Les pirates ne voguent plus sur les mers... mais surf sur le Web
Réalisé par DanyVachon - Dernière mise à jour : 4 avril 2007
Introduction
Un ordinateur, une connexion Internet et voilà tout un monde qui s'offre à nous… Un nouveau monde sans frontières, un espace ouvert à tous. D'un clic de souris, nous voilà à Pékin; un autre clic et c'est Beyrouth, Paris ou Tokyo. Nous sommes des millions d'utilisateurs à nous retrouver chaque jour pour dialoguer et échanger des informations sur le réseau mondial : courrier électronique, forums de discussion, sites d'information, compte bancaires en ligne, visioconférence, sites marchands, sites d'enchères, services de téléphonie… Internet présente une multitude de facettes ! Chaque jour, des milliards de fichiers circulent sur le Net. L'autoroute des données et de l'information ne s'arrête jamais…
Nous sommes tous concernés par ce nouveau phénomène : étudiants, jeunes, adultes, professionnels, hommes d'affaires, entreprises et Etats, etc. Aujourd'hui, Internet est incontournable. Cependant, comme le dit Lawrence Lessig, Professeur de droit à l'Université de Stanford (Californie), "si les technologies permettent un extraordinaire bouillonnement créatif et facilitent la circulation du savoir, elles peuvent être aussi utilisées pour restreindre et contrôler la culture et la connaissance d'une façon qu'aucune société libre n'a jamais toléré jusque-là". Les nouvelles technologies et notamment Internet peuvent avoir un double usage : un accès universel à la connaissance ou un détournement des données par " piratage ". En effet, cette "révolution informatique" attire aussi des professionnels de la fraude, des " cybercriminels " et des pirates informatiques.
Qu'est-ce que le piratage informatique?
Le piratage informatique est une intrusion dans des systèmes informatiques dans le but de dérober des informations protégées et confidentielles. Le pirate utilise Internet pour lire des données stockées sur un ordinateur distant et tenter éventuellement de les modifier ou de les détruire.
En 1998, dans son Lexique de l'Internet, J.-C. Finidori définit un pirate informatique comme étant : un expert informatique qui s’introduit de manière délictueuse dans une machine sécurisée, pour récupérer des informations confidentielles ou endommager le système et ses dossiers.'
Historique du piratage informatique
Faire l'historique des hackers permet de comprendre le développement et la dynamique qui ont mené à l'existence des hackers contemporains. Bien sûr, le but n'est pas ici de faire un historique complet et exhaustif, mais plutôt de cerner les phases principales du développement de cette pratique pour comprendre d'où viennent les hackers et dans quel sens vont-ils.
Avant l'apparition des ordinateurs : les pheakers
Au début des années soixante, en pleine révolution sociale américaine, naissait un " mouvement technologique anti-institutions et anarchiste. C'est dans ce mouvement que se greffe le phreaking, (diminutif de freak, free et phone, littéralement des mordus du téléphone gratuit), qui est une pratique de piratage du système téléphonique. Le but des phreakers était de connaître parfaitement le fonctionnement du système téléphonique (souvent mieux que les techniciens des entreprises de services téléphoniques), surtout de connaître ses failles, et ainsi de le déjouer pour leur permettre d'effectuer gratuitement des appels interurbains. Toutefois, l'accès gratuit aux appels longue distance n'était souvent pas le but des phreakers : ils voulaient simplement connaître le système téléphonique.
Cette pratique du phreakers dura une dizaine d'années pendant laquelle se formèrent des groupes d'échanges, des clubs, ainsi que des publications destinées à faire circuler les informations accumulées sur les façons de déjouer les systèmes téléphoniques. Les lignes de téléconférences, vers la fin des années 1960, permirent le développement rapide de communautés de phreakers et l'accroissement de cette pratique. Ce n'est qu'en octobre 1971, lors de la publication de l'article de Ron Rosenbaum dans le magazine Esquire, " Secrets of the Little Blue Box ", que le public américain appris l'existence des phreakers et de cette pratique de piratage téléphonique. Cet article est un moment clé dans l'histoire du phreaking puisque à partir de ce moment plusieurs États américains prirent des mesures légales pour interdire cette pratique.
