top of page

Le gentil, le White Hat Hacker (le hacker au chapeau blanc) :

Il s’agit souvent d’une personne qui a atteint une maturité d’esprit suffisante ainsi que des qualifications suffisantes et approuvées par les autres. Il aide les victimes, il aide à sécuriser les systèmes et combat ce qui concerne la criminalité dans les systèmes informatisés. Il est souvent à son apogée lorsqu’il est ingénieur en sécurité informatique dans une grande entreprise ou même un génie ayant réussi un exploit relayé dans les actualités. Dans le monde du hacking il est un peu prétentieux de se définir comme un white hat, c’est souvent le jugement de la communauté qui définit s’y une personne mérite ce statut ou non.

.Le méchant, le Black Hat Hacker (le hacker au chapeau noir)

Il peut être tout à fait aussi redoutable que le White Hat Hacker, tout autant expérimenté sinon plus. Il agit par contre à des fins qui lui sont propres, souventillégales.

C’est celui qui généralement détruit, vole des données et cause des ennuis. C’est aussi la définition qu’on trouve souvent dans les journaux, sous le terme général et faux de hacker. Il peuvent constituer les organisations de cyber-terroristes.

 

Le troisième type : Le Grey Hat Hacker (le hacker au chapeau gris) :

Vous l’avez compris, c’est un mix de White Hat et de Black Hat. Il agit des fois pour la bonne cause, comme un White Hat mais peut commettre de temps à autres des délis. C’est un peu le type fourre-tout lorsqu’on ne sait pas trop ou se caser. Il s’introduit par exemple illégalement dans un système afin d’en prévenir ensuite les responsables des failles qu’il aura trouvées. C’est louable mais assez dangereux d’un point de vue de la loi.

 

Les autres sous-types de hackers :

.Les hacktivistes (contraction de hacker et activiste) qui agissent pour une cause souvent politique. Ils attaquent généralement des organisations et non pas des utilisateurs particuliers. Vous pouvez y placer les groupes Anonymous ou encoreLulzsec.

.Les script-kiddies (les gamins qui utilisent les scripts) sont tous ces jeunes hommes qui loin d’avoir compris les grand principes et l’éthique d’un hacker, se servent des programmes tout faits pour causer des dommages qui peuvent êtres très gênants. Ils se vantent aussi la plupart du temps en se faisant passer pour ZeHacker.

 

 

De nouvelles méthodes :

Aujourd’hui, de nouvelles méthodes sont apparues (logiciel d’aide) et plus besoin  d’être un crack de l’informatique pour voler des données ou faire tomber un site web. Des outils simples d’utilisation et facilement accessibles sur le web permettent à n’importe qui de devenir le prochain membre des Anonymous.

 

Le Hacking fait sa révolution industrielle. Fini le temps où l’attaque d’un site web était réservé à quelques développeurs chevronnés. Les méthodes se démocratisent et tout un chacun peut aujourd’hui se convertir en Anonymous en trois clics de souris. L’éditeur de solutions de sécurité Imperva a passé deux années à arpenter les forums de hackers sur le web pour dénicher les dernières tendances en la matière. Et force est de constater que le pirate informatique d’aujourd’hui est bien éloigné de l’image du génie de l’informatique reclus dans son garage. « Grâce à la vente de logiciels et de services en ligne, ce qui prenait des semaines ou des mois prend maintenant quelques minutes, indique Sylvain Gil, Chef de produit chez Imperva.

Quelles sont donc ces techniques utilisées par les « petits » hackers ? Deux méthodes ressortent particulièrement : l’injection SQL et le DoS/DDoS (Denial of Service/Distributed Denial of Service). Si aucune d’elles ne constitue véritablement une nouveauté, les méthodes se sont considérablement simplifiées.

 

La « bonne vieille » injection SQL

Un chiffre pour commencer : 83 % des fuites de données dues au piratage sont causées par des injections SQL (Source : Privacy Rights Clearinghouse). Le principe est simple puisqu’il s’agit d’entrer une instruction SQL dans une application web liée à une base de données. Il suffit pour cela de passer, par exemple, par un formulaire classique d’identification pour accéder à son compte personnel sur le site internet en question. « Les bonnes vieilles techniques fonctionnent toujours, remarque Sylvain Gyl. Beaucoup d'entreprises n’y sont pas sensibilisée ou n’ont pas le budget pour recruter des experts en sécurité qui connaissent ces problématiques ».

Ce type d’attaque peut avoir plusieurs objectifs : vol de données sensibles d'une société, vol du mot de passe administrateur ou encore distribution de malware aux visiteurs du site web. Les conséquences peuvent être très importantes, comme l’a montré l’exemple de Sony en 2011. Le géant japonais avait dû interrompre son service Playstation Network pendant plusieurs semaines après que des pirates aient volé les données personnelles de 77 millions d’utilisateurs. L’impact de l’attaque avait alors été estimé par Sony à 122 millions d’euros.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Le cours de l'action Sony a chuté suite au piratage de 2011.

