geoblog

Le travail d’un hacker est principalement un travail d’observation. Avec beaucoup d’observation et un peu d’imagination, le hacker réussi à trouver des failles qui lui permettront, par exemple, de faire des interurbains en utilisant un système téléphonique vulnérable d’une entreprise. Il est important de comprendre que le travail d’un hacker n’est pas purement technique. Une grosse partie du travail d’un hacker est sociale. Souvent, la compréhension du comportement humain ou des procédures établies permet d’ouvrir des portes et trouver des failles.

Si une procédure de sécurité est complexe et ardue, il est fort probable que l’opérateur devant effectuer cette procédure coupera les coins ronds, laisse possiblement une brèche dans un système. Un autre exemple et l’utilisation du même mot de passe pour plusieurs systèmes. Beaucoup de gens utilisent un même mot de passe pour plusieurs systèmes; de connaître un mot de passe peut potentiellement permettre d’accéder à plusieurs systèmes. Parfois, une visite dans un édifice à bureau (dans le cadre d’une fausse entrevue, par exemple) peut révéler beaucoup d’information : dans les établissements où la sécurité est complexe, les mots de passe deviennent parfois tellement rébarbatifs que les gens les écrivent sur des post-its sur leurs écrans. Une tournée rapide dans ces lieux peut donner parfois le mot de passe donnant accès à l’ensemble du système. Voilà seulement quelques exemples de « social engineering » qui démontre qu’un hacké ne se limite pas aux aspects technologiques.

Plusieurs experts de sécurité croient que la limite de la sécurité d’un système, c’est toujours ses usagers et ceux qui voient à cette sécurité. Dans le cadre de Defcon 16, ceci a été démontré d’une manière admirablement élégante.

Un groupe de trois étudiants du MIT devait présenter une étude intitulée « The Anatomy of a Subway Hack: Breaking Crypto RFIDS and Magstripes of Ticketing Systems » dans laquelle ils expliquent comment le système de passes et payage du métro de de Boston, sous administration de la « Massachusetts Bay Transit Authority » (MBTA), peut être exploité et où se trouve ses vulnérabilités. L’idée n’était pas de donner la recette pour exploiter les failles du système, mais plutôt d’exposer le problème et de proposer des solutions.

Malheureusement, une doctrine trop courante dans le monde de la sécurité est celle de la sécurité par l’obscurantisme. Au lieu d’exposer un problème pour que plus de gens puissent apporter des pistes de solution dans sa résolution et qu’un travail collectif de mise à niveau se mette en marche, beaucoup d’experts préfèrent cacher les problèmes. Peut-être croient-ils que personne ne découvrira la faille. Peut-être croient-ils qu’ils auront moins de pression sur leurs épaules pour régler le problème... peut importe, la preuve est faite depuis longtemps que ça ne fonctionne pas.

C’est ainsi que la réaction du MBTA fut de faire une demande d’injonction interdisant la présentation de l’étude à la conférence de Defcon 16. Bien malheureusement pour les responsables du MBTA, la « slide show » de la présentation était déjà publique et distribuée sur Internet. Cette présentation s’est propagée comme une traînée de poudre.

Vous trouvez cela amusant? Attendez seulement! Avant de lancer la procédure d’injonction, les responsables du MBTA étaient en contact direct avec les étudiants du MIT, auteurs de l’étude. Ils ont demandé de voir les résultats de leur étude et savoir ce qu’ils allaient présenter à Las Vegas. Désireux de contribuer à l’amélioration de la sécurité du système du MBTA, le groupe de hacker a non seulement divulgué au MBTA la teneur de leur présentation, mais aussi un rapport détaillé de leurs trouvailles. Ce rapport, considéré hautement confidentiel par les auteurs, explique en détail comment le système est vulnérable et comment il peut être exploité, étudies de cas à l’appui. Il présente aussi des pistes de solution pour remédier, du moins en partie, au problème.

Mais, dans une crise aiguë d’obscurantisme, les responsables du MBTA ont lancé la procédure d’injonction (qu’ils ont gagné)... en présentant comme preuve ledit rapport confidentiel détaillant les vulnérabilités. Peut-être que les gens du MBTA auraient oublié que toute preuve admise devant un tribunal devient automatiquement publique et accessible. Woups.

« Want free subway rides for life? »

L’impact de tout ceci est pourtant important; bien plus important que de mettre en péril le système de paiement du MBTA. Ce même système est en effet utilisé par beaucoup de compagnies de transports en commun dans le monde. Tous sont potentiellement vulnérables à l’exploitation.

Je vous invite tous à jeter un oeil à cette présentation [mit.edu]. Bien qu’elle devienne rapidement plutôt technique, les 17 premières pages de la présentation démontrent des aspects non techniques que les hacker utilisent. Ces pages montrent aussi des failles que plusieurs d’entre vous n’auraient probablement jamais pensées exploitables. Regarder bien et, la prochaine fois que vous prendrez le métro ou allez au cinoche, portez attention aux détails. Peut-être que vous arriverez vous aussi à découvrir des failles du système...