Hackers: après la pluie, le beau temps?
Derniers Articles

Hackers: après la pluie, le beau temps?

Kevin Mitnick se considère comme le hacker le plus célèbre du monde. Nous l'appelons à son bureau de Las Vegas afin de lui poser quelques questions. «Allô, Monsieur Mitnick, vous m'entendez?» La ligne est coupée.

Il rappelle et demande si la connexion est meilleure. «Non, je vous entends mal. Que se passe-t-il?» Il ne souhaite pas entrer dans les détails, mais explique qu'il a pris certaines mesures de sécurité, car on ne sait jamais qui pourrait nous écouter. «Vous devez partir du principe que chaque conversation téléphonique est mise sur écoute. Nous savons maintenant que rien n'arrête la NSA», précise celui dont la spécialité était autrefois l'écoute téléphonique. Utiliser un téléphone fixe ou un portable est pour lui de la pure folie. «Pour sécuriser vos conversations, vous devez passer par une connexion Internet avec cryptage de bout en bout.»

Personne ne peut reprocher à Kevin Mitnick d'être paranoïaque lorsqu'il en va de la sécurité de ses communications. Le FBI l'a arrêté au terme de trois années de cavale à travers les États-Unis et, en 1999, il a été condamné à cinq ans de prison. Après quatre ans en détention, il passe les huit mois restants en cellule d'isolement. «Le procureur les a convaincus que je pourrais déclencher une guerre nucléaire depuis ma cellule par un simple coup de fil, raconte-t-il. C'était bien sûr pure invention. La sévérité de ma peine devait servir d'exemple.» Quinze ans après, Kevin Mitnick est à la tête de la société Mitnick Security, florissante selon ses dires, qui conseille de grandes entreprises et administrations en matière de sécurité. À en juger par son agenda, il parcourt le globe à un rythme effréné pour tenir conférences et formations. Ses ouvrages sont des best-sellers et sa carrière de hacker a été adaptée au cinéma («Cybertraque») et a fait l'objet de plusieurs dossiers de presse.

Plus l'apanage des criminels

Il y a quelques années, si l'on avait révélé à des responsables de la sécurité qu'ils auraient un jour recours aux services d'un hacker condamné par la justice pour sécuriser leurs systèmes informatiques, ils seraient certainement tombés des nues.
Mais aujourd'hui, les hackers – ou chercheurs en sécurité, selon leur propre appellation – connaissent un âge d'or. En effet, pour contrer des attaques toujours plus nombreuses et plus perfides, les fabricants de logiciels et de matériel informatique doivent trouver des mécanismes de protection rapidement. Merijn Terheggen, CEO de HackerOne, une agence mettant en relation hackers et entreprises, déclare: «Tous les deux ans, la performance des puces dans nos appareils est multipliée par deux et il suffit de quelques mois lorsqu'il s'agit de la complexité des applications sur les appareils. Résultat: le nombre de failles de sécurité augmente de manière exponentielle et devient incontrôlable. Conclusion: d'ici à deux ans, toutes les grandes entreprises du monde utiliseront des programmes de sécurité mettant à profit la créativité des hackers.»

À 52 ans, Kevin Mitnick a 35 ans de plus que le hacker moyen, installé devant son écran au Pakistan ou en Bolivie à la recherche de failles de sécurité. Il savoure cette nouvelle ère: «Aujourd'hui, les hackers ne sont plus considérés comme des criminels. Si de telles possibilités avaient existé dans ma jeunesse, j'aurais pu laisser libre cours à ma curiosité et à ma soif d'expérimentation en toute légalité.»

Sa carrière commence avec des plaisanteries inoffensives à 13-14 ans. Plus tard, il s'introduit dans les systèmes de tous les géants des télécommunications aux États-Unis, écoute des conversations et vole des codes sources, l'ADN numérique des sociétés. Il a même berné le FBI: il s'est procuré les numéros de portable des enquêteurs et a développé un système d'alarme le prévenant dès qu'un agent se rapprochait de lui. Ce jeu du chat et de la souris l'a amené à sillonner les États-Unis pendant près de trois ans. Son visage ordinaire l'a aidé dans sa fuite: lunettes, cheveux, voix – aucun signe distinctif dans son apparence.

Il soutient que les autorités ont largement exagéré ses crimes, comme lorsqu'elles ont parlé de «piratage anthologique» alors qu'il n'avait fait que prendre le contrôle de l'interphone du McDrive du McDonald's du coin. «Une voiture de police est arrivée au guichet pour une commande de repas. J'ai alors crié dans le haut-parleur ‹Balance la coke! Balance la coke!› Les employés ont complètement paniqué, tandis que les policiers étaient décontenancés.» Kevin Mitnick ne peut s'empêcher de rire lorsqu'il raconte des anecdotes de sa jeunesse.

