Le petit chaperon rouge et l'escalade au-delà du nuage (Comment devenir un hacker)

(Pour Fabrice Colalongo)
14/12/20

"Il était une fois le monde réel ..." Dans cent ans, avec cette prémisse, nous raconterons un conte de fées pour faire coucher nos arrière-arrière-petits-enfants. Nous allons commencer par parler d'une douce petite fille à qui sa grand-mère a donné une cape de velours rouge qu'elle portait pour aller à l'ordinateur avant d'entrer dans le nuage de cyber-domaine. Le petit chaperon rouge voulait en devenir un pirate

«Comme tout le monde de sa race, c'était une race mixte: mi-machine et mi-nerd. Elle n'avait pas de vie sociale et faisait tout par elle-même, elle comprenait les chiffres qui descendaient du haut des écrans, elle portait toujours des cagoules et est née en sachant tout ".

Partant de clichés et de banalisations, cette fable enseignera à nos petits ces valeurs qui les transformeront en adultes responsables. Mais alors les enfants grandiront et se poseront des questions auxquelles nous devons être prêts à répondre d'une manière suffisamment simple à comprendre mais suffisamment complète pour éviter des idées embarrassantes.

Et puis le petit, avec la langue sortant des trous laissés par les dents de lait, demandera: "Arrière-arrière-grand-père, que sont les hackers?"

«Ce sont eux qui utilisent leurs compétences informatiques pour explorer les ordinateurs et les réseaux informatiques et pour expérimenter comment étendre leur utilisation. Certains sont mauvais et on les appelle des chapeaux noirs, 'chapeau noir', d'autres sont bons et, évidemment, nous les appellerons des chapeaux blancs, ou'chapeau blanc'1. Les premiers sont des escrocs, des escrocs ou des voleurs qui violent les systèmes informatiques à des fins malveillantes. Parfois, ils ne font que voler des données, d'autres fois ils s'enrichissent au détriment des comptes courants de propriétaires sans méfiance, d'autres fois encore ils s'immiscent dans des systèmes automatisés à des fins de terrorisme. Ce sont les plus méchants de tous car ils mettent parfois le feu aux usines et polluent les rivières. D'autres fois, ils écrasent des avions2 ou provoquer des accidents parmi nos voitures autonomes3 ».

Après un petit arrêt pour une gorgée d'eau fraîche, le grand-père continue ...

«Nous avons dû courir pour nous mettre à l'abri et, dans les deux premières décennies du siècle dernier (ndlr: je fais référence au 2001e siècle, celui qui va de 2100 après JC à XNUMX après JC), les entreprises ont commencé à se protéger. Des groupes d'intervention en cas d'urgence cybernétique ont été créés4 et les a peuplées du meilleur professionnalisme: le 'l'équipe bleue'de la cybersécurité. Ce sont eux qui utilisent les systèmes de surveillance et aident les administrateurs à maintenir à jour les mesures de sécurité du réseau et du système5. Toute activité étrange ou suspecte est interceptée par leurs puissants outils6 qui analysent des milliards de paquets numériques et trouvent toute anomalie qui représente une indication d'une infection mise en place par des chapeaux noirs. En cas d'accident, les équipes bleues sont les premières à intervenir. Ils mènent des enquêtes pour identifier l'attaquant et découvrir les failles qui ont permis de porter le coup. Le cloud est un endroit plus sûr lorsqu'ils sont au travail. Ce sont les gardes armés du réseau ".

La réalité est que malheureusement, trop souvent, il faut se contenter de fermer la grange alors que les bœufs ont déjà fui. Il vaudrait mieux prévenir mais, pour ce faire, il faudrait pouvoir prévoir.

Il est évident que pour prédire l'attaque, il faut maîtriser les techniques des attaquants. Mais qui peut le faire? Les informaticiens sont formés pour faire fonctionner leurs systèmes, les administrateurs sont formés pour les protéger et les cyber-police elle est entraînée à défendre, enquêter et réprimer. Aucun d'eux ne sait attaquer.

Donc, finalement, on s'est rendu compte que pour battre le chapeau noir ils en avaient besoin pirate qui mettent leurs techniques au service du bien. C'est alors que les «chapeaux blancs» sont apparus.

chapeau blanc ce sont eux qui violent les systèmes informatiques pour informer les propriétaires des vulnérabilités. Ils sont comme des voleurs engagés par le propriétaire de la banque qui, pour tester les systèmes de sécurité, essaient d'entrer dans le coffre-fort et de sortir avec des biens volés simulés. De cette manière, celui qui a la tâche de garder le mur solide étudie les meilleures techniques de construction; le serrurier qui construit le coffre-fort l'équipera d'une porte anti-effraction à clé solide; le gardien aux trains d'entrée pour reconnaître les comportements suspects; la police apprend à intervenir pour arrêter le crime avant qu'il ne soit trop tard et le directeur adopte des règles pour minimiser le risque et gérer la crise. En dehors de la métaphore, je chapeau blanc vérifier que les programmeurs et les administrateurs réseau ont rendu leurs systèmes robustes7, les clés et les protocoles cryptographiques sont inattaquables8le l'équipe bleue se former à reconnaître les activités malveillantes, les managers apprennent à calculer les risques, à allouer des ressources et à développer des politiques d'entreprise adaptées à la gestion des incidents.