La naissance des ordinateurs personnels
La contre-culture américaine des années 1970, particulièrement intense en Californie, continuait son mouvement en prenant l'assaut contre les grandes entreprises et les administrations gouvernementales grâce aux technologies de l'informatique. L'idée des révolutionnaires technologiques était simple : déplacer l'ordinateur des laboratoires d'institutions privées et gouvernementales pour le mettre à la disposition de la population de façon à équilibrer les forces en présence. Ainsi, le 5 mars 1975, pris naissance le Homebrew Computer Club à Menlo Park en Californie. Ce club avait pour but de permettre le développement de micro-ordinateurs et de démocratiser l'accès aux outils informatiques.
Deux membres du Club se démarquèrent rapidement du groupe par leur production en masse des maintenant très connus, Apple Computers. Le micro-ordinateur Apple II qui fit sa sortie officielle en avril 1977, mettait en pratique le slogan " power to the people " en donnant accès à des outils de traitement de l'information, auparavant réservés aux grandes entreprises et au gouvernement. Bien que la révolution informatique ne soit pas le seul fait de la réalisation de ces deux individus, ils ont tout de même permis de devancer le mouvement. Peu de temps après la sortie de Apple II, IBM en 1981, ainsi que des centaines d'autres petites et moyennes entreprises mirent sur le marché des micro-ordinateurs. C'est à partir de ce moment que c'est développé la communauté hackers. Avec comme premier " terrain de jeux ", le réseau de l'armée et les réseaux universitaires.
Une des toute première et plus connue action de piratage fut le piratage de Gray One, dans les années 80 :
C'est le Matin de Paris qui a révélé, au mois de juillet 1986, que la machine gérée par l'école Polytechnique, un Cray One, l'un des ordinateurs les plus puissants du moment, d'une valeur d'environ 70 millions de francs, avait été piraté par des hackers français alors que l'inconscient collectif réservait ce sport aux informaticiens d'outre-atlantique. La manipulation a été effectuée depuis une salle informatique de l'Université de Jussieu. Au cours de leurs visites, ils tombent sur une liste de numéros d'appel et de mots de passe qui leur semble intéressants. Il y figure notamment celui du frontal du Cray, qui sert à communiquer avec le monstre. A dix heures du soir le vingt mars 1986, les pirates estiment que " les ingénieurs système doivent être moins vigilants, ou sans doute absents ". Ils décident donc de tenter leur chance en s'infiltrant sur le DPS8 de l'Ecole Polytechnique. Il s'agit d'un mini-ordinateur IBM sous système d'exploitation Multics, grâce auquel les ingénieurs alimentent le Cray en calculs lourds.
Lorsqu'ils s'aperçoivent que les responsables des machines ont découvert leur présence et changent les codes d'accès, les pirates jugent qu'il est grand temps d'arrêter les frais. Au passage, ils ont tout de même déjà visité une quinzaine de sites Multics, dont celui de la Régie Renault, où figuraient peut-être quelques plans secrets. Ils sont même parvenus en Arizona, au centre de télémaintenance d'Honeywell Bull. Mais, dans leur ferveur, ils ont commis quelques erreurs. Ils ont disséminé notamment des " chevaux de Troie ", ces fameux fichiers en apparence ordinaires qui dissimulent des instructions secrètes. Et comme souvent, la piètre qualité des fichiers provoque des pannes régulières sur les ordinateurs attaqués. A la base, personne n'avait de réelle intention de nuire. Mais, selon les enquêteurs, les dommages provoqués par ces piratages successifs ont dépassé quatre millions de francs. Malheureusement, au moment où les pirates décident de tout arrêter, la Défense nationale menace d'entamer des poursuites judiciaires à leur encontre. Car le groupement d'intérêt économique auquel est affecté le Cray rassemble, outre Polytechnique, le C.N.R.S., l'Office national de recherches aérospatiales, la Météorologie nationale et enfin, à hauteur de 5%, la très secrète D.G.A. (Direction générale des armements). La machine n'est certes pas classée secret-défense, mais elle effectue des études pour le compte de l'industrie militaire française. Sa grande puissance de calcul permet en effet de déterminer, avec une extrême précision, la résistance d'une pièce de char ou la forme d'un canon. Il s'agit donc de traiter l'affaire de façon exemplaire, même si, à l'époque, la législation ne prévoyait qu'une amende de 3500 Francs pour réprimer des accès indus sur les réseaux informatiques. Pour les entreprises civiles, l'affaire n'est pas non plus sans conséquence. Heureusement il n'y a pas eu de détournement d'heures de Cray. Celles-ci sont estimées entre 10000 et 15000 Francs (à l'époque). Mais il faut s'assurer que l'épisode ne se reproduira plus, notamment en renforçant la sécurité. Et reste la question de la protection des intérêts nationaux.