À l'époque, personne ne pouvait s'imaginer un monde interconnecté: trafic des paiements, vente d'armes, recherche de partenaires. Le film «Hacker» a récemment fêté ses 20 ans, mais aujourd'hui, ce milieu n'a plus rien à voir avec l'ancienne image des hackers empreinte de romantisme. «Nous faisons face à de petits groupes ou à des criminels solitaires présentant des capacités autrefois réservées aux institutions gouvernementales, précise Michael V. Hayden, ancien directeur de la NSA. Les problèmes qui en résultent sont évidents.»

Guerre mondiale sur Internet

En octobre, le «Washington Post» a publié un article sur un collectif de hackers albanais, Kosova Hackers Security (KHS). Ce dernier a volé les données personnelles de 100'000 clients, dont 1351 membres de l'Armée, sur un site d'e-commerce américain.

Il les a ensuite revendus au plus offrant: l'État islamique (EI). Junaid Hussain, membre britannique d'origine pakistanaise de l'EI, a notamment posté les adresses et numéros de téléphone sur Twitter en déclarant: «Nos combattants viendront vous briser la nuque dans votre pays.» Le FBI a arrêté le leader de KHS en Malaisie et Junaid Hussain a été tué par un drone en Syrie.

Bien que les champs de bataille soient invisibles, une guerre mondiale fait rage sur Internet. Tous les systèmes sont attaqués 24h/24, chaque réseau est testé en permanence. Souvent, les victimes s'en rendent compte une fois qu'il est trop tard. Target, le géant du commerce de détail, s'est aperçu d'une erreur de programmation dans le système de climatisation uniquement lorsque des hackers ont pu dérober 40 millions de données clients par le biais de cette faille de sécurité. Sony, le Département de la défense américain, les filiales américaines de Deutsche Telekom et de Fiat Chrysler ont également été victimes de piratages spectaculaires.

Les entreprises sont constamment en état de veille défensive, mais elles ne peuvent pas deviner d'où viennent les attaques et leur degré de gravité. L'opérateur de télécommunications Verizon a analysé 2122 piratages perpétrés en 2014: près de deux tiers ont causé des dommages en quelques minutes. Qui sont leurs auteurs? La Corée du Nord ou la NSA? La concurrence ou un collaborateur? Un adolescent en Afrique du Sud?

Le progrès technique semble donner une nette longueur d'avance aux hackers. La course à l'innovation est-elle perdue d'avance pour les entreprises ne souhaitant pas renoncer à une connexion Internet?

18 millions de hackers actifs

Kevin Mitnick conseille à ses clients de collaborer avec des hackers dès la phase de développement des logiciels afin qu'ils traquent les lacunes au cours du processus. «Nombre d'entreprises, en particulier dans le secteur technologique, procèdent de la sorte», explique-t-il. Il préconise une formation renforcée en matière de sécurité numérique pour les collaborateurs.

Kevin Mitnick n'est pas convaincu par les programmes «bug bounty» actuellement plébiscités, par lesquels les entreprises rétribuent les hackers pour chaque bug reporté. «Cela peut fonctionner dans la majorité des cas, mais un risque subsiste. Un criminel peut se mêler aux hackers bien intentionnés et revendre sa trouvaille sur le marché noir.» HackerOne recense 18 millions de hackers actifs dans le monde. Comment les contrôler? Le site Internet de Kevin Mitnick propose également un marché pour les «vulnérabilité Zero Day», c'est-à-dire les failles n'ayant pas encore de correctif. Mais seuls peuvent participer ceux qui sont invités.

Découvrir et monnayer une faille de sécurité n'est pas illégal. Seul celui qui cause des dommages en exploitant l'information est punissable. L'économie de la vulnérabilité – le commerce des failles de sécurité – est en plein essor. Du côté «défensif» du marché, des acteurs achètent des bugs systèmes afin de les proposer aux entreprises concernées. Il peut s'agir de courtiers, qui se procurent certaines informations du marché pour le compte d'entreprises. Les programmes bug bounty en font partie.

En règle générale, chaque piratage est payé entre 500 et 20'000 dollars, mais il est déjà arrivé que Microsoft ou Facebook versent plus de 100'000 dollars. Du côté «offensif», on trouve surtout des États et le crime organisé. D'après Kevin Mitnick, le prix d'un bug peut franchir la barre du million de dollars sur ce terrain. L'objectif des participants est de tenir les bugs systèmes à l'écart du marché défensif aussi longtemps que possible, afin de les exploiter à long terme.

Des piratages spectaculaires défrayent toujours la chronique – autorités gouvernementales, multinationales, écoles sont touchées. Kevin Mitnick peut-il imaginer un système 100% sécurisé? «Bien sûr, répond-il. Pour cela, il suffit de dissimuler les données critiques derrière un ‹air gap›». En bref: pour se protéger, il n'y a plus qu'à couper le cordon avec Internet!