Latest Entries »

Les yeux carrés

 » Je n’ai absolument aucun moyen de te prouver que je ne suis pas un flic. Je ne peux pas non plus te garantir que ce que je fais ici n’est pas suivi ou surveillé par des flics, d’une manière ou d’une autre. Je n’ai pas de compétence en informatique, si quelqu’un entre dans mon ordi et lit mes mails, je ne sais pas m’en rendre compte. Je sais ce qu’on ressent dans ce genre de situation. J’ai déjà eu des propositions on ne peut plus chelou. »

Je raconte à Philippe l’histoire d’un soi-disant compositeur de musique qui un jour m’a contacté par mail pour me proposer d’être le réalisateur d’un « opéra audiovisuel » spécialement  écrit pour moi. Ben voyons. Un scénario était livré en pièce jointe. J’avais sauté directement à la fin de l’histoire pour découvrir une scène atroce où tous les personnages se faisaient sauter tous ensemble, ils mouraient dans un bain de sang effroyable, tout était gratuit, banal, mal écrit, et affreusement violent. Je crois que le but de cet échange était de tester si j’étais un terroriste en puissance, attiré par le sang et les explosifs. Ou bien m’intimider.

« C’est pas grave », répond Philippe, pris au dépourvu. A ce moment-là, Hackito Ergo Sum en est à sa toute première édition, et les membres du tmp/lab savent bien sûr que la plupart de leurs événements sont suivis et surveillés par les autorités. C’est devenu un jeu entre eux. Moi qui ai tapé à leur porte par curiosité et débarqué ici avec ma caméra en tant que réalisateur indépendant, je peux faire partie des suspects. Discret, sérieux, introverti, je n’ai été ni cool, ni détendu, ni bavard. Je travaillais à comprendre, je voulais bien faire, et j’étais impressionné. Résultat, un peu plus tôt dans la journée, Philippe était passé me voir et avait glissé l’air de rien : « Je sais pas ce que t’en penses, mais ici y’en a quelques uns qui ont des bonnes têtes de keufs. » J’ai immédiatement pris cette remarque pour moi. Comme je voulais absolument interviewer Philippe, j’ai senti qu’il fallait que je fasse mon possible pour clarifier les choses.

Avec cette conférence indépendante, non orientée, organisée par des hackers reconnus, les membres du tmp/lab cherchent à réunir en France, autour des dernières découvertes en vulnérabilités informatiques, des milieux qui ne communiquent pas : les éditeurs de logiciels, les professionnels de la sécurité informatique, les membres de l’underground, les industriels. Ils veulent faire régner l’esprit du full disclosure, car c’est la garantie de leur droit à continuer leur recherche.

Philippe a fini par accepter de se prêter au jeu, mais il aura fallu insister. Nous entamons l’interview. Après une première réponse sur le mouvement des hackerspaces en France, ses ramifications et les fab labs, il écarte plusieurs questions sur la scène française, ses débuts, et me laisse à court. Je décide d’en poser une que j’avais longuement mûrie pour une autre interview :

  • Pour la première fois, des individus ordinaires, souvent issus de la classe moyenne, ont accès à des informations qui les concernent mais qui ne leur sont pas destinées. Dans la société de l’information, c’est une nouvelle répartition des pouvoirs et une nouvelle définition des libertés. Il y aura sans doute des transformations importantes dans l’organisation de la société à venir. Pouvons-nous dores et déjà déceler l’émergence de ces transformations ?

Cette question raconte quelque chose à la fois de Wikileaks et de l’underground informatique. Elle ouvre directement la voie à la thématique de la transparence. Réponse :

Toujours inquiet par la méfiance que j’ai pu déclencher, je cogite. Maintenant que des équipes de télé intègrent les groupes d’intervention de la police pour produire du spectacle, une confusion se fait dans l’inconscient collectif entre grands medias et forces de l’ordre. Conséquence immédiate : la présence d’une caméra dans un congrès de hackers peut être assimilée à une présence policière.

Un peu plus tôt encore, Philippe exposait à l’auditoire le fruit de ses recherches sur le réseau SS7.