Hacker, cracker, script-kiddies : on assiste à une multiplication des mots utilisés pour désigner les pirates. Qu'est-ce qui différencie ces termes?
Les Hackers se définissent eux-mêmes comme des passionnés des réseaux. Ils veulent comprendre le fonctionnement des systèmes informatiques et tester à la fois les capacités des outils et leurs connaissances. La plupart des hackers affirment s'introduire dans les systèmes par passion pour l'informatique et pas dans l'objectif de détruire ou de voler des données. Pour les experts du "monde underground", un vrai hacker est celui qui s'infiltre dans un serveur pour découvrir les failles de sécurité et qui alerte ensuite les responsables.
À l'opposé, les crackers (criminels informatiques) ou des script-kiddies (pirates débutants qui agissent uniquement à l'aide des logiciels prêts à utiliser) préconisent une logique de destruction ou de gain financier.
Tous les pirates n'ont pas les mêmes motivations
Beaucoup d'entre eux affirment attaquer les systèmes pour le fun, pour le challenge. On trouve aussi des pirates qui veulent se faire connaître ou même trouver un emploi par ce moyen ! Une station de radio canadienne avait par exemple embauché un pirate en tant que responsable sécurité car celui-ci avait découvert des failles importantes et il était le seul à savoir comment y remédier. Contrairement aux idées reçues, les pirates qui attaquent des serveurs pour gagner de l'argent ou accéder aux données financières ne sont pas très nombreux. Car ce type de piratage nécessite des compétences de très haut niveau. Or, le "monde underground" fourmille des script-kiddies qui n'ont pas de compétences pointues et qui se contentent d'installer des chevaux de Troie téléchargés sur le Net. Pour les hackers, les script-kiddies sont responsables de près de 90 % des attaques.
Les outils et méthodes des hackers
Les débutants utilisent des logiciels qui scannent le web à la recherche des systèmes vulnérables. Quant aux hackers, ils commencent leur travail d'abord par une enquête sur leur cible : l'adresse IP, les logiciels installés, etc. Ces informations sont parfois très facilement accessibles : les forums en ligne fourmillent de messages d'administrateurs qui détaillent les caractéristiques de leur système en cherchant une solution à leur problème. Une fois ces informations obtenues, le pirate peut utiliser plusieurs techniques, comme l'intrusion par un port TCP/IP non protégé, l'exploitation des failles de sécurité des logiciels, l'IP Spoofing (usurpation de l'adresse IP de la victime) ou le Buffer overflow (blocage de l'ordinateur par l'envoi répétitif de données).
Les types d'attaques
La liste exhaustive qui suit présente les principales attaques reconnues sur le Net et les termes qui s'y raccordent. Bien entendu, la juxtaposition ou le cumul de ces différentes attaques est possible.
'Le Buffer Overflow'
Il s'agit d'exploiter la mauvaise gestion de la pile mémoire (réservation et allocation des espaces de la mémoires) dans un programme. Le principe est l'envoi délibéré d'une trop grande quantité d'informations dans un champ ou une variable, entraînant un dépassement de la zone mémoire prévue pour celle-ci.
