Spécial sécurité : Sony Story, saison 1 épisode 6,7 et 8… et retour du hack égomaniaque

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s’appuient sur la catastrophe que vit Sony avec le piratage de ses systèmes pour rappeler que le hacking pour la gloriole, où seul prime le fait de percer un système, est encore vivant.

En escalade sportive, lorsque l’un des brins de rappel est abîmé, généralement par un coup de crampon ou une chute de pierre, il existe un nœud salvateur qui offre au grimpiste dans le désarroi la possibilité de rejoindre tout de même le plancher des vaches : le nœud de mule ou nœud d’évadé, et sa variante le nœud de brigand (ou nœud de voleur)*. Sa particularité est d’offrir un solide amarrage sur l’un des brins, mais la moindre tension sur le second « bout » détricote l’attache… et c’est la chute assurée. Tout tient solidement à condition de ne pas commettre d’erreur.

C’est très exactement avec ce genre de nœud que la sécurité de Sony semble avoir été liée. Hélas, un hacker anonyme a découvert l’existence du « mauvais » brin conduisant à l’intranet Sony, et, depuis, toute une faune s’escrime à tirer dessus, détricotant au fil des jours les entrelacs de serveurs. Mêmes les filiales et sous-traitants sont potentiellement en danger. Ainsi So-Net Entertainement Corp, piraté, nous apprend le Wall Street Journal, pour une poignée de « bons de réduction ». Les serveurs Web de Sony Thaïlande se sont avérés héberger des pages de phishing explique F-Secure, laissant ainsi clairement entendre une certaine interpénétration entre les hackers anonymes et des mouvements mafieux (qu’elle soit volontaire ou non). Puis c’est au tour de Sony BMG Grèce de subir des hackers l’irréparable outrage, nous apprend The Hacker’s News. L’intrusion repose sur une injection SQL, les bases de Sony sont une nouvelle fois les entrailles à l’air sur pastebin. Petit à petit, la sécurité de Sony tombe comme une rangée de dominos, et l’entreprise est entraînée dans une chute vertigineuse. Ce n’est plus de l’alpinisme, c’est du vol relatif (ou caractérisé, selon le point de vue du lecteur).

Devant cette destruction en règle des services informatiques d’une entreprise, il faut se rappeler que tout ceci est parti d’une action militante (que l’on pouvait classer de manière rassurante dans la catégorie « hacktivisme ») et qui peu à peu a totalement échappé aux contrôles de ses initiateurs pour être récupérée par une foultitude de groupuscules indépendants. Les Anonymous, mouvement d’obédience et de logique nord-américaine, n’ont manifestement pas la culture ou la connaissance qui leur aurait permis d’analyser les raisons réelles de l’échec prévisible des utopies anarchistes du XIXème siècle : l’absence de pouvoir central et le respect des avis individuels conduisent à une dilution des décisions qu’exploitent les parties adverses. Et d’un mouvement contestataire coordonné par cooptation, on est passé à un état entropique lui-même mû par les désirs égotistes de quelques groupes de hackers. Le hack égomaniaque des années 90, que l’on croyait disparu au profit des hack « hacktivistes » ou politique, mafieux et « business oriented », refait surface avec vigueur.

Mais ce hack égotiste a-t-il jamais disparu ? Et c’est probablement ce qui enquiquine les gourous sécurité de ces entreprises compromises et des vendeurs d’outils. Vendeurs qui, depuis deux ou trois ans, ne cessent de rabâcher que le « hack pour l’ego a disparu, remplacé par le piratage mafieux »… l’adversaire n’a plus le panache d’un combattant idéaliste mais fait partie des « terroristes », des repris de justice, de la lie de l’humanité… ce qui exonère le politique et l’industriel de tout scrupule pour édicter et imposer un arsenal répressif, tant législatif que technique, l’un poussant l’autre dans une étreinte douteuse. Qu’il était pratique, le pirate hacktiviste. Il donnait un visage connu à un ennemi de classe.

Et bien non, le hack « pour la gloriole » n’est pas mort, même s’il est exploité par la suite de façon mafieuse, même s’il est en partie sous-mariné et dirigé par de sombres intérêts concurrentiels ou d’espionnage économique. Et c’est la résurgence de cette composante idéaliste et égotiste qui fausse les taxonomies propres, tirées au cordeau, qui prétendaient définir le profil du « pirate moyen ».

Sony n’est qu’un exemple parmi tant d’autres. Les récentes publications du Cult of the Dead Hadopy sur la liste Full disclo visant les erreurs de conception des logiciels de TMG ne sont qu’un exemple de plus. Le but n’est pas de « casser l’image ou l’infrastructure » de TMG… l’entreprise s’en charge très bien toute seule. La motivation première est purement égotiste : « je publie ouvertement, par militantisme et pour une parcelle de gloire, le source d’un programme pouvant mettre à mal un outil répressif » affirme le Cult of Dead Hadopi. Si les visées du mouvement avaient été franchement nihilistes, si le désir de détruire gratuitement avait été affirmé, le code n’aurait jamais été publié sur une liste aussi publique, mais aurait couru sous le manteau. Le code du CDH n’a rien à voir avec le L.o.i.c. des anonymes. Ce qui ne veut pas dire que sa publication ne puisse provoquer de dommages collatéraux. Notons au passage que le message du CDH a été censuré sur le miroir du F.D. assuré par Der Keiler.

*Ndlr : Cette technique est donnée à titre purement informatif. L’usage d’un tel nœud en conditions réelles est purement et simplement mortel. A n’apprendre que sur de « petites moul’ » et à n’utiliser qu’en cas d’extrême nécessité. La rédaction ne fournit pas les crash-pad.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close