Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 Le piratage informatique Par David Décary-Hétu1,2 1 Professeur adjoint, École

1 Le piratage informatique Par David Décary-Hétu1,2 1 Professeur adjoint, École de criminologie, Université de Montréal. 2 Chercheur régulier, Centre international de criminologie comparée. 2 Problématique et aperçu du problème Qu’ont en commun un journal britannique de nouvelles sensationnalistes et un réseau de jeux vidéos en ligne? Ce sont deux entités qui ont été associées, en 2011, au piratage informatique. Dans le premier cas, des employés sont accusés de s’être frauduleusement connectés à des boîtes vocales en devinant les mots de passe ou en se faisant passer pour leur propriétaire légitime. Dans le second cas, des pirates ont utilisé le réseau de Sony pour s’approprier des dizaines de millions de numéros de carte de crédit. Devant la diversité de tels comportements, il est permis de se demander si le terme “piratage informatique“ n’a pas été surutilisé, dénaturé et vidé de son sens. Ce chapitre tentera de répondre à cette question et d’offrir une compréhension globale et stratégique de ce qu’est le piratage informatique. Le point de vue abordé dans ce texte sera très restrictif et limitera notre études aux connexions sans autorisation à des systèmes informatiques. Nous verrons qu’il existe plusieurs façons de classer les pirates informatiques, selon que l’on s’intéresse à leurs motivations ou encore leurs connaissances techniques. Ils utilisent en effet trois techniques qui seront définies ci-dessous soit le décryptage, le piratage et l’ingénierie sociale. Bien que les statistiques officielles soient encore fragmentaires, ce chapitre démontrera l’impact du piratage au Canada comme ailleurs dans le monde. Afin de mieux illustrer les différentes facettes et la complexité du phénomène du piratage informatique, nous présenterons aussi trois cas pratiques de pirates informatiques impliqués autant dans le vol et le recel de numéros de carte de crédit que de pirates cherchant à faire avancer leur agenda politique. Bien que deux de ces cas soient basés sur les histoires de pirates accusés, nous verrons que les enquêtes les concernant font face à d’énormes obstacles, dont la détection même des attaques ainsi que la source et l’identité des pirates. Nous terminerons ce chapitre avec une ouverture sur l’avenir des pirates informatiques. Définitions L’expression “piratage informatique” a été utilisée de bien des façons au cours des dernières années. Dans le milieu universitaire et dans les médias, une série de conduites allant de l’accès sans autorisation d’un ordinateur au téléchargement illégal de contenu en passant par l’utilisation de mots de passe d’autrui, sont associées au piratage informatique. Pour les besoins de ce chapitre, nous utiliserons une définition plus simple et limitée de ce type de criminalité afin de restreindre notre champ d’étude et ainsi d’arriver à une discussion plus en profondeur sur le sujet. Nous définissons donc le piratage informatique comme “le geste d’accéder à un système informatique sans autorisation” (Brenner, 2001). Types de piratage La définition du piratage informatique tel que présenté dans par Brenner (2001) est volontairement restrictive puisqu’elle limite les comportements considérés comme des actes de piratage au fait de s’introduire sans autorisation sur un système informatique. Dans la littérature, nous avons identifié trois catégories d’attaques permettant de faciliter l’analyse du phénomène : le décryptage (Gold, 3 2011; Murakami et al., 2010), le piratage (Estehghari & Desmedt, 2010; Razvan, 2009) et l’ingénierie sociale (Mann, 2010; Workman, 2008). Chacune d’entre elles sera présentée succinctement dans cette section. La famille du décryptage inclut toutes les tentatives de deviner les mots de passe permettant d’accéder à un système informatique (Rowan, 2009). Pour ce faire, les pirates peuvent compter sur plusieurs outils de décryptage accessibles gratuitement et faciles d’utilisation (ex. : John The Ripper; L0phtcrack). Ceux-ci adoptent généralement deux approches : celle du dictionnaire et/ou celle de la force brute (Rowan, 2009). Dans le cas du dictionnaire, le logiciel utilise une liste des mots de passe les plus courants et des mots communs du dictionnaire afin de deviner les mots de passe les plus vulnérables. Les utilisateurs ont en effet tendance à utiliser des mots de passe très simples du style “1234” ou encore “password” (Florencio & Herley, 2007). En se limitant à une liste de quelques milliers de mots, il est possible de deviner rapidement une bonne proportion des mots de passe. Dans le cas de la force brute, le criminel essaie tous les mots de passe possibles en commençant par “a”, “b” […] “aa”, “ab” et ainsi de suite jusqu’à ce qu’il découvre le mot de passe utilisé. Ce processus nécessite une grande dose de patience, car un jeu de caractères très large prendra