'DoS : Denial of service'
Attaquer un point faible d'un seveur ou d'un système d'exploitation pour le mettre hors service. Il est à noter que cette attaque n'altère pas le contenu du service, le mettant simplement hors-service.
'Exploits'
Il s'agit d'un terme générique qui désigne une faille ou un "bug" dans un OS (operating system), un serveur qui permet d'y accèder ou de le faire cesser de fonctionner. Certains serveurs Web possèdent des Exploits qui permettent d'avoir accès au répertoire et de modifier tous les fichiers.
'Flood'
Le flooding consiste à saturer une machine de requêtes TCP par un envoi massif et rapide de sorte que la machine qui les reçoit ne puisse plus les traiter. Celle-ci arrête donc de répondre (ne ping plus).
'Mail Bombing'
Bombarder une adresse e-mail de milliers de courriers inutiles. Il existe des programmmes (mail bombers) chargés d'envoyer des courriers automatiquement. Un hacker peut ainsi s'en prendre à des listes de diffusions et "bomber" plusieurs personnes en même temps.
'Nuke'
C'est un type très commun d'attaque DoS contre un ordinateur personnel. Il peut faire planter windows ou encore couper la connection internet de la personne qui c'est fait "nuké". On attaque ici certains points faibles connus d'un système d'exploitation.
'Port scanning ou scan'
Le scanning n'est pas vraiment une attaque. Il s'agit d'une verification des ports ouverts sur un ordinateur dans le but d'y pénétrer.
'Smurf'
Un hacker se procure l'adresse IP d'un serveur et envoie une requete ICMP (ping) à plusieurs classes d'adresses IP. Celles-ci répondent à la requête, le serveur se trouve alors innondé (floodé) de connections.
'Sniffing (sniffers)'
Programme qui permet de voir tout le traffic qui passe par l'ordinateur piraté. On peut ainsi avoir accès au courrier électronique, les pages web et tout ce que l'ordinateur fait sur internet. Il s'agit en fait de de mettre la connexion sous écoute.
'Spam'
Le spam n'est pas vraiment du hacking mais ils s'agit tout de même d'une activité illégal qui consiste à envoyer des e-mails de publicités ou autres massivement et de façon automatisée à des newsgroups ou à des listes de diffusions (listes d'adresses de courriel).
'Spoofing'
Il s'agit de voler l'adresse ip d'un ordinateur. Le spoofing est utilisé par les hackers comme une sorte de camouflage leur permettant de hacker un ordinateur en passant par un autre, à l'insu souvent de son utilisateur.
'Trojan'
C'est un programme, comparable à un virus, qui donne accès a votre ordinateur sans votre autorisation. Certains trojans comme Subseven donne même accès a la base de registre de windows. C'est bien souvent à l'aide des trojans que le hacker se procure l'adresse IP de votre machine afin d'utiliser la technique du spoofing.
'Worms (vers)'
C'est un virus qui est capable de se propager de lui-même sur un réseau local (lan).
Les dérivés du piratage informatique
Avec le temps, l'expression " piratage informatique " a évolué. Les médias ont repris le terme afin de l'associer au téléchargment illégal de matériel informatique. Depuis l'essor des médias et le commerce de la culture, la reproduction et le partage de produits culturels en dehors des circuits traditionnels (sans accord des ayant droits et sans rémunération directe) se sont développés et ont été combattus par les industriels de la musique et du cinéma. Les sociétés de production musicale ont entamé entre 8000 et 10 000 procès à l’encontre de personne ayant partagé de la musique dans 18 pays.
Avec l’émergence de la « mode » du téléchargement, nombre d’éditeurs sont aujourd’hui confrontés à un grave problème. En effet, dû à des téléchargements massifs, nombre d’entre eux enregistrent des pertes souvent immenses. En effet, en prenant l’exemple du MP3, les morceaux téléchargés le sont souvent gratuitement et illégalement, ce qui constitue un manque à gagner pour les artistes. Cette violation du droit d’auteur pousse de nombreux pays à essayer de légiférer sur cette pratique de plus en plus répandue non seulement dans le monde de la musique.
