Que reste-t-il du credo des Hackers ? (avis expert)

CloudRéseauxSécurité

Renaud Bidou, CTO de DenyAll revient sur un texte définissant l’éthique des hackers au milieu des années 90 : le credo des hackers. Après 20 ans, ce document est-il toujours pertinent ?

En 1994, Steven Levy diffusait le Crédo des Hackers : l’expression en six points d’une éthique qui transcende la dimension technologique et définit un état d’esprit. Qu’en reste-t-il vingt ans plus tard ?

1-L’accès aux ordinateurs doit être illimité et total : Hacker les serveurs

Le Graal du hacker est l’accès illimité aux données et aux ressources d’un système: le rootshell, un compte disposant de droits complets sur le serveur ciblé.

Il y a 20 ans apparaissaient les “buffer overflow”, une attaque exploitant les erreurs d’allocation de mémoire présentes dans la quasi-totalité des systèmes. Un tsunami a submergé le monde de l’informatique pour les dix années qui ont suivies… L’arrivée des applications web au début des années 2000 a changé radicalement la cible des attaques. Une nouvelle surface d’attaque s’ouvre rapidement et de nouveaux termes viennent détrôner le buffer overflow. Les injections SQL viennent menacer les bases de données, les Cross-Site Scripting prennent le contrôle des navigateurs, et les injections de commandes offrent aux attaquants l’accès aux fonctions du système via une interface web.

Quelques années plus tard, les Web Services industrialisent les technologies web, et leurs vulnérabilités… Et aujourd’hui c’est la combinaison de ces techniques qui permet d’obtenir un rootshell sur les machines virtuelles de grands Clouds publics comme cela a été brillamment démontré à Las Vegas lors de la conférence BlackHat.

2-L’information doit être libre : Hacker les postes client

Quel est le meilleur moyen pour accéder aux données d’un utilisateur ? Tout simplement de disposer de ses éléments d’authentification. A ce titre tous les moyens sont bons et les virus, les chevaux de Troie aussi bien que les techniques d’écoute réseau ont su évoluer en parfaite symbiose avec les technologies.

Ainsi les “keyloggers” ne sont plus des programmes que l’on doit faire lancer par des utilisateurs innocents. Ce sont maintenant des codes JavaScript exécutés silencieusement par les navigateurs connectés à une application vulnérable. Et quand en 1994 les écoutes réseau n’étaient efficaces que sur des réseaux locaux, partagés et visant des  données non-chiffrées, Heartbleed a offert en 2014 les logins et mot de passe des utilisateurs de Yahoo Mail…

Enfin, virus et malwares n’ont jamais cessé d’envahir nos systèmes d’information, adaptant leurs charges malicieuses aux nouveaux terminaux.

3-Promouvoir la décentralisation : Warez et botnets

Le Warez, soit la décentralisation des données et des processus est, à deux titres, un principe vital dans l’histoire du hacking. D’une part, elle offre une solution économique et fiable pour l’accès à des ressources quasiment illimitées et, d’autre part, elle offre un immense espace de dissimulation toujours utile en cas d’interpellation inopportune…

En 1994 la ressource rare était l’espace de stockage dont regorgeaient les universités américaines, dépourvues de toute forme de sécurité et largement ouvertes au monde extérieur. Puis la capacité de traitement est devenue primordiale, essentiellement afin de casser les fichiers de mots de passe, facilement collectés depuis les serveurs exposés à Internet. Les entreprises, nouvellement connectés au réseau et équipées de serveurs haut de gamme, deviennent alors les principaux fournisseurs de temps CPU.

Enfin, aujourd’hui la ressource indispensable est devenue la bande passante, indispensable à l’efficacité des téléchargements volumineux des contenus numériques piratés. Une ressource dont les hébergeurs et opérateurs disposent largement et qu’ils mettent à disposition de clients souvent enclins à céder aux problématiques budgétaires quand il s’agit de sécurité informatique. Mais qu’en est-il des botnets ? Quand le Warez a déjà posé les bases de l’informatique distribuée, les botnets n’apparaissent jamais que comme une version “rebrandée” d’un concept vieux comme internet… Oui, les hackers ont aussi inventé le marketing.

4-Les hackers ne doivent être jugés que sur leurs compétences techniques : à propos des hackers

1994 : le film “Hackers” nous présente une bande d’étudiants un peu paumés aux pseudos qui font aujourd’hui sourire : Acid Burn, Crash Override et autres Masters of Doom…. Le mythe né alors par la moulinette Hollywoodienne, et au début des années 2000 le glamour est à son paroxysme avec Néo, Morpheus et Trinity, légendaires héros d’une matrice qui les transforme en gravures de mode expertes du Kung-Fu.

Quelques années plus tard, le Hacking est devenu un outil de persuasion largement accessible aux masses revendicatrices. Apparait alors la légion des Anonymous qui emprunte à la BD et au cinéma la cause de la juste vengeance.

Mais il aura toutefois fallu attendre plus de 20 ans pour que le vrai visage des hackers ne se révèle. Non, les vrais hackers ne sont pas ces jeunes habités par le mal-être qui transpire de “Mentor’s last words”, mais, ô surprise, les services de renseignement des grandes puissances.

5-Vous pouvez créer l’art et la beauté sur un ordinateur : ASCII art

« Il n’y a de beau que l’inutile ». Et à défaut de pouvoir juger objectivement de la beauté d’un outil de conversion de films en animation de caractères ASCII, nous pouvons clairement évoquer sa totale inutilité…

Au même chapitre, le programme écrit en langage C, dont le code représente une lettre chinoise et qui, exécuté, affiche un nouveau code représentant une nouvelle lettre chinoise, qui, exécuté, affiche un nouveau code, etc… Ce six fois de suite avant de retomber sur le code d’origine; oui ce programme est inutile, et sûrement presque beau d’un certain point de vue.

6-Les ordinateurs peuvent améliorer votre vie : Hacker… les objets

L’informatique s’est immiscée partout, et il serait fort mal avisé de croire que les téléphones, frigos, voitures et autres objets connectés ne suscitent pas l’intérêt des hackers. D’autant plus que, conformément à une règle non-écrite, la conception de tout nouveau système connecté intègre l’ensemble des mauvaises pratiques…

Les communications en voix sur IP ne sont pas chiffrées, les frigos sont contrôlés par des applications web vulnérables et les systèmes de communication entre les composants des voitures ne disposent d’aucun moyen de contrôle. Ecoutes téléphoniques, botnets de frigos et prise de contrôle à distance des véhicules de dernière génération sont maintenant chose commune, en attendant que les fitbit, balances électriques, chaussures et autres caleçons connectés ne viennent grossir les rangs des botnets de nouvelle génération.

En 20 ans les Hackers ont forgé la société numérique que nous connaissons. Les chevaux de Troie sont devenus des outils d’administration à distance, le Warez a donné naissance aux technologies du cloud, les XSS et CSRF sont à l’origine du HTML dynamique et les keyloggers ne sont ni plus ni moins que les ancêtres des logiciels de contrôle parental… Ils nous montrent le chemin. A nous de suivre le lapin blanc.

 


Lire la biographie de l´auteur  Masquer la biographie de l´auteur