Retour

Retour
Retour
au sommaire

Les autres
interviews :

Interview du PDG de Pere-Noel.fr
Le PDG de
Pere-Noel.fr

Interview de Larsen Larsen

Interview d'un agent de la DST
Un agent de la DST

Interview de poizonb0x

Brain Override

Hacker français et expert en sécurité informatique

Par Capitaine Kidd



Brain Override a longtemps écumé les réseaux ... il s'est aujourd'hui rangé et participe au développement d'une société de sécurité informatique. Il a gentiment accepté de répondre à quelques unes de nos questions afin de lever un peu le voile sur ceux que les médias appellent généralement hackers ou pirates, sans distinction.

Au cours de l'interview nous avons abordé les 3 thèmes suivants :
- des généralités sur le hacking
- une partie un peu plus technique
- une partie sur le métier de responsable sécurité informatique

< Advisory >

Notez bien que cette interview ne représente que ce que Brain Override pense ... ne cherchez pas à généraliser ses propos à tous les hackers de la planète. Certains s'y reconnaîtront, d'autres pas.

"En général, ceux qui font des généralités sont des cons" (Raymond Devos).

< /Advisory >

C'est parti.

Le piratage et le hacking

  • Salut Brain, peux-tu te présenter pour les quelques ignares qui ne te connaissent pas encore ...
  • Salut, et bien j'ai 25 ans, je travaille aujourd'hui dans une société de sécurité informatique...

  • D'où te vient ton nick (Brain Override) ? d'un personnage de BD ? :)
  • Pour la petite histoire, j'avais une huitaine d'année et un MSX à l'époque. Je codais une sorte de debbugger (qui permettais également d'écrire dans la mémoire, etc..). Le prog s'appelait le Brain Coder, et il avait une erreur récurente que je n'arrivais pas à corriger. Alors j'ai créé un code erreur pour cela qui s'appelait le "dépassement de cerveau" soit Brain Override. Le nom m'est resté depuis.

  • Peut-on dire aujourd'hui qu'il y a grossièrement deux types de pirates : ceux qui changent les pages web et ceux qui piratent des réseaux ? La presse ne parlant évidemment que des premiers qui ne sont pourtant ni les plus compétents, ni les plus dangereux ...
  • Et bien, je pense qu'il y a plus que 2 types de "pirates" :

    1) Il y a tout d'abord le blaireau qui scanne 1000 serveurs /jours en espérant en trouver un infecté par je ne sais quel trojan ou vulnérable à je ne sais quel exploit qu'il aura pêché dans bugtraq ou autre... bof. Dans ce cas l'individu n'a généralement pas le QI plus élevé que celui d'un artichaut.. C'est une "technique" à la portée de n'importe qui. Dans cette catégorie d'individus on trouve en effet une bonne partie de ceux qui modifient les pages sur tout serveur facilement vulnérable.. Je trouve cela déplorable, ils ne sont guidés par aucune autre motivation que celle de se rendre intéressant. Je trouve cela pitoyable.

    2) Ensuite on trouve des spécimens plus évolués :), qui sont réellement pourvus de connaissances réseaux et systèmes. Ce qui les différencie ensuite sont leurs actions et leurs motivations. Cela peut être par jeu (le désir de se mesurer au système.. ou à son administrateur), par conviction (politique, idéologie, ou autre), par vengeance (la boite a licencié son père..).

    3) Il y a ceux qui détruisent des systèmes par plaisir (là on trouve autant des Script Kiddies que certains frustrés compétents).

    4) Il y bien entendu ceux qui le font pour l'argent (espionnage industriel ou contrat avec une compagnie concurrente, etc..)

    Pour en revenir aux médias, il est évident que la presse ne parle pas des plus dangereux... Une des cause de l'insécurité sur Internet provient d'ailleurs des médias qui racontent souvent n'importe quoi. Les plus dangereux ne se font généralement pas prendre. C'est à ça qu'on différencie un cracker talentueux de celui qui ne l'est pas. Rentrer est toujours possible. Pénétrer un système sans laisser de traces ou bien se faire prendre est déjà autre chose... Mais les médias sont ainsi.. les premiers à créer des pseudo "standards" de l'industrie en les plébiscitant (la presse écrite surtout)... Je fais référence à des horreurs comme Microsoft PPTP présenté à grands coups de tambour comme une référence en matière de sécurité alors que 5 failles majeures ont été découvertes dans son implémentation, notamment dans le système de hachage, le nombre de bits annoncés, etc...

  • Que penses-tu de ce que fait Attrition (référencer tous les sites piratés, sans aucune explication ou appréciation) ? Est-ce que cela n'encourage pas les Script Kiddies ?
  • Mouai bof... Il est possible en effet que cela motive certains frustrés en quête de gloire mais sans plus. Citer sans parler est sans intérêt.