Pour pallier à ce problème, beaucoup de sites se spécialisent, par exemple, dans le téléchargement de musique, mais légalement, cette fois, en permettant aux utilisateurs d’acheter leurs morceaux à très bas prix, ou d’autres qui permettent d’obtenir des versions d’essais de logiciels, ceux-ci pouvant être débloqués en ligne après leur achat.
Actuellement, des débats sont en cours pour tenter de légiférer sur les violations de droit d'auteur, notament à cause des téléchargement abusifs (remise en cause des serveurs p2p comme Bittorent ou Emule), et des lois telles la loi DADVSI sont mises au point, bien que, dû à la nature même d'Internet, il soit impossible de réellement légiférer...
Quelques questions sur le sujet
Le piratage informatique occasionne-t-il essentiellement des effets négatifs ?
Et bien NON ! Comme nous l'avons vu, le travail réalisé par les Hackers permet d'accroître la sécurité de certains sites et logiciels. En effet, les intrusions réalisées par les hackers servent a déceler les failles du système afin de mieux le renforcer. Ainsi, il est possible de développer des logiciels, des anti-virus et des anti-spyware de meilleure qualité. Il reste néanmoins que les dommages causés par les crackers (criminels informatiques) demeurent présents et importants.
Sommes-nous tous des pirates informatiques ?
Dans la manipulation faite du terme par les médias, plusieurs d'entres nous peuvent se considérer comme des pirates informatiques. En fait, avec la prolifération des lecteurs mp3 et des logiciels pour télécharger ces mp3, de plus en plus de personnes pratiques d'une façon dérivée le piratage informatique. Le fait de s'approprier des chansons sans l'autorisation des maisons de disque consitute une forme de piratage. Parallèlement, le téléchargment de films sur Internet s'avère aussi une forme de piratage. Or, il est possible de jeter le blâme sur plusieurs personnes : les fabricants de lecteurs mp3 et de CD vierge, les fabricants de graveur CD et DVD, les logiciels de téléchargement, etc. Dans ce contexte, plusieurs compagnies alimentent et favorisent le piratage informatique, et ce, en tentant de réaliser d'importants profits.
Le téléchargement illégal de musique, de films et de jeux vidéos peut-il tuer ces industries ?
Comme souligné dans la réponse précédente, plusieurs éléments incitent les gens à télécharger illégalement du matériel sur internet. Un débat est largement ouvert à ce sujet. L'expansion phénoménal des lecteurs mp3 matérialise le paradoxe : On ne peut pas télécharger de la musique sur Internet.... mais comment garnir mon lecteur Mp3 ? Il est intéressant d'observer la situation présente : Le contenant (lecteur mp3) ont pris le dessus sur le contenu (mp3-musique). Afin de rentabiliser l'achat de notre lecteur, il est normal que l'on veuille se procurer des mp3. Pourquoi dépenser de l'argent dans l'achat de CD lorsque des millions de chansons s'offrent à nous gratuitement ? Pour l'instant, l'industrie de la musique et du cinéma souffre de la situation , mais continue d'enregistrer des profits. Mais le phénomène risque de gagner en popularité, notamment avec l'expansion des connexions haute-vitesse qui permettent un téléchargement plus rapide. Avec le temps, les compagnies de disque ou de cinéma risquent de réduire leurs productions si elles ne s'avèrent pas rentables !!! Certaines industries ont déjà commencé à les réduire, notamment l'industrie du jeux vidéos. En fait, à chaque sortie de jeux sur ordinateurs, les compagnies perdent des millions à cause des internautes qui téléchargent les produits en ligne. Certaines compagnies ont implanté des "Cd key ou clés d'activation afin de limiter le téléchargment. Or, cela n'est pas suffisant, car on retrouve des "CD key generator qui créer des clés d'activation. L'industrie du jeux vidéos sur PC va mal et les compagnies ont commencé à seulement produire des jeux sur les consoles (Play Station2, Xbox) , car il est beaucoup difficile de pirater les jeux. Or, cela est toujours faisable.
