Les différents types de pirates :Afin de pouvoir sécuriser un système, il est nécessaire d’identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l’ennemi. Donner un aperçu des motivations éventuelles des pirates, les catégoriser et comprendre leur façon de
procéder peut permettre dans un deuxième temps de limiter les risques d’intrusion.
* Définition d’un hacker
Le terme de hacker est aujourd’hui utilisé comme synonyme de pirate informatique.
Pourtant, le terme hacker a eu plus d’une signification depuis son apparition à la fin des années 50. À l’origine ce nom désignait les programmeurs émérites, puis il servit au cours des années 70 à décrire les révolutionnaires de
l’informatique, qui pour la plupart sont devenus les fondateurs de grandes entreprises informatiques.
C’est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes impliquées dans le piratage de jeux vidéos, en désamorçant les protections de ces derniers, puis en en revendant des copies.
Aujourd’hui ce mot est utilisé pour désigner les personnes s’introduisant dans les systèmes informatiques.
* Les différents types de pirates
On peut classer les hackers en fonction de leur expérience mais surtout de leurs motivations. Ainsi :
Les whites hackers, hackers au sens noble du terme, ont pour but d’aider à l’amélioration des systèmes et technologies informatiques.
Les blacks hackers, au contraire, s’introduisent dans les systèmes informatiques dans un but nuisible.
Les phreakers sont des pirates s’intéressant au réseau téléphonique commuté (RTC) afin de l’utiliser gratuitement grâce à des circuits électroniques connectés à la ligne téléphonique dans le but d’en falsifier le fonctionnement.
Les carders s’attaquent principalement aux systèmes de cartes bancaires pour en comprendre le fonctionnement et en exploiter les failles.
Les crackers créent des outils logiciels permettant d’attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants.
Enfin, les hacktivistes (contraction de hackers et activistes que l’on peut traduire en cybermilitant), sont des hackers dont la motivation est principalement idéologique.
Dans la réalité ce type de distinction n’est bien évidemment pas aussi net.
* Le but du piratage
Le hacker ayant l’intention de s’introduire dans les systèmes informatiques recherche dans un premier temps des failles, c’est-à-dire une vulnérabilité nuisible à la sécurité du système, dans les protocoles, les systèmes d’exploitation ou les applications d’un ordinateur ou d’un réseau.
Pour ce faire, il respecte plusieurs étapes :
La première étape consiste à récupérer le maximum d’informations sur l’architecture du réseau et sur les systèmes d’exploitation et applications fonctionnant sur celui-ci.
Une fois que le hacker a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu’il a recensées. Un premier accès à une machine lui permettra d’étendre son action afin de récupérer d’autres informations, et éventuellement d’étendre ses privilèges sur la machine.
Lorsqu’un accès administrateur (le terme anglais « root » est généralement utilisé) est obtenu, on parle alors de compromission de la machine, car les fichiers systèmes sont susceptibles d’avoir été modifiés. Le hacker possède alors le plus haut niveau de droit sur la machine. un est autorisée non délit – La Dunod © photocopie
La dernière étape du hacker consiste à effacer ses traces, afin d’éviter tout soupçon de la part de l’administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises.
* La récupération d’informations sur le système
L’obtention d’informations sur le réseau visé est un préalable à toute attaque. Elle consiste à rassembler le maximum de données telles que :
Adresse IP.
Nom de domaine.
Protocoles de réseau.
Services activés.
Architecture des serveurs.
Etc.
En connaissant l’adresse IP publique d’une des machines de votre réseau ou bien tout simplement le nom de domaine de votre entreprise, un hacker est potentiellement capable de connaître l’adressage du réseau tout entier, c’est-à-dire la plage d’adresses IP lui appartenant et son découpage en sous-réseaux. Pour cela il suffit de consulter les bases publiques d’attribution des adresses IP et des noms de domaine sur des sites tels que :
www.iana.net, pour la planète entière
www.ripe.net pour l’Europe
www.arin.net pour les États-Unis
Lorsque la topologie du réseau est connue par le hacker, il peut le scanner, c’est-à-dire déterminer à l’aide d’un outil logiciel quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d’exploitation utilisé par ces serveurs. L’outil le plus connu pour scanner un réseau est sans doute Nmap (à télécharger sur le site www.insecure.org), reconnu par de nombreux administrateurs réseaux comme un outil indispensable à la sécurisation d’un réseau. Cet outil agit en envoyant des paquets TCP à un ensemble de machines sur un réseau (déterminé par une adresse réseau et un masque), puis il analyse les réponses. Selon l’allure des paquets TCP reçus, il lui est possible de déterminer le système d’exploitation distant pour chaque machine scannée.
Il existe un autre type de scanneur, appelé mappeur passif (le plus connu étant Siphon, à télécharger sur http://siphon.datanerds.net), permettant de connaître la topologie réseau du brin physique sur lequel le mappeur analyse les paquets. Contrairement aux scanners précédents, cet outil n’envoie pas de paquets sur le réseau et est donc totalement indétectable des systèmes de détection d’intrusion.
Lorsque le «scan» du réseau est terminé, il suffit au hacker d’examiner le fichier journal (log) des outils utilisés pour connaître les adresses IP des machines connectées au réseau et les ports ouverts sur celles-ci. Les numéros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l’inviter à interroger le service afin d’obtenir des informations supplémentaires sur la version du serveur.
Après avoir établi l’inventaire du parc logiciel et éventuellement matériel, il reste au hacker à déterminer si des failles existent.
Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d’intrusion afin de constater si certaines applications possèdent des failles de sécurité. Les deux principaux scanneurs de failles sont Nessus (www.nessus.org) et NT (www.wwdsi.com/saint).
Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le réseau, il est en mesure de préparer son intrusion.
Pour pouvoir s’introduire dans le réseau, le pirate a besoin d’accéder à des comptes valides sur les machines qu’il a recensé. Pour ce faire, plusieurs méthodes sont utilisées par les pirates :
Le social engineering, c’est-à-dire en contactant directement certains utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe. Ceci est généralement fait en se faisant passer pour l’administrateur réseau.
La consultation de l’annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d’utilisateurs valides.
L’exploitation des vulnérabilités décrites ci-dessus.
Le brute force cracking, c’est-à-dire l’essai automatisé de différents mots de passe sur une liste de compte (par exemple l’identifiant, éventuellement suivi d’un chiffre, ou bien du mot de passe, etc.).
* L’extension de privilèges
Lorsque le pirate a obtenu un accès sur le réseau en se logeant sur un compte peu protégé, celui-ci va chercher à augmenter ses privilèges en obtenant l’accès root, celui de l’administrateur. En effet, dès qu’un accès root a été obtenu sur une machine, l’attaquant a la possibilité d’investiguer le réseau à la recherche d’informations supplémentaires.
Pour ce faire, il peut installer un sniffeur (par exemple Dsniff, téléchargeable sur www.datanerds.net/~mike/dsniff.html), c’est-à-dire un logiciel capable d’écouter le trafic réseau en provenance ou à destination des machines auxquelles il a accès. Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d’accéder à des comptes sur d’autres machines du réseau (par exemple l’accès au compte d’un administrateur) afin d’être à même de contrôler une plus grande partie du réseau.
* Le nettoyage des traces
Lorsque l’intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu’il a créé et en nettoyant les fichiers de logs des machines dans lesquelles il s’est introduit, c’est-à-dire en supprimant les lignes d’activité concernant ses actions.
Extrait : Beauvais, Laurence. ADSL/Câble : Sécurité absolue - Protégez votre PC des virus, spams, pirates et espions.
Paris, France: Dunod, 2004. 19.