  • Et Zataz (le site et l'homme), qu'en penses-tu ?
  • Pour l'homme, je le connais (un peu) depuis ses débuts, quand il n'était pas encore connu. Il a toujours été sympatique (avec moi en tout cas). Il a quelques connaissances réelles en informatique. Cependant je trouve que le site s'est énormément dégradé depuis ses débuts.. Je ne le consulte presque plus aujourd'hui. Il est tombé dans le mouvement médiatique qui nomme "hacker" tout individu s'introduisant frauduleusement dans un système alors que ca n'a rien avoir. Ce cas est celui du cracker. Si on me dit "hacker", je pense plutôt à Richard Stallman par exemple (rien à voir).

  • Comment trouves-tu la scène française ? A part les ADM y a-t-il des groupes possédant une réelle envergure internationale ?
  • Et bien je ne sais pas si on peut réellement parler de scène en France.. Tout d'abord l'état Français a toujours fait en sorte de pas laisser se créer une scène telle qu'on la connait aux states par exemple. Des attrapes nigauds comme le CCCF ont tout shunté avant même le commencement (NDR : CCCF = Chaos Computer Club France = branche française du fameux groupe allemand. Cette branche a très vite été infiltrée par les agents de la DST et n'a pas duré très longtemps). Je connais quelques groupes doués, mais il s'agit de VRAI underground, donc on ne trouvera pas sur le net de site vantant leurs mérites, etc... Pour ma part, en France, j'aime bien Cryptel. Même si mes relations avec Vatoo ne sont plus ce qu'elles étaient il y a quelques années, je continue d'admirer ce crew. Technicité et sérieux. J'aime également beaucoup Kitetoa, qui sans parler de scène, sont caustiques à souhait, et je suis sûr, meilleurs (techniquement parlant) que ce qu'ils essaient de montrer (et que beaucoup d'autres prétendus hackers).

    La partie technique

  • Quel est l'exploit qui te semble être le plus utilisé par les hackers/pirates ? (oui je sais, cette question est idiote car cela dépend de l'OS de la cible, de sa version, ...)
  • Bah, sans parler d'un exploit à proprement parler, les buffers overflows ont une bonne place... A part ça pas d'exploit mais l'exploitation de failles dans l'implémentation même de TCP/IP.

  • Peux-tu nous donner une idée de ce que pourrait être une méthode d'attaque ? (genre : scanner les ports de la machine ciblée, définir l'architecture du réseau ciblé, trouver l'exploit adéquat et/ou la faille (genre relation de confiance entre 2 ordi), devenir root, mettre en place des sniffers et/ou des backdoors, effacer ses logs)
  • Et bien la première chose que les "bons" pirates font généralement, c'est récupérer toutes les informations "publiques" sur la cible. L'utilisation donc de tous les : whois, host -l -v -t any, nslookup, rusers, finger, etc... C'est ce tout et cette combinaison de toutes ces petites informations qui donne la première impression au sujet de l'architecture et la topologie globale de la cible.

    - On peut utiliser le scan, mais jamais en masse (il faut être assez parano). L'idéal serait plutôt du genre on jette un oeil une fois par heure :). Le stack fingerprint permet généralement de savoir à coup sûr quel système tourne sur la cible.

    - De plus, il peut être très utile de maitriser certains routeurs sur Internet et de vieilles choses comme le routage par la source et l'hijacking (désynchronisation de connexion TCP), qui sont généralement efficaces dans 99 % des cas.

    - Le sniffer est bien entendu un élément essentiel : la compromission d'une machine sans importance peut, grâce à un sniffer, permettre de faire main basse sur tous les systèmes.

    - Dans beaucoup de sociétés et d'institutions, c'est vraiment le bordel ! On y voit des firewalls mis en place alors qu'il y a d'autres portes de sortie à coté, des serveur VPN mais avec tout sur le même brin tu as l'info en clair avant qu'elle arrive au serveur, etc... Beaucoup croient que la sécurité se résume à l'utilisation de firewalls et d'une solution de cryptage.. La politique de sécurité mise en place est hyper importante, ainsi que la topologie générale, la sécurité physique, etc...

    - Pour finir, je dirais que qu'il ne faut pas oublier le social E. (NDR : Social Engineering : se faire passer pour un responsable informatique d'un société pour obtenir certaines données, des mots de passe par exemple ... on peut dire que Jean Yves Lafesse est le roi du Social Engineering au téléphone :))). Force est de constater que beaucoup changent leur mot de passe par celui demandé lorsque le mail provient de l'administrateur système...

  • Quel conseil donnerais-tu à nos "amis" tentés par le coté obscur de la force, pour éviter de se faire buster ?
  • Je pense que les connaissances en électronique et en télécommunications sont presque aussi importante que les connaissances informatiques.

    Leur conseillerais-tu les techniques suivantes :

  • spoofing ?
  • OUI

  • bouncing ?
  • OUI

  • attaque à partir d'un poste déjà contrôlé ?
  • OUI

  • techniques de phreaking (blue boxing avec des n° verts internationaux, beige boxing, PABX, téléphone portable, autre ?) ?
  • OUI

  • une autre technique ?
  • La base peut être téléphonique.. Une de mes connaissances me disait "vive les sans fils longue portée !", "vive les PABX sur numéros vert internationaux (genre 080090xxxx)". C'est vrai que quand un pirate passe successivement 40 fois par les 3 mêmes PABX, ils abandonnent généralement car ils se croient bernés.