des millénaires à décrypter. Les attaques de type dictionnaire ou de force brute peuvent être réalisées en ligne ou hors-ligne (Yazdi, 2011). Dans le premier cas, le pirate se connecte par un réseau à sa cible et tente tour à tour des mots de passe en espérant arriver à se connecter. Nous pourrions penser ici à un pirate qui essaierait un à un tous les mots de passe possibles pour un compte de courriel Google. Dans la mesure où l’attaquant ne connait habituellement ni la longueur ni le jeu de caractères utilisé (minuscule et/ou majuscule, chiffres, lettres, caractères spéciaux), ce travail doit se faire à l’aveugle et peut prendre de quelques secondes à quelques millénaires selon la complexité et de la longueur du mot de passe visé3. Dans le cas d’une attaque hors ligne, l’attaquant possède une copie des mots de passe encryptés. Son travail consiste donc à tenter de deviner quelle série de caractères, une fois encryptée, se cache dans cette liste de mots de passe. Une attaque hors ligne sera toujours beaucoup plus rapide, car l’attaquant n’est pas limité par la connexion internet qui le sépare de sa cible. Bien qu’un serveur ne prenne souvent que quelques millisecondes pour répondre à une requête, des millions de demandes engendreront de longs délais dans le décryptage de mots de passe. Les attaques hors ligne peuvent aussi être accélérées par l’utilisation de rainbow tables, des bases de données qui contiennent une vaste quantité de mots de passe ainsi que leur équivalent encrypté (Theocharoulis & al., 2010). Il suffit d’y rechercher un mot de passe encrypté pour avoir accès à son texte non encrypté. Ce type d’outil est très utile, mais nécessite souvent des téraoctets de données limitant ainsi sa circulation. N’importe quel mot de passe peut être décrypté; il s’agit simplement d’y investir le temps nécessaire. Afin d’éviter d’attendre interminablement le résultat de cette opération, les pirates peuvent plutôt tenter de pirater les systèmes informatiques pour y avoir accès. Ce processus est souvent illustré 3 Le Gibson Research Corporation offre un outil en ligne qui permet d’estimer le temps nécessaire pour deviner un mot de passe en tenant compte de sa complexité et de son jeu de caractères (https://www.grc.com/haystack.htm). 4 dans la culture populaire par un pirate qui tape frénétiquement sur un clavier pendant quelques secondes jusqu’à ce que la mention “accès autorisé“ apparaisse à l’écran. Dans la réalité, le piratage est un peu plus complexe et cherche à abuser des mauvaises configurations (Wood & Pereira, 2011) ou des erreurs des programmeurs (Abadeh et al., 2007). Dans le premier cas, le pirate arrive à accéder aux ressources d’un système informatique qui sont mal protégées. Poulsen (2011) illustre ce type d’attaque en présentant le modus operandi de Max Vision, un pirate informatique arrêté et incarcéré dans les années 2000. Ce dernier avait en effet découvert que certains serveurs responsables du traitement des cartes de crédit de restaurants demandaient systématiquement aux personnes s’y connectant le niveau de sécurité qu’elles désiraient utiliser. Il n’avait alors qu’à répondre “aucune“ pour avoir accès aux systèmes. La mauvaise configuration des serveurs exposait donc à tous les internautes certaines fonctionnalités qui auraient dû être privées. Par ailleurs, les serveurs configurés selon les règles de l’art ne sont pas nécessairement à l’abri des actes de piratage. Les pirates peuvent en effet profiter des erreurs de programmation qui se glissent dans la production de logiciels pour obtenir illégalement un accès à des systèmes informatiques. Celles-ci permettent aux pirates d’abuser de systèmes en contournant ou manipulant le processus d’authentification. Certains logiciels d’attaque « clé en main »(ex. : Metasploit) facilitent grandement ces attaques en prenant en charge le côté technique du piratage. Les vendeurs de logiciels ont relativement peu de raisons de s’inquiéter de la sécurité des logiciels qu’ils vendent. Il est vrai qu’une attaque contre leurs produits peut ternir leur image, mais ce sont leurs clients et non eux qui subiront le gros de l’impact des attaques (Byung et al., 2010). Par ailleurs, valider la sécurité des logiciels coûte excessivement cher (Wright & Zia, 2010). Les compagnies préfèrent donc régler les vulnérabilités signalées par des tierces parties que de dépenser de vastes sommes d’argent à rechercher de possibles menaces. Comme la sécurité n’est pas une priorité, en général, pour les producteurs de logiciels, il existe un nombre important de vulnérabilités qui peuvent être utilisées par les pirates pour contourner l’authentification des systèmes informatiques (Symantec, 2011). Alors que le décryptage et le piratage utilisent des moyens technologiques pour s’attaquer à leurs cibles, l’ingénierie sociale se concentre sur le facteur humain pour uploads/Science et Technologie/ le-piratage-informatique-1.pdf