Loin de nourrir un projet subversif à l’encontre des état ou de la société dans son ensemble, la communauté hacker continue sans relâche à promouvoir et défendre en premier lieu ses propres intérêts, dès lors qu’ils entrent en conflit avec les pratiques et les lois en vigueur dans leur pays. Dans plusieurs domaines (comme la neutralité du net), ces intérêts coïncident avec l’intérêt général, d’où la curiosité grandissante du corps social à l’encontre des hackers. Cette promotion active trouve son aboutissement dans une nouvelle forme de militantisme, le hacktivisme. Il y a beaucoup à faire pour amener les consciences vers un monde où le hacking, présenté comme un « usage créatif et ludique des nouvelles technologies » selon la formule du tmp/lab, serait légal. Il y a beaucoup à faire, mais beaucoup, déjà, a été fait.

Et puis un an passe, et c’est le gendarme Eric Freyssinet qui ouvre la conférence Hackito Ergo Sum 2011. Cette histoire de présence policière continue de mettre la pression sur la scène français, alors que l’engouement populaire pour le hacking grandit, se démocratise et se banalise.

Pour aller plus loin

Les hackerlands, petits frères des hackerspaces. Conférence de Philippe Langlois au Tetalab. (j’y ai trouvé la formule qui sert de titre à cet article).

Le faux club de pirates des services de renseignement (passage « Quand le contre-espionnage diabolisait les hackers »)

J’ai réalisé un rêve de gosse. Enfin presque. Un rêve d’ado qui découvrait le cinéma après avoir passé des heures devant la télé et les jeux video. De jeune adulte qui s’est mis à croire que l’informatique allait bien finir par rendre les films intelligents, et qu’il fallait casser cette linéarité qui a dominé le premier siècle du cinéma (le XXème). De jeune diplômé en cinéma qui découvre le numérique et l’internet comme les outils à utiliser désormais, et qui se lance d’un coup dans tout un tas de trucs en même temps pour rattraper son retard, du PHP à Final Cut, du HTML à Adobe CS en passant par l’ActionScript.  www.territoirehacker.fr est en ligne depuis le lendemain de la victoire socialiste aux dernières élections.

Qu’est-ce que c’est ?

C’est l’application interactive en ligne qui permet de naviguer dans les 14 films de ce projet à la découverte de la scène hacker française. Elle se construit pas à pas, c’est un projet de long terme. C’est une application libre et ouverte, dont les éléments sont distribués sous licence Art Libre, ce qui signifie que chacun peut contribuer à améliorer cette application et en récupérer les éléments pour sa propre utilisation.

Comment ça marche ?

Faisons un tour des éléments :

1. 14 films

11 entretiens, 3 films d’événements qui chacun présente un extrait de chaque entretien. En tout, près de 2h de vidéo. 

L’idée de départ a été que chacun des films des événements (FrHack, Hackito Ergo Sum, Nuit du Hack) soit un film court présentant des extraits d’entretiens plus longs. Ensuite, il fallait mettre à disposition tous les films et laisser l’utilisateur poursuivre un entretien si l’extrait attire son attention. C’est une forme de lien hypertexte dans la vidéo, par l’intermédiaire d’un bouton qui apparaît et disparaît dans l’image. Le premier jet de cette application a été réalisé avec l’outil d’annotations proposé par YouTube.

2. Une liste de repères temporels

Téléchargeable sur le site, cette liste présente les connections d’un film à l’autre qui ont été réalisées pour cette version. Le tableau se lit comme suit :

d’abord verticalement. Colonne de gauche, chaque ligne présente le time code (repère temporel) d’entrée de chaque personnage dans le film FrHack 2009 : Jérôme à 0, Philippe Gamache à 38 sec. Ces temps sont convertis en secondes (en gras), car c’est l’unité de la fonction ActionScript que nous utiliserons pour retrouver un moment précis dans une vidéo. Colonne de droite, les time code indiqués correspondent à l’apparition du bouton « CONTINUER l’entretien » permettant de sauter vers la suite de l’entretien. Le bouton s’éteint automatiquement 5 secondes plus tard si l’utilisateur ne clique pas.

Dans cet exemple surligné en vert, nous sommes dans le film d’événement 1_frhack_live.flv (FrHack 2009). Arrivé à 50 sec, Philippe Oechslin commence à parler. 18,2 sec plus tard, le bouton apparaît proposant de continuer l’entretien avec lui. Si l’utilisateur clique, nous passons à la partie basse du dessin, la croix en bas à gauche, en continuant de lire de gauche à droite. Nous sommes dans le film 2_philippe_oechslin.flv, et nous y entrons à 1 min 33 (93,0 sec) du début. Enfin, à 123,1 sec, pendant 5 secondes un bouton  propose de retourner vers le film que nous venons de quitter. En cas de clic, nous reprenons le film 1_frhack_live.flv à l’entrée du personnage qui suit Philippe : David.