  • Peux-tu nous parler de piratages plutôt originaux dont tu as pu être témoin ou dont on t'a parlé ?

    - le plus bizarre
    - Celui d'une soit disante SSII (aux USA) qui cache des services gouvernementaux... et quelques opérations mafieuses.

    - le plus drôle
    - Celui d'une société se vantant d'être au top technologique et n'avoir aucun besoin de sécurité car protégés par Bull, alors que n'importe qui pouvait se rendre maître de l'intégralité du système et qu'il concerne le domaine de l'automatisation bancaire... No comment.

  • Y a-t-il des sites que tu conseillerais à ceux qui ont, comme toi, "une grande soif de connaisance" =)) ?
  • Bon et bien d'abord bientôt securite-reseaux.com où il y aura une grande base de connaissances (d'ici 2 mois je pense), ensuite je dirais securite.org (génial), le site du cru, la lecture des rfcs, pour les mags il y a Madchat. La page de Ouah est kool également.

  • Même question pour les zines ...
  • Les Noroutes sont incontournables, ainsi que Phrack magazine.

    La sécurité informatique

  • Comment s'est passée ta reconversion ? Les services de police ne t'ont-ils pas posé de problèmes ?
  • Non, en tout cas pas pour l'instant. C'est un véritable plaisir que de faire ce que l'on aime, tout en étant en parfait accord avec la loi. Les tests d'intrusion sont de loin ma prestation préférée. Cependant je reste sur mes gardes, et on fait très attention à ne jamais se mettre hors la loi.

  • Aujourd'hui quel type de services fournit ta société ?
  • Beaucoup de chose il faut dire. Contrairement à la rumeur, la société n'est pas ma propriété, je suis actionnaire (non majoritaire). Je suis directeur du département sécurité réseaux et systèmes. En ce qui me concerne donc, il y a les tests d'intrusion, les audit internet, la mise en place de politique de sécurité, la mise en place de firewalls, IDS... La veille "temps réel", la réponse aux intrusions, la formation sécurité, etc... On monte également des serveurs blindés "bastions" clef en main comme des serveurs Web ou Email. Bientôt des offres packagées également. Hormis la sécurité on fournit plein d'autres services (conception Web, fourniture de liaisons haut débit, hébergement, référencement, etc...) et réseau (architecture, conseil, déploiement, etc..). On fournit également beaucoup de solutions en remplacement de matériel spécifique (PC reconditionné en routeur, etc...). Toutes nos solutions reposent sur des logiciels libres, et tout ce que nous développons (sauf exception dont je ne serais pas responsable) est également sous license GPL. Pour moi seul un modèle ouvert peut garantir la sécurité.

  • Tes clients sont-ils plutôt des grosses entreprises ou des petites ?
  • Et bien en terme de sécurité, seulement les grosses jusqu'à aujourd'hui. Mais, maintenant notre gamme de solutions couvre même les besoins (et budgets) de la PME.

  • Les tests d'intrusion ne font-ils pas un peu peur aux clients ? :)
  • Et bien il y a plusieurs niveaux de tests. La plupart ne demande que des scénarios d'intrusions après le listing des failles plutôt que les intrusions elles même. Il faut savoir que les tests d'intrusions sont très utiles en matière de sécurité. Lorsque les entreprises se croient "blindées" les tests ne sont facturées que s'ils sont réussis, sinon, c'est à nos frais.

  • Pour conclure, y a-t-il des gens que tu souhaites remercier ou insulter ? (c'est la tradition dans le milieu)
  • Je remercie Utopiste (securiweb), snowcrash, Richard Stallman et plein d'autres que je ne peux citer ici sans remplir une centaine de pages. Insulter ? Ah oui, Zipiz, qui a essayé de casser ma société et qui en fait m'a même apporté un client... (et 10% de nos visites proviennent de son site !). C'est vraiment un pauvre type ! A mon avis, un frustré envieux du monde underground, qui essaie de jouer au grand sur son site alors que c'est sa femme qui doit porter le pantalon à la maison. (NDR : ça se passe de commentaires...)


    Voilà. J'espère que vous aurez un peu mieux compris certaines choses liées à la sécurité informatique. Si cet article vous a permis de découvrir un peu mieux ce milieu, tout en évitant certains clichés faciles ... ma mission aura alors été remplie.

    Les coordonnées de la société pour laquelle Brain travaille sont :

    Digital Network
    120 Avenue du Marin Blanc Zone Industrielle Les Paluds
    13 685 Aubagne
    Tél : 04 42 70 15 37
    E mail : digitalnet@digital-network.org
    www.securite-reseaux.net

    www.paranos.com - Tous droits réservés