Quand je chapeau blanc ils font partie d'une organisation, ils forment une équipe rouge. Ils étudient et se documentent en permanence. Ils doivent toujours garder une longueur d'avance sur tout le monde car dans le domaine cyber terminer deuxième équivaut à terminer dernier. Pour cela, ils développent des procédures dynamiques et flexibles. Ils ont une chaîne de commandement et de contrôle très courte pour empêcher leurs secrets d'atteindre ceux qui ne doivent pas savoir.

Mais cela ouvre un grand risque. Juvénal demanderait "Quis custodiet ipsos custodes?" ou "Qui contrôle les contrôleurs? » La réponse serait complexe mais à un enfant on l'explique simple9. Personne ne peut le faire10. Alors, le équipe rouge il doit avoir des niveaux de moralité incontestés et jouir de la plus grande confiance des dirigeants.

Afin de repousser un peu plus le moment où la lumière s'éteint, nos petits-enfants vont inévitablement nous poser une autre question: "Arrière-arrière-grand-père, comment deviens-tu un chapeau blanc?"

Nous parlerons d'une légende qui raconte chapeau noir qui quittent le côté obscur pour revenir à la lumière mais cela, peut-être, était possible au début. Aujourd'hui, personne n'autorise volontiers le voleur autoproclamé repentant à forcer son propre verrou et, avec la demande du marché, l'offre a commencé à s'organiser pour former des professionnels du secteur. Avec cet esprit les cours de Hacker éthique. Le problème est que ces certifications sont basées sur des connaissances sémantiques. Un meme célèbre se lit comme suit: «J'ai bien mis 93 croix sur 100! Cela fait de moi un hacker éthique! ". Je suis désolé de casser un si beau rêve mais non, malheureusement les choses sont plus compliquées que ça.

Depuis quand la cyber-sécurité a atteint une plus grande maturité il existe des cours et des certifications qui mènent à l'apprentissage des rudiments et à l'évaluation des compétences des professionnels.

La certification la plus demandée est celle donnée par Sécurité offensive qui, à la fin du cours du moule purement pratique11 se soumettre à un examen d'une durée de 24 heures. C'est une sorte de jeu de vol de drapeau. Il est pratiqué dans un environnement virtuel spécialement préparé. En bref, vous devez être capable de contourner les mesures de sécurité de certains ordinateurs distants et de lire la chaîne de code secret. C'est un examen difficile dans lequel les compétences techniques et la résistance à la fatigue sont démontrées. Nous courons contre la montre. Cependant, le cours ne donne que les rudiments et ensuite, à partir de là, il faut se cogner la tête et trouver la solution des énigmes. Leur devise est «essayer plus fort» ou «essayer plus fort». La philosophie est qu'il y a tout sur Internet, il suffit de savoir comment trouver la solution au problème12. C'est l'approche «faire pour comprendre».

D'une idée complètement opposée, «comprendre pour faire», les cours de SANS (Certifications GIAC) et le eLearnSécurité. Mais les similitudes entre ces deux dernières entreprises s'arrêtent là. Les cours de la SANS13 ils sont plus traditionnels. Ils sont structurés en deux phases, une frontale en présence et une basée sur des manuels. Le eLearnSecurity, d'autre part, est uniquement en ligne. Vous apprenez d'abord la théorie à travers des milliers de diapositives contenant chacune quelques concepts, puis vous regardez les vidéos de ceux qui travaillent avec les outils décrits et enfin les ateliers pratiques ont lieu. En cas de difficulté, il existe des forums internes pour rechercher ou demander des réponses.

En faisant cela, un arrière-plan culturel est construit qui se traduit par une méthode de travail. Il est vrai qu'il y a de tout sur internet mais il y a aussi le contraire de tout et si vous ne connaissez pas les meilleurs outils et bonnes pratiques, n'importe qui peut se perdre dans le cloud.

Dans sa volonté d'accompagner les apprenants dans leurs choix, le eLearnSécurité conseille dei Parcours de formation, ou des formations qui permettent aux professionnels du la cyber-sécurité pour atteindre une certaine maturité. Les voies proposées vont de la défense d'entreprise et de la réponse aux incidents (L'équipe bleue), al Réseau e Pentester d'applications Web14 (équipe rouge).

«Étant le Petit Chaperon amoureux de la couleur 'rouge', elle a décidé que le premier cours qu'elle suivrait serait l'étudiante en test de pénétration. Après avoir lu et relu tout le matériel, il a décidé d'acheter les laboratoires et l'examen pour tester et certifier les compétences acquises ".

