Retour en avril 2010. Deux ans déjà ont passé. Au second jour de la conférence, j’étais de nouveau seul avec l’objectif que je m’étais fixé : réussir à saisir quelque chose des présentations que je verrais (tout en sachant qu’ici le niveau technique serait particulièrement élevé), filmer un entretien avec le conférencier, essayer d’élargir le sujet, puis transmettre aux non initiés.

Jonathan m’a simplifié la tâche en montant sur scène. A peine sa conférence entamée, il était clair qu’il avait un  talent d’orateur, en anglais qui plus est, et une aisance de pédagogue, ça se passerait forcément bien devant ma caméra. Donc c’était décidé, cette seconde série de films nous montrerait exclusivement des membres du tmp/lab, Seb, Jonathan, et Philippe qui finirait bien par accepter de répondre à quelques questions. Restait maintenant à les concevoir, ces questions. Je plongeai dans la conférence et cherchai dans tous mes souvenirs et mes quelques acquis de quoi nourrir un entretien. Mes questions porteraient sur :

  • L’analyse de surface (surface analysis), qu’est-ce que c’est ?<–  C’est lié à la recherche de bugs. On est au coeur du sujet.

  • L’utilisation des interruptions dans les anciens systèmes (MSDOS). <– souvenir de lecture d’ezine.

  • Explication de ce qu’est un pentest, c’est le cadre dans lequel ces recherches ont lieu. <— Du moins c’est ce que je croyais.

  • Efficacité ou difficulté des attaques selon le niveau, ou la couche où elles s’appliquent.

  • Quel est l’intérêt d’accéder au matériel ?

  • Qu’est-ce qu’un fuzzer ?

Je ne m’attendais pas à avoir posé des questions particulièrement pertinentes. Mais les réponses de Jonathan, très claires, ont en tous cas été extrêmement intéressantes, elles ont fait de l’entretien qui suit le plus avancé de toute cette production en terme de technicité :

Lors des conférences de hacking et de sécurité informatique, endossant leur casquette d’expert en sécurité au service de grands éditeurs de logiciels (y compris Microsoft), de sociétés de services en ingénierie informatique (SSII) ou de sécurité informatique, des hackers exposent leurs recherches de bugs et d’exploits toujours plus sophistiqués, les décortiquent en public et donnent accès au code source qui leur a permis de réaliser leur « attaque ». Ainsi, la communauté garantit à ses membres un renouvellement permanent de son pouvoir, une mise à jour régulière des connaissances partagées et sans cesse remises en question par de nouveaux arrivants. Il est courant d’assister à la simulation d’une exploitation frauduleuse ou illicite d’une faille de sécurité (une attaque), mais le passage à l’acte est formellement réprouvé par le cercle des chercheurs de failles, qui n’ont pas besoin d’utiliser leurs techniques pour pirater, car ils tirent leur revenu de la valorisation de leur trouvaille et de l’ampleur de ses conséquences.

Dans cette communauté, les meilleurs sont ceux qui sont parvenus à mettre à jour les failles les plus largement exploitables, celles qui pourraient faire le plus de dégâts, celles qui sont le plus facilement transposable d’un système à un autre, ou encore celles qui peuvent corrompre un système faisant déjà l’objet d’une sécurisation intense et talentueuse de la part de programmeurs eux-mêmes renommés, souvent membres de la communauté hacker par ailleurs. En somme, une méritocratie intégrale, où chacun est jugé et reconnu à l’aune de sa capacité à dépasser et invalider le programme, le chiffrement ou la protection codés par d’autres.

Ce vaste pouvoir aux mains de la communauté hacker n’est pas près de s’amenuiser. L’image utilisée par Jonathan dans cette interview, où les bug potentiels d’un programme se mesurent à la multitude des chemins possibles parmi ses instructions, et où d’autres programmes (les fuzzers) automatisent la recherche en empruntant ces multiples combinaisons d’instructions, donne le vertige. Il s’agit là d’une source inépuisable, et qui réclame de l’imagination. Ici, la communauté n’hésite pas à parler d’art. Un art de combiner des techniques pour mettre à jour une faille, un art d' »aligner les planètes » pour qu’une attaque devienne possible et qu’elle ait l’effet escompté.

La vulnérabilité c’est la faille, elle concerne un système automatisé, logiciel, système d’exploitation etc. Le bug renvoie plus précisément au déroulement d’un programme. Il s’agit d’une réaction inattendue du programme (crash, plantage etc) suite à une utilisation non prévue dans sa conception. Un bug aura une portée plus ou moins importante. Dans certains cas il fera simplement planter le programme, dans d’autres, il permettra à l’attaquant d’injecter son propre code à l’intérieur des processus du programme, ouvrant la voie à un ou plusieurs types d’exploitations malveillantes.

La présence de vulnérabilités dans un programme est banale et courante, les mises à jour successives proposées par l’éditeur du programme ont pour fonction de les corriger pour protéger les utilisateurs. Mais avant ce travail des développeurs du programme, une vulnérabilité peut déjà avoir été découverte par quelqu’un. Elle constitue alors un 0day. Zero Day : faille critique et pour l’instant inconnue (non publiée). Selon sa portée (sa criticité), une telle faille peut constituer une charge de très grande puissance. Si la vie était un casino, on pourrait dire que découvrir un 0day c’est toucher le jackpot. Ca s’achète, ça se revend, c’est hautement stratégique. Mais la vie est beaucoup plus compliquée que ça. Détenir un 0day, et le garder ou l’exploiter pour son propre profit, ou encore chercher à le revendre, c’est certainement prendre de très gros risques. Raison pour laquelle dans la mythologie hacker grand public, les histoires de 0day sont des histoires exotiques qui ont souvent lieu dans des pays lointains.

Au fond, la question de la vente de 0day a de quoi agiter la communauté hacker pour longtemps, car elle pose une nouvelle question éthique : comment faire valoir la légitimité d’une passion, celle de la recherche de failles et de techniques d’attaque, si les découvertes qu’elle engendre peuvent dans certains cas se revendre et servir comme ingrédients à la fabrication de puissantes armes virtuelles ? Ici se rejoue, dans une version populaire et collective, le dilemme d’Einstein :

Pendant ce temps, les 0day servent déjà de munitions et rapportent sans aucun doute beaucoup plus d’argent à leurs découvreurs que sa question éthique n’en a rapporté à Einstein. La vie : un gigantesque supermarché.

Pour aller plus loin :

L’esprit de la conférence Hackito Ergo Sum par Jonathan Brossard (en Anglais)

Polémiques autour des pratiques commerciales entourant les 0Day

Publicités