3. Code ActionScript et fichiers XML

Dans ce code et celui des fichiers XML se retrouvent les informations décrites dans la partie précédente. Le fichier catalogue_videos.xml contient la liste des films avec les infos importantes :

Et le fichier liens_videos.xml (ci-dessous à droite) répertorie tous les repères temporels déclenchant l’affichage d’un bouton pour chaque film :

On y retrouve les infos issues de la liste des repères temporels qui faisait l’objet de la partie précédente. Pour configurer un bouton, les infos nécessaires sont donc un time code d’entrée du bouton dans le film en cours (frame), une forme, un film cible et un time code d’entrée dans le film cible (depart).

Ensuite, le code ActionScript (à gauche, une toute petite partie, simple à comprendre) permet de manipuler ces informations, automatiser la diffusion et le passage d’un film à l’autre. De telle sorte qu’avec une nouvelle liste de sélection, une nouvelle liste de repères temporels, et un fichier XML stockant ces nouvelles infos, il est possible de proposer une ligne de navigation différente dans le même projet sans rien modifier du code de l’application, et donc, potentiellement, sans maîtriser le langage. Par ailleurs, en modifiant les données des deux fichiers xml, il est possible de reproduire cette architecture interactive simple à partir d’autres films.

La publication de ces éléments, c’est le pari du partage contre la rétention de l’information. Cette application est encore trop basique pour prétendre apporter une expérience de vidéo interactive palpitante à l’utilisateur, mais petit à petit, et si j’ai de la chance, à plusieurs mains, nous lui donnerons de l’ampleur, les idées ne manquent pas.

Prochains développements d’ici quelques temps !

Retour en avril 2010. Deux ans déjà ont passé. Au second jour de la conférence, j’étais de nouveau seul avec l’objectif que je m’étais fixé : réussir à saisir quelque chose des présentations que je verrais (tout en sachant qu’ici le niveau technique serait particulièrement élevé), filmer un entretien avec le conférencier, essayer d’élargir le sujet, puis transmettre aux non initiés.

Jonathan m’a simplifié la tâche en montant sur scène. A peine sa conférence entamée, il était clair qu’il avait un  talent d’orateur, en anglais qui plus est, et une aisance de pédagogue, ça se passerait forcément bien devant ma caméra. Donc c’était décidé, cette seconde série de films nous montrerait exclusivement des membres du tmp/lab, Seb, Jonathan, et Philippe qui finirait bien par accepter de répondre à quelques questions. Restait maintenant à les concevoir, ces questions. Je plongeai dans la conférence et cherchai dans tous mes souvenirs et mes quelques acquis de quoi nourrir un entretien. Mes questions porteraient sur :

  • L’analyse de surface (surface analysis), qu’est-ce que c’est ?<–  C’est lié à la recherche de bugs. On est au coeur du sujet.

  • L’utilisation des interruptions dans les anciens systèmes (MSDOS). <– souvenir de lecture d’ezine.

  • Explication de ce qu’est un pentest, c’est le cadre dans lequel ces recherches ont lieu. <— Du moins c’est ce que je croyais.

  • Efficacité ou difficulté des attaques selon le niveau, ou la couche où elles s’appliquent.

  • Quel est l’intérêt d’accéder au matériel ?

  • Qu’est-ce qu’un fuzzer ?

Je ne m’attendais pas à avoir posé des questions particulièrement pertinentes. Mais les réponses de Jonathan, très claires, ont en tous cas été extrêmement intéressantes, elles ont fait de l’entretien qui suit le plus avancé de toute cette production en terme de technicité :

Lors des conférences de hacking et de sécurité informatique, endossant leur casquette d’expert en sécurité au service de grands éditeurs de logiciels (y compris Microsoft), de sociétés de services en ingénierie informatique (SSII) ou de sécurité informatique, des hackers exposent leurs recherches de bugs et d’exploits toujours plus sophistiqués, les décortiquent en public et donnent accès au code source qui leur a permis de réaliser leur « attaque ». Ainsi, la communauté garantit à ses membres un renouvellement permanent de son pouvoir, une mise à jour régulière des connaissances partagées et sans cesse remises en question par de nouveaux arrivants. Il est courant d’assister à la simulation d’une exploitation frauduleuse ou illicite d’une faille de sécurité (une attaque), mais le passage à l’acte est formellement réprouvé par le cercle des chercheurs de failles, qui n’ont pas besoin d’utiliser leurs techniques pour pirater, car ils tirent leur revenu de la valorisation de leur trouvaille et de l’ampleur de ses conséquences.

