os
‘eG
1+ DES ENTREPRISES EN GUERRE CONTRE LES HACKERS
TEMOIGNAGE
«c LEHACKING, C'EST UN ETAT D'ESPRIT »
‘Stéphane tatonne,
multiplie les combinaisons.
Pour un non-initié,
les séries de chifres et
de lettres qu'il entre
dans le champ de recherche
du site d’e-commerce
n’ont pas grand sens. C'est
pourtant Pune d’entre elles qui
lui permet de pénétrer dans
Ta partie « administrateu
du site et d’accéder a la base
clients. « Quand ils codent,
les programmeurs suivent une
logique, explique ce hacker
d'une trentaine d’années. IL
faut la connaitre pour pouvoir
‘mieux la contourner. Il faut
aussi tre patient. +
‘Chaque étape prend du temps,
autant qu’on doit s'assurer
que l'on ne laisse pas de traces.
Pour brouiller les pistes,
‘Stéphane utilise un puissant
logiciel d’anonymisation et
passe par des + machines
rebonds » qu'il contréle &
distance, Sur Pécran, apres
toute une série de manceuvres,
les identifiants ct les mots de
affirme-t
B+ capables de ce genre de prouesse
ne sont plus aussi rares qu’avant, Avec le
développement d'Internet, acces & 'in-
formation s'est démocratisé, Le savoir~
faire technique n’est plus Papanage de
quelques chercheurs universitaires ou
dingénieurs maison. « Au contraire, les
‘travaux les plus intéressants sont souvent
le fait de passionnés qui se sont formés
seuls et qui échangent au sein de groupes
informels », note Gaél Delalleau, ancien
auditeur en sécurité pour le cabinet de
conseil Ernst & Young. Pour leur
recherche, mais aussi par godt du défi,
certains ne s‘interdisent pas de faire des
incursions dans les systémes d'informa-
tion des entreprises. La plupart ne font
pas de dégats. Quelques-uns, cependant,
peuvent basculer du cdté obscur. It
n'existe pas de charte de déontologie ou
62 exraNsion | NOVEMBRE 2008
passe s'affichent. Ces derniers
sont codes, Pas de souci, le
hhackera dans son ordinateur
portable un petit logiciel qui
permet de déerypter tout cela,
«A condition que
soit un nom commun diy
dictionnaire », précise-
(Ce dernier peut re écrit a
Penvers ou suivid’'un numéro,
cela n'a pas importance
ces raffinements sont pris en
‘compte par le cracker, téléchar-
geable gratuitement sur le
Web, Une fois que ce dernier a
fait son travail il ne reste plus
qu’a entrer dans les comptes,
des utilisateurs et se servir: |
adresses électroniques,
numéros de carte bancaire.
Le goiit dela
technique et du défi
Le hackerne prend rien, ne
détruit pas de données. » Ce
n'est pas dans mes habitudes,
souvent une backdoor [une
porte dérobée] ou de petits
Programmes.
formatique
explique-
Stéphane est tombé
Mais je laisse
‘Crest dans carte
“Tout dépend
de conseil de Pordre : c'est & chacun de
fixer ses propres limites.
Pendant longtemps, les entreprises ont
&€ trés méfiantes vis-i-vis de ces cher-
cheurs peu académiques. Toute intrusion,
toute divulgation de faille étaient cons
dérées comme une attaque frontale. Cer-
taines restent sur cette position. D'autres
commencent a voir ce vivier de compé-
tences d’un autre eel, Aux Etats-Unis, le
changement de culture est déji amorcé.
ES MEILLEURES ENTREPRISES
SECURITE se revendiquent ouver
tement de la culture du hacking.
|Cela n'inguiéte en rien leurs clients.
Certaines grandes sociétés, dont Micro-
soft, ont méme fait savoir qu’elles avaient
recruté des hackers pour lutter contre le
piratage. En France, le mouvement est
DE
dde mes recherches. » Qu’es
qui pousse ce passionné d’in-
il dirige un
département de recherche et
développement =a s‘intro-
duire dans des systémes au
‘mépris de la loi? La passion
pour la technique, le goat duu
défi. « Le hacking, c'est une
Philosophie, un état d’esprit
Il s’agit de repousser en
permanence les limites du
systéme, de ne pas accepter
Ies solutions toutes prétes,
Cela ne
s‘apprend pas a Puniversité.
Comme beaucoup de hackers,
dans informatique. Ils'est
formé seul, en échangeant
vee des passionnés comme
lui, en lisant des publications,
cen fréquentant les conférences
internationales, comme
a Defeon, qui se tient &
Las Vegas, ou celle du Chaos
Computer Club, Berlin,
communauté de gens
passionnés qu’on trouve les
meilleurs spécialises»
fssure-til en rallan fs
Consultants ensécurite gui
| teen se epse sur ers
|
7
acquis. D’ailleurs, lui-méme
a travallé & plusieurs reprises
cen indépendant pour des
entreprises qui avaient besoin
de disséquer des intrusions
‘ou des attaques par déni de
service. Parmi elles,
un important site de paris en
ligne européen qui était aus
prises avec des pirates russes.
‘Coat de Pintervention
13000 euros. « Mais cela peut
tre gratuit si 'apprends
quelque chose, s'ily a un
veritable échange technique
avec la personne qui me
‘contacte »,précise le hacker,
‘qui n’étudie que les demandes
4quilui parviennent par le
douche-d-oreille. NR.
st6t
plus timide. Quelques sociétés, comme
‘Accor, ont recruté en interne des + spé-