Le paradoxe du (blog du) Hacker
Je rédige aujourd’hui cet article pour parler de mon expérience en tant que « blogueur-Hacker ».
Je suis en fait un blogueur comme tant d’autres, mais avec une difficulté supplémentaire :
Je dois veiller à ce que chacun de mes articles ne soit pas hors la loi.
En fait, la loi prévoit des peines pour le fait de pirater à proprement parler. Mais aussi pour le fait de partager des programmes ou informations permettant de réaliser des piratages. Et dans le fond, c’est compréhensible.
C’est pour cette raison que je vous réponds que je ne veux pas vous aider à pirater le compte de votre conjoint. Même si certaines situations sont objectivement compréhensibles, elles-aussi.
Mais, « malheureusement », la légitime défense numérique n’existe pas (encore ?). Et je ne vous aiderais pas non plus dans la vraie vie à cambrioler votre banque, sous prétexte que votre banquier vous a arnaqué…
Cela dit, connaître le fonctionnement des attaques devrait intéresser tout le monde, car la cybersécurité concerne bien tout le monde.
Et finalement on se défend très mal sans connaissances pointues !
Je me souviens d’un blogueur dans la même thématique qui s’est fait fermer son site par la loi, pour avoir parlé de piratage wifi. (Désolé je n’ai plus aucune idée de l’endroit où cela se trouvait, numerama ?)
Il avait écrit quelque chose du type « comment pirater le wifi du voisin » en indiquant que c’est à titre éducatif pour montrer que WEP est faillible.
Et il avait déroulé toute la démonstration en partant sur ce scénario.
Je comprends (et vous aussi, je n’en doute pas) que c’était très bordeline car on peut légitimement penser que 100% des lecteurs de ce tutoriel voulaient pirater et non pas apprendre à se protéger…
Dans le doute, j’avais renommé à l’époque mon guide « Comment devenir un hacker » en « Bases de la cybersécurité ». C’est moins « sexy » mais c’était pour bien faire comprendre l’objectif du guide en évitant la mauvaise compréhension du terme « hacker« …
Ce qui était plus inquiétant, était de lire ensuite ce que la juge aurait dit à ce blogueur.
« Il n’est pas nécessaire de rouler à 250km/h pour montrer que c’est dangereux de dépasser 90km/h »
Et c’est correct dans un sens.
Mais la vraie analogie serait plutôt celle de la serrure :
- Pour sécuriser sa maison, on prend la clé et on ferme la porte d’entrée à double tour.
- Le cambrioleur connaît le fonctionnement de la serrure et peut donc la détourner afin d’entrer dans votre habitation malgré la sécurité initiale.
Si maintenant vous apprenez le fonctionnement de la serrure comme le cambrioleur, que pouvez-vous faire ?
Cambrioler une autre maison possédant la même serrure ? Ou mieux protéger votre propre habitation en connaissance de cause ?
Réponse : les deux.
Mais la conclusion est la même : votre serrure n’est pas sécurisée et il convient de la changer. Sans l’avoir étudiée, vous ne l’auriez jamais su, jusqu’au jour où cela aurait été « trop tard » !
Alors ok, on n’aurait pas eu besoin d’apprendre le fonctionnement de la serrure pour autant, n’est-ce pas ? Il suffirait d’appeler « un expert ».
D’accord. Mais cela pose quand même deux problèmes fondamentaux :
- On réserve le domaine à certaines personnes uniquement alors que tout le monde est concerné par la sécurité. On doit être expert ou cambrioleur pour sécuriser notre maison… sinon tant pis pour nous ? Et puis finalement cela a mené vers une pénurie mondiale de compétences en cybersécurité. Personne n’apprend « à hacker » car c’est interdit ou « réservé ». Mais les pirates eux ne se gênent pas pendant ce temps.
- On se repose uniquement sur les connaissances des experts. Sous entendu de l’être humain… qui est la faille numéro 1 en cybersécurité.
Et ce dernier point me permet de mentionner des exemples concrets de soucis de connaissances :
- mysql_real_escape_string() est une fonction PHP pour éviter le piratage d’un site. Ça c’est ce que les experts nous disaient. Puis les pirates ont réussi à la détourner. Ces derniers ayant ainsi un coup d’avance sur les experts sur le long terme. Finalement ladite fonction se trouve aujourd’hui obsolète alors qu’elle serait toujours utilisée si l’on n’avait pas essayé de la détourner, ni de trouver une meilleure alternative.
- « Il faut observer l’expéditeur de l’e-mail » est un conseil populaire. Et apparemment « l’adresse de l’expéditeur ne doit pas être une adresse personnelle« . Sauf que [email protected] pouvait être usurpée car aucune sécurité technique n’était en place ! Un conseil qui était donc totalement faux ami. On écoute donc les conseils des experts ou autres sources officielles… et cela nous mène au piratage…
- Apprendre le fonctionnement intime des systèmes permet certes de les détourner, mais aussi et surtout de les améliorer. C’est aussi l’âme de l’Open Source. Sans chercher à connaître les choses dans les détails et à les casser, on ne les améliore jamais. Les programmes Bug bounty vont en ce sens en proposant à des hackers éthiques de trouver légalement des vulnérabilités pour les corriger et se voir récompenser.
Pour améliorer le monde il a toujours fallu commencer par le connaître en détail, puis le tester, le bidouiller. Pour le coup « améliorer le monde » est subjectif mais c’est un autre débat…
Ceci étant dit, je tiens bien à garder mon site du bon côté du hacking, du côté éthique du terme.
C’est pour cela que mes articles sont à la fois détaillés pour vous aider concrètement à mieux vous protéger, mais à la fois généraux pour empêcher de réutiliser des techniques à des fins malveillantes.
Un jonglage quotidien en somme…
Je fais finalement des preuves de concept. Ce sont, je cite « des réalisations courtes ou incomplètes d’une certaine méthode ou idée pour démontrer sa faisabilité ».
C’est le compromis à faire sur un blog public où il n’est pas possible de connaître les intentions des visiteurs.
EDIT : Quelques années après, j’ai également créé le centre de formation Cyberini qui est dédié à la cybersécurité. Et dans lequel je peux pleinement m’assurer que chaque apprenant a des buts éthiques. Cela permet d’enseigner les détails techniques nécessaires dans le milieu, avec le moins de risques possibles de voir les connaissances mal utilisées.