Dans cette communauté, les meilleurs sont ceux qui sont parvenus à mettre à jour les failles les plus largement exploitables, celles qui pourraient faire le plus de dégâts, celles qui sont le plus facilement transposable d’un système à un autre, ou encore celles qui peuvent corrompre un système faisant déjà l’objet d’une sécurisation intense et talentueuse de la part de programmeurs eux-mêmes renommés, souvent membres de la communauté hacker par ailleurs. En somme, une méritocratie intégrale, où chacun est jugé et reconnu à l’aune de sa capacité à dépasser et invalider le programme, le chiffrement ou la protection codés par d’autres.

Ce vaste pouvoir aux mains de la communauté hacker n’est pas près de s’amenuiser. L’image utilisée par Jonathan dans cette interview, où les bug potentiels d’un programme se mesurent à la multitude des chemins possibles parmi ses instructions, et où d’autres programmes (les fuzzers) automatisent la recherche en empruntant ces multiples combinaisons d’instructions, donne le vertige. Il s’agit là d’une source inépuisable, et qui réclame de l’imagination. Ici, la communauté n’hésite pas à parler d’art. Un art de combiner des techniques pour mettre à jour une faille, un art d' »aligner les planètes » pour qu’une attaque devienne possible et qu’elle ait l’effet escompté.

La vulnérabilité c’est la faille, elle concerne un système automatisé, logiciel, système d’exploitation etc. Le bug renvoie plus précisément au déroulement d’un programme. Il s’agit d’une réaction inattendue du programme (crash, plantage etc) suite à une utilisation non prévue dans sa conception. Un bug aura une portée plus ou moins importante. Dans certains cas il fera simplement planter le programme, dans d’autres, il permettra à l’attaquant d’injecter son propre code à l’intérieur des processus du programme, ouvrant la voie à un ou plusieurs types d’exploitations malveillantes.

La présence de vulnérabilités dans un programme est banale et courante, les mises à jour successives proposées par l’éditeur du programme ont pour fonction de les corriger pour protéger les utilisateurs. Mais avant ce travail des développeurs du programme, une vulnérabilité peut déjà avoir été découverte par quelqu’un. Elle constitue alors un 0day. Zero Day : faille critique et pour l’instant inconnue (non publiée). Selon sa portée (sa criticité), une telle faille peut constituer une charge de très grande puissance. Si la vie était un casino, on pourrait dire que découvrir un 0day c’est toucher le jackpot. Ca s’achète, ça se revend, c’est hautement stratégique. Mais la vie est beaucoup plus compliquée que ça. Détenir un 0day, et le garder ou l’exploiter pour son propre profit, ou encore chercher à le revendre, c’est certainement prendre de très gros risques. Raison pour laquelle dans la mythologie hacker grand public, les histoires de 0day sont des histoires exotiques qui ont souvent lieu dans des pays lointains.

Au fond, la question de la vente de 0day a de quoi agiter la communauté hacker pour longtemps, car elle pose une nouvelle question éthique : comment faire valoir la légitimité d’une passion, celle de la recherche de failles et de techniques d’attaque, si les découvertes qu’elle engendre peuvent dans certains cas se revendre et servir comme ingrédients à la fabrication de puissantes armes virtuelles ? Ici se rejoue, dans une version populaire et collective, le dilemme d’Einstein :

Pendant ce temps, les 0day servent déjà de munitions et rapportent sans aucun doute beaucoup plus d’argent à leurs découvreurs que sa question éthique n’en a rapporté à Einstein. La vie : un gigantesque supermarché.

Pour aller plus loin :

L’esprit de la conférence Hackito Ergo Sum par Jonathan Brossard (en Anglais)

Polémiques autour des pratiques commerciales entourant les 0Day

Suivre

Recevez les nouvelles publications par mail.

%d blogueurs aiment cette page :