 

 

Reste que jusqu’à présent, de solides connaissances étaient nécessaires en matière de programmation et de bases de données pour coder la bonne instruction qui aboutira à un résultat. Les compétences techniques nécessaires pour réaliser aujourd’hui une attaque par injection SQL sont pour le moins limitées. Premier étape : trouver sa cible. Beaucoup de failles sont connues et corrigées régulièrement par les éditeurs via des patchs de sécurité. Des outils permettent de dénicher les sites web qui n’ont pas appliqué ces mises-à-jour. Un des plus utilisé se nomme Google Dorking. Ce dernier utilise la puissance du célèbre moteur de recherche pour trouver par exemple un site utilisant une ancienne version de WordPress. Pour faciliter un peu plus la tâche, il affiche les dernières recherches effectuées. Un outil comme DorkPower permet même de réaliser automatiquement ces requêtes sur différents serveurs Google afin d’éviter tout blocage de la part du moteur de recherche. D’autres applications gratuites et commerciales, initialement destinées aux experts sécurité dans les entreprises, peuvent également être détournées de leur usage premier. Un scanner comme celui d’Acunetix est capable de découvrir les vulnérabilités d’un site web.

Une fois la cible et ses failles identifiées, il est temps de passer à l’attaque automatisée, encore une fois grâce à des outils accessible sur le web. « Vous les pointez sur une URL repérée grâce au scan et ensuite, vous laissez faire un algorithme qui va créer la meilleure requête SQL pour récupérer les données ». Et le tour est joué. À noter également que les données hachées stockées sur la base (généralement des mots de passe) ne sont pas à l’abri. Grâce aux différentes offres IaaS existantes, il est possible de mobiliser temporairement la puissance de calcul nécessaire pour les décrypter en brute-force.

 

Le DDoS : arme préférée des « Hacktivistes »

Passer de 25 000 transactions par seconde à plus de 550 000 en l’espace de quelques heures, voilà qui pourrait causer des problèmes à bon nombre de sites web. Et c’est ce qui est arrivé au site du Vatican suite à une attaque lancée par le collectif Anonymous. Alors qu’une offensive de ce type visait traditionnellement la couche réseau, les DDoS ont de plus en plus tendance à cibler la couche applicative pour faire tomber un site internet. « Au lieu d’exploiter les faiblesses du datacenter ou de l’OS, on vise directement  le code PHP ou Java de l’application web ».

L’idée est de faire utiliser le plus de ressources possibles au système. Concrètement, imaginez un site intégrant un moteur de recherche interne. Il suffit de copier l’URL d’une requête et de la rentrer dans un outil qui va la répéter plusieurs dizaines de milliers de fois pour inonder le site et le rendre inaccessible.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Une simple recherche répétée des dizaines de milliers de fois peut rendre un site internet inaccessible.

 

 

Le DDoS est la tactique la plus utilisée des Anonymous. Le collectif de hackers recrute sur les réseaux sociaux des internautes prêts à participer à la prochaine attaque. Une fois le groupe constitué, il invite les participants à utiliser HOIC (Hight Orbit Ion Canon, ou LOIC dans son ancienne version). Presque toutes les attaques Anonymous viennent de cet outil. Avec seulement trois champs à remplir et un bouton à cliquer pour initier le DDoS, difficile de faire plus simple Une version mobile, accessible depuis un navigateur web, a été développée afin de pouvoir participer à une attaque communautaire depuis son téléphone.

Outre les motivations politiques de groupe comme Anonymous, le déni de service sert essentiellement à gagner de l’argent, en exigeant par exemple d’une société le versement d’une somme d’argent en échange d’un abandon de l’attaque. Une entreprise peut également souhaiter rendre le site e-commerce de son concurrent inaccessible pendant une période d’activité importante. La vente de logiciels et de services se développe également. Comptez entre 2 et 5 dollars de l’heure pour commander une attaque sur le site de votre choix ! Certains tentent également de vendre leurs outils mais, ironie de la chose, se retrouvent eux-mêmes confronté à d’autres hackers qui crackent ces logiciels de piratage.

« Résoudre le problème n’est pas très compliqué, assure Sylvain Gyl, mais le point faible est au niveau applicatif et ce n'est pas un investissement prioritaire pour les entreprises. Le niveau d'apprentissage requis du développeur pour sécuriser est beaucoup plus élevé que le niveau d'apprentissage nécessaire au hacker pour pirater. La solution est d’avoir un service en amont de l’application qui filtre les requêtes ». D’après  une étude Gartner, seulement 5% des dépenses sécurité sont dédiées directement à la protection d’applications et de données.

 

 

Les Types De Hackers

bottom of page