Les hackers se battent-ils vraiment en temps réel?
Tout le monde sait que la scène d'attaque de pirate NCIS. Travaillant dans leur laboratoire de criminalistique faiblement éclairé, Abby Sciuto (Pauley Perrette) et Timothy McGee (Sean Murray) doivent repousser un cybercriminel, déterminé à voler des informations sur leur enquête.
Au milieu d'un torrent de technobabble indéchiffrable (Il a brûlé à travers le pare-feu! Il s'agit du cryptage DOD niveau 9!), la paire commence à se battre. Finalement, ils finissent par taper simultanément sur le même clavier. C'est – faute d'un meilleur terme – ridicule.
Sommaire
Assieds-toi. Nous piratons
Ces scènes incarnent tout ce qui ne va pas avec la façon dont le piratage est décrit dans le monde de la télévision et du cinéma. Les incursions dans des systèmes informatiques distants se déroulent en quelques instants, accompagnées d'une variété de textes verts dénués de sens et de popups aléatoires.
La réalité est beaucoup moins dramatique. Les pirates et les testeurs de pénétration légitimes prennent le temps de comprendre les réseaux et les systèmes qu'ils ciblent. Ils essaient de comprendre les topologies de réseau, ainsi que les logiciels et les périphériques utilisés. Ensuite, ils essaient de comprendre comment ceux-ci peuvent être exploités.
Oubliez le contre-piratage en temps réel décrit sur NCIS; cela ne fonctionne tout simplement pas de cette façon. Les équipes de sécurité préfèrent se concentrer sur la défense en s'assurant que tous les systèmes orientés vers l'extérieur sont corrigés et correctement configurés. Si un pirate parvient d'une manière ou d'une autre à violer les défenses externes, les systèmes IPS (Intrusion Prevention Systems) et IDS (Intrusion Detection Systems) automatisés prennent le relais pour limiter les dégâts.
Cette automatisation existe parce que, proportionnellement, très peu d'attaques sont ciblées. Ils sont plutôt de nature opportuniste. Quelqu'un peut configurer un serveur pour parcourir Internet, à la recherche de trous évidents qu'il peut exploiter avec des attaques par script. Parce que ceux-ci se produisent à des volumes aussi élevés, il n'est pas vraiment tenable de traiter chacun d'eux manuellement.
La plupart des interventions humaines surviennent dans les instants qui suivent une faille de sécurité. Les étapes consistent à essayer de discerner le point d'entrée et de le fermer afin qu'il ne puisse pas être réutilisé. Les équipes d'intervention en cas d'incident tenteront également de discerner les dommages qui ont été causés, comment les réparer et s'il existe des problèmes de conformité réglementaire à résoudre.
Cela ne fait pas un bon divertissement. Qui veut regarder quelqu'un fouiller méticuleusement la documentation des appareils informatiques d'entreprise obscurs ou configurer des pare-feu de serveur?
Capturez le drapeau (CTF)
Les pirates se battent parfois en temps réel, cependant, c'est généralement pour des «accessoires» plutôt que pour un objectif stratégique.
Nous parlons de concours Capture du drapeau (CTF). Celles-ci ont souvent lieu lors de conférences infosec, comme les divers événements BSides. Là-bas, les pirates rivalisent avec leurs pairs pour relever des défis pendant un laps de temps imparti. Plus ils gagnent de défis, plus ils gagnent de points.
Il existe deux types de concours CTF. Lors d'un événement de l'équipe rouge, les pirates (ou une équipe d'entre eux) tentent de pénétrer avec succès des systèmes spécifiés qui n'ont aucune défense active. L'opposition est une forme de protections introduite avant le concours.
Le deuxième type de concours oppose les équipes rouges aux équipes bleues défensives. Les équipes rouges marquent des points en pénétrant avec succès les systèmes cibles, tandis que les équipes bleues sont jugées en fonction de l'efficacité avec laquelle elles détournent ces attaques.
Les défis diffèrent selon les événements, mais ils sont généralement conçus pour tester les compétences utilisées quotidiennement par les professionnels de la sécurité. Il s'agit notamment de la programmation, de l'exploitation des vulnérabilités connues des systèmes et de la rétro-ingénierie.
Bien que les événements de la FCE soient assez compétitifs, ils sont rarement contradictoires. Les pirates sont, par nature, des personnes curieuses et ont également tendance à vouloir partager leurs connaissances avec d'autres. Il n'est donc pas rare que des équipes ou des spectateurs adverses partagent des informations qui pourraient aider un rival.
CTF à distance
Il y a bien sûr une torsion de l'intrigue. Au moment d'écrire ces lignes, en raison de COVID-19, toutes les conférences de sécurité en personne 2020 ont été annulées ou reportées. Cependant, les gens peuvent toujours participer à un événement de la FCE tout en respectant les règles d'abri sur place ou de distanciation sociale.
Des sites comme CTFTime regroupent les événements CTF à venir. Tout comme vous vous y attendez lors d'un événement en personne, bon nombre d'entre eux sont compétitifs. CTFTime affiche même un classement des équipes les plus performantes.
Si vous préférez attendre la réouverture des choses, vous pouvez également participer à des défis de piratage en solo. Le site Web Root-Me propose divers défis qui testent les pirates à la limite.
Une autre option, si vous n'avez pas peur de créer un environnement de piratage sur votre ordinateur personnel, est Damn Vulnerable Web Application (DVWA). Comme son nom l'indique, cette application Web est intentionnellement remplie de failles de sécurité, permettant aux pirates potentiels de tester leurs compétences de manière sûre et légale.
Il n'y a qu'une seule règle: deux personnes sur un clavier, les amis!