Ce n'est pas un cours facile mais il peut être suivi et adopté par toute personne qui souhaite s'engager pour quelques mois, regarder des vidéos et tutoriel, essayez des ateliers éducatifs. L'examen se déroule dans un environnement réaliste et dure trois jours, il est élémentaire mais pas évident, stimulant mais pas frustrant. On y va vite mais sans hâte. Il faut trouver un moyen de violer un le serveur web mal configuré et utilisez cette "porte" pour accéder à l'espace privé. Une fois à l'intérieur du périmètre, recherchez les vulnérabilités et extrayez les données sensibles.

Elle avait été une étudiante assidue et, grâce aux nombreuses notes prises, à la connaissance de la théorie et à la compétence donnée par les tests dans les laboratoires, Little Red Riding Hood avait obtenu la première certification prestigieuse: elle était devenue eJPT, ou "eLearnSecurity Junior Penetration Tester" .

Étant que le monde du travail de la la cyber-sécurité il a plus faim que le loup, après quelques jours, il a commencé à recevoir des offres et a trouvé un emploi. Il avait expérimenté les activités d'OSINT15, elle se sentait comme un agent de contre-espionnage16, avait trouvé des informations sensibles qui, sans l'autorisation de ses clients, avaient été volées. Il avait testé les systèmes et les réseaux pour détecter les failles et les vulnérabilités. Il les avait signalés à des collègues de la l'équipe bleue qui avaient pris des mesures pour renforcer leur part du monde virtuel. Avec l'expérience acquise en tant que jeune homme pirate de équipe rouge (et une grande envie de s'impliquer), elle était prête à relever de nouveaux défis et à entreprendre le processus eCPPT et à devenir une Testeur de pénétration professionnel certifié. Là, elle apprendrait de nouvelles techniques et atteindrait de nouveaux objectifs qui lui permettront un jour d'acquérir la certification de Testeur de pénétration eXtreme17.

Puis un jour, le petit chaperon rouge a réalisé qu'elle avait grandi, épousé un pirate se sont repentis et ensemble ils ont eu beaucoup d'enfants ... et tous ont vécu heureux pour toujours.

Mais maintenant il est tard, alors dormir mon cher neveu ...

1 Cette distinction est très courante mais jugée superficielle par les opérateurs du secteur.

2 Aucun incident de ce genre ne s'est encore produit.

3 De nombreux médias en font état depuis des années.

4 Équipe d'intervention d'urgence informatique.

5 C'est une simplification, les tâches de L'équipe bleue ils sont innombrables.

6 Par exemple les SIEM, Informations de sécurité et gestion des événements: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.

7 Phase de durcissement: idéalement, le code de programmation doit être exempt de vulnérabilités (ex. débordement de tampon) et les systèmes de réseau doivent inclure des outils de protection (par exemple, pare-feu, politiques, etc.). Malheureusement, pour des raisons de rentabilité et de fonctionnalité, un certain niveau de risque doit toujours être accepté.

8 La cryptographie est une branche assez complexe des mathématiques théoriques. La sécurité dépend de nombreux facteurs hétérogènes. Le secret parfait existe mais est inapplicable dans un contexte réel, il faut donc accepter un certain niveau de risque que les mathématiciens savent calculer. Développer vos propres codes cryptographiques est dangereux mais assez courant chez les cryptographes en herbe, les hackers savent comment exploiter ces failles. Pour plus d'informations, voir «Jonathan Katz, Yehuda Lindell - Introduction à la cryptographie moderne_ Principes et protocoles-Chapman et Hall».

9 La science du droit appliquée aux technologies de l'information et spécialisée dans le cyber.

10 Là aussi une simplification est faite, l'équipe rouge agit dans le cadre d'un contrat très précis qui définit les limites en temps opportun. Le dépassement de ces limites peut entraîner des conséquences civiles et de lourdes sanctions pénales.

11 PWK - Test de pénétration avec Kali Linux.

12 La première des certifications a été prise comme exemple Sécurité offensive, c'est-à-dire l'OSCP (Offensive Security Certificated Professional). L'offre de cette prestigieuse entreprise s'enrichit d'autres cours encore plus précieux et difficiles tous orientés vers la formation offensive, c'est-à-dire équipe rouge.

13 Le SANS propose des formations prestigieuses, mais à un coût très élevé, dans tous les domaines de la cyber-sécurité.

14 À court de PENetration TESTER.

15 Intelligence Open Source.

16 Sur le sujet, consultez un de mes précédents articles: «Je m'appelle sécurité, cyber-sécurité. Google Hacking et Shodan: l'intelligence à laquelle vous ne vous attendez pas ».

17 Les clarifications suivantes sont nécessaires:

  • Aucune certification à elle seule ne prouve la capacité de l'opérateur de cybersécurité, le chemin du testeur de pénétration il repose principalement sur l'expérience de terrain;
  • Il existe des formations aussi valables que celles décrites; l'histoire est basée sur l'expérience personnelle de l'auteur et n'a aucune valeur scientifique;
  • Le but de l'article n'est pas de faire de la publicité et il n'y a aucun lien entre l'auteur, l'éditeur et les entreprises qui proposent des cours et des certifications.