef, la possibilité de prendre le contrôle à distance de centaines de milliers de voitures, soit plus de 450 000 véhicules connectés au système informatique du constructeur baptisé Uconnect.

➜ À lire aussi: La Suisse, une île de pirates informatiques

Un pirate aurait pu non seulement s’amuser à augmenter le son de la radio ou activer la ventilation, mais aussi accélérer, couper le moteur ou empêcher de freiner à la place de la personne au volant, et tout cela d’ailleurs en agissant à distance (voir la démonstration en vidéo en anglais ci-dessous). Le dispositif de suivi en temps réel des émissions de CO2 Ecodrive et les applications connectées via Android ou Ios semblaient également concernés.

Un marché élargi

On comprend mieux que le constructeur ait pris les choses très au sérieux et soit passé par la plateforme Bugcrowd pour ouvrir une véritable chasse aux erreurs de programmation et récompensées selon l’importance de la faiblesse constatée.

La société Bugcrowd, en même temps que Hackerrank par exemple, représente ce marché officiel, et parfois lucratif, du hacking éthique: une interface entre d’un côté des entreprises comme Western Union, Pinterest, Tesla, Fitbit ou Spotify, et de l’autre, des bidouilleurs et autres spécialistes en sécurité informatique qui tentent de traquer les failles de leurs systèmes informatiques avant leurs collègues mal intentionnés.

Le financement participatif de la sécurité informatique est un immense marché et certains en vivent très bien.

Michael Zanetta
Au-delà des lignes de code, les outils classiques restent parfois indispensables pour sonder un système informatique en profondeur (photo: Jeremy Bierer).

Entre équipes internationales et conférences

«Insomni’hack est un bon moyen de se faire remarquer, mais aussi une occasion idéale d’acquérir des compétences, d’échanger des idées et des savoir-faire», souligne Michael Zanetta. Et d'ajouter:

Un bon hacker doit faire preuve de créativité afin de sortir du cadre purement technique enseigné dans les écoles d’ingénieurs,

Michael Zanetta

Il évoque ainsi Charlie Miller, qui avait réussi à pirater une Jeep à distance «en prenant le contrôle du boîtier commandant plusieurs fonctions vitales du véhicule. Pour en arriver là, il avait passé des années à désosser une voiture.»

Depuis sa première édition, en 2008, la manifestation a pris de l’ampleur et investit pour sa 6e année le Centre des congrès de Palexpo. Du 21 au 23 mars 2018, deux jours de conférences verront se succéder dix-huit intervenants. Dont certains sont très attendus, comme Jean-Philippe Aumasson (Kudelski), qui a écrit un livre sur la cryptographie et a des porte-monnaies virtuels de cybermonnaies. Ou encore le vainqueur d’un concours organisé par Samsung pour parvenir à pirater la partie téléphonie d’un Galaxy S8 et qui empochera 50 000 dollars pour cet exploit.

Et il y a bien sûr le concours organisé par SCRT (lien en anglais) et agrémenté de plusieurs cours et ateliers. «Le jeudi après-midi aura lieu une manifestation orientée défense avec un cas d’intrusion qu’il faudra décortiquer.» Des équipes de Suisse, de Pologne, d’Allemagne, d’Italie, d’Autriche et des États-Unis sont attendues. «Les grosses équipes internationales ont déjà validé leur participation. Pour les autres, nous avons organisé un défi qualificatif en janvier dernier.»

Car ce type d’événements est devenu l’équivalent d’une compétition annuelle avec plusieurs dates à travers le monde au calendrier. Dont Computer Club en Allemagne, toujours entre Noël et Nouvel- An, ou encore Defcom aux États-Unis, un des plus vieux concours de capture de «flags», ces informations volontairement non sécurisées perdues au milieu de milliers de lignes de code pouvant servir de porte d’entrée dans un réseau et que le concurrent doit trouver.

«Comme pour le e-sport, on constate une volonté de populariser ces manifestations, avec notamment des «lives» en direct de certains concours. Avec une nouveauté cette année au bout du lac: un escape game orienté IOT (Internet of Things) et hardware: c’est en court- circuitant, démontant, rebranchant des cartes mères et des puces informatiques que l’on trouve la solution.

Benutzer-Kommentare

Articles liés

Intérieur de l'espace de travail partagé Gotham à Lausanne

Coworking: le bureau nouveau est arrivé

Anes Riad Mobarki, gérant de l’antenne lausannoise de la chaîne Marry Jane.

Cannabis légal

Vue satellite de la Terre de nuit

Le paradoxe des LED

Pablo Servigne en train de réfléchir

La «collapsologie» de Pablo Servigne