Conclusion
La sécurité informatique est une course permanente contre l'insécurité. Derrière les bits et les octets se cachent des hommes, tant du coté du piratage que de la sécurité. Cette course sans fin entre cybercriminalité et cybersécurité prend de plus en plus d'importance avec l'omniprésence des systèmes informatiques et la démocratisation d'Internet. Tous les jours, de nouveaux programmes sont victimes d'attaques et de nouvelles failles sont découvertes. Heureusement, il faut rarement plus de deux heures pour trouver le remède nécessaire et pallier les méfaits du piratage.
Pour autant, la cybercriminalité ne remet pas en cause l'innovation. Il n'y a qu'à prendre l'exemple du wifi, une technologie qui présente certains risques (il suffit de se promener à Paris ou à Tokyo avec un ordinateur pour capter facilement de nombreux réseaux wifi non protégés) mais qui connaît néanmoins un essor considérable. La cyber délinquance n'est pas une fatalité !
Mots de passe et outils de cryptographie existent et sont là pour nous aider à protéger nos informations personnelles autant que notre argent électronique. L'antivirus est le " médecin " de notre ordinateur tandis que le pare-feu tient le rôle de " police des frontières " en bloquant les intrusions illégitimes et les fuites de renseignements. Tout cela se passe dans un cadre juridique défini. Il faut aussi noter l'importance du facteur humain. De nos jours, les attaques faisant appel aux réactions et aux sentiments humains (ingénierie sociale) représentent une part de plus en plus considérable des nuisances informatiques. Il n'existe pas de logiciel contre la naïveté ni contre la curiosité !
Mais aussi négative que soit l'action des hackers, celle-ci contribue à l'amélioration des techniques de sécurité, sans doute plus encore que n'importe quel programme institutionnel de recherche. Simples bidouilleurs ou vrais cyber-criminels, ils jouent un rôle d'aiguillon qui oblige les responsables de la protection des systèmes à sans cesse se remettre en question et à améliorer leurs dispositifs. Imaginons un monde sans recherche de techniques préventives ni d'outils de test des failles informatiques : ce monde connaîtrait-il une avancée technologique perpétuelle comme aujourd'hui et surtout cette avancée serait-elle aussi rapide ?
Malheureusement, les meilleures solutions techniques pour aménager une sécurité fiable ne permettent pas de parer à toutes les attaques des hackers. Ces derniers auront toujours une longueur d'avance. Cependant, nous pouvons au moins espérer ne pas être victimes de notre propre insouciance. Pour limiter les risques et tenir ces mauvais garçons à distance il est impératif de modifier nos comportements. Il y aura toujours quelque part dans le monde des personnes cherchant à perturber ou à neutraliser nos systèmes informatiques par une intervention directe (piratage, intrusion…) ou indirecte (virus, vers, maliciels…). Il nous appartient, à titre collectif et individuel, de connaître ces risques afin d'évaluer clairement la menace et de prendre les mesures techniques (antivirus, pare-feu…) et surtout comportementales (précautions par rapport au spam, sauvegardes de données…) qui nous permettront de tirer le meilleur profit de ces formidables outils sans en subir les effets pervers…
Le piratage informatique élargit son répertoire d'adeptes. Désormais, nous sommes tous quelque peu pirate selon nos intérêts. Les lecteurs mp3, les graveurs, les connexions haute-vitesse ne font qu'alimenter le phénomène. Avec le temps, ce phénomène pourrait faire disparaître ou limiter la production de la musique, des films et des jeux vidéos. Malgré le fait que ces éléments compte beaucoup dans notre société de consommation, nous tuons à petit feu ces industries. Lorsque que cela se produira, nous serons les seuls à blâmer.
Bibliographie
http://www.sunrise.ch/fr/kundendienst/sicherheit/hacking.htm
http://www.symantec.com/region/fr/resources/pirate2.html
http://www.piratage-informatique.com/
http://www.lefaso.net/article.php3?id_article=12772