Devenez hackeur pour arrondir vos fins de mois !
Trouver des failles techniques est une activité lucrative ; il est possible d’arrondir ses fins de mois, et de façon plus que substantielle puisque les primes peuvent allègrement dépasser les 100 000$. Mais de quoi parle-t-on ?
Dans un monde où la technologie est omniprésente et où tout est connecté, le quidam se sent à l’aise avec tous ses équipements et la notion de piratage lui semble bien souvent abstraite. Certes, il connaît l’importance d’un antivirus, sait que son numéro de carte bleue pourrait être utilisé de façon frauduleuse et que son compte Facebook ou Twitter pourrait être piraté, mais il n’intègre pas forcément la criticité et proximité des risques encourus.
Nous avons publié, il y a un peu plus de 2 ans, une brève à destination des particuliers montrant qu’il était difficile de savoir si l’on s’était fait piraté. Outre l’installation d’un antivirus, une bonne gestion des mots de passe, et la réduction de la surface d’attaque ; qui consiste à ne pas laisser ouverts ou actifs des services ou fonctionnalités que l’on n’utilise pas ; nous avons aussi précisé l’importance des mises à jour logiciel. Car, malgré tous les processus de chiffrements qui peuvent intervenir dans les communications ; qui au demeurant peuvent eux-mêmes avoir des failles, on se souvient du cas Heartbleed d’OpenSSL (utilisé par un grand nombre de site dans le monde) puis du danger de type « man in the middle » ; un logiciel demeure un ensemble d’instructions informatiques ordonnées faisant elles-mêmes appels à des instructions de niveau inférieur. Cette stratification logicielle finit, dans les couches les plus basses, en des instructions qui sont physiquement préinstallées par les constructeurs sur leurs cartes-mères (BIOS, UEFI…) où dans leurs composants électroniques.
L’organisation en couches des logiciels ; chaque couche pouvant être crée par des sociétés tierces ou provenir de l’opensource ; induit une réalité implacable. À chaque niveau de la stratification logicielle, il y a possibilité de bug et de faille qu’un pirate pourrait exploiter. Autrement dit, si l’ensemble paraît secure, dans les faits il ne l’est jamais totalement.
Les sociétés l’ont bien compris et les pirates aussi. Il y a les bons hackers, les « white hats », ceux qui trouvent les failles, le disent aux fabricants ou aux sociétés éditrices de logiciels et se font généralement récompenser, et il y a les « black hats », ceux qui exploitent les failles à leurs fins personnelles et que la police recherche activement.
En tous cas, toutes les couches logicielles peuvent nécessiter des mises à jour pour la correction de bugs ou de failles de sécurité, y compris les couches basses qui, si elles le supportent, nécessitent des opérations spécifiques, parfois chez le constructeur : on parle alors de mise à jour du firmware, ou « flashage » des cartes ou composants. C’est ainsi, en dehors de l’informatique, que même votre voiture peut être mise à jour par votre concessionnaire. Un bug a été détecté dans le logiciel de bord ou dans un composant électronique et il faut mettre à jour ce que l’on nomme grossièrement « ordinateur de bord ».
La chose qui devient fabuleuse, le terme est ici ironique, c’est qu’il y a de plus en plus de choses que l’on peut hacker ; l’électronique étant partout, les logiciels également. À l’ère des objets connectés, tout est potentiellement une zone de jeu, le terme est ici provocateur. Ce 21 septembre de ce mois nous apprenions que des hackers de la société Keen Security Lab avaient réussi à pirater la célèbre voiture électrique Tesla. Avec un ordinateur portable, ils étaient capables de beaucoup de choses comme ouvrir le coffre, le toit, contrôler le tableau de bord, mais surtout ouvrir la voiture sans clé et plus inquiétant, la freiner et stopper à 19 km de distance. Si le risque de piratage était faible, Tesla a corrigé en quelques jours, et la société sera bientôt récompensée. Nos confrères de 01net détaillent la procédure utilisée et ceci passe par une analyse du firmware du système de divertissement.
Il y a quelques jours nous apprenions qu’OVH, l’hébergeur français, connaissait une attaque massive de type DDos, Distributed Denial of Service, une attaque parallèle ayant pour but de bloquer ou ralentir ses services. La nouveauté ? L’attaque s’est fait par un botnet de 145 607 caméras connectées pour un débit supérieur à 1To/s, vous avez bien lu. Autrement dit, autant de matériel avec des failles qui ont pu impunément être piratés et transformés en zombie afin d’être pilotés à distance pour effecteur des attaques.
Les constructeurs de matériel ou les éditeurs de logiciels l’ont bien compris, la sécurité est primordiale. Microsoft, Google, Apple organisent ainsi des hacking challenge, autrement dit ils lancent des challenges aux pirates et proposent de les rémunérer s’ils réussissent dans leur action.
Apple a annoncé en août offrir jusqu’à 200 000$ si des trous de sécurité étaient trouvés sur ses produits, le montant dépendant de la sévérité de la faille ; mais le prix le plus bas est déjà de 25 000$.
Si les montants ne sont assurément pas les mêmes, l’explosion du nombre d’appareils connectés est autant d’occasions de trouver des failles, aider les constructeurs à sécuriser leurs produits et gagner quelques pécules.