Magiciens des câbles
sur Eastenwest
Que ce soit dans les films ou dans les reportages télévisés, on nous montre fréquemment des petits génies du piratage qui rentrent dans un système en quelques minutes, et récupèrent toutes les données qu'ils souhaitent... Évidemment, les joueurs tentent de faire de même, souvent face à un meneur qui ne sait pas trop comment réagir... Cette aide de jeu fait un petit tour d'horizon du piratage informatique, des techniques majeures et des idées reçues, sans rentrer heureusement dans des détails techniques ...Contient : sécurité (13)(...) Il commencera par chercher une faille de vulnérabilité connue, listée sur des sites spécialisés dans lasécuritéinformatique, qu'il pourra exploiter. De préférence, cette faille doit être assez récente, et sur un système très répandu. (...)
Evidemment, il faut ruser pour soutirer des informations sans éveiller les soupçons, mais c'est encore ce qui marche le mieux (soyons franc, la vantardise des experts ensécuritéest parfois un précieux allié). Dans la plupart des cas, toutefois, on se contentera d'utiliser des outils disponibles pour tous sur Internet, et qui permettent d'effectuer différents scans du réseau. (...)
Dans le cas contraire, il lui faudra ingérer des tonnes de connaissances sur le fonctionnement de ce système, sa structure interne, ses capacités, ses failles potentielles, etc. En identifiant un système, le pirate peut essayer les failles desécuritéconnues pour s'introduire dans le système. Si les administrateurs ont bien protégé leur système, il lui faudra innover, et seuls les petits génies ou les gens patients peuvent trouver de nouvelles failles. (...)
L'organisation : On sous-estime toujours le rôle humain du piratage : la plupart des failles sont en effet provoquées par un défaut humain. Première faiblesse : les administrateurs qui se ménagent des facilités au mépris de lasécurité. Deuxième faiblesse : les utilisateurs qui ont accès à la cible. Lorsqu'on veut accéder à des données personnelles, on peut passer des semaines à tenter d'attaquer la cible, alors que comprendre que le chef du personnel utilise pour mot de passe le prénom de sa femme est beaucoup plus rapide pour le même résultat. (...)
Une bonne partie véhicule des virus ou des programmes malveillants. - Le CERT (un des principaux organismes de surveillance de lasécurité) a recensé plus de 137 000 incidents liés à lasécuritéen 2003 (contre 21 000 en 2000). - le même CERT a recensé 3 784 vulnérabilités dans des logiciels en 2003. Pour en savoir plus : http://www. (...)
Dans une grande structure où les administrateurs ne connaissent pas tout le monde, il est possible d'envoyer un message de la part d'un utilisateur précis pour demander une réinitialisation du mot de passe : si l'usurpation d'identité est bien faite et les conditions desécuritépeu regardantes, on dispose rapidement d'un accès à travers le compte utilisateur. Mieux : un coup de fil fait souvent l'affaire : ' j'ai perdu mon mot de passe ! (...)
On peut par exemple provoquer un déni de service, et appeler l'équipe technique qui, occupée et stressée par la panne provoquée, sera moins regardante sur les conditions desécurité... Défenses : Bien sûr, qui dit attaque, dit défense. Dans un environnement de plus en plus virtuel, les systèmes de plus en plus complexes intègrent une multitude de défenses plus ou moins bien gérées. (...)
Une société basant beaucoup d'éléments essentiels sur l'informatique investira probablement plus dans lasécurité. Une société qui est pingre sur le personnel n'aura pas de spécialistesécuritéou une équipe réduite. Si le directeur de la compagnie est paranoïaque, lasécuritésera un point important même pour une PME... Bref, pour savoir quelle résistance rencontreront les pirates joueurs, il faut connaître l'organisme cible et sa politique desécurité. Une société riche pourra par exemple mettre en place des honeynets ou des réseaux faussés destinés uniquement à tromper les pirates. (...)
Il faut aussi avouer qu'il y a rarement dépôt de plainte contre un pirate, car cela serait avouer des défauts desécuritéet donc inquiéter les potentiels clients... Conclusions : On le voit, la tâche du pirate est loin d'être aisée. (...)