La face cachée des challenges Zéro-day.
Cela se passe quelque part en Estonie, dans le style des festivals de hacker #ZéroDay qui se tenaient à Buenos Aires en Argentine. Un groupe de hackers gris, hésitants entre le côté obscur et le côté propre de la force, vient de remporter un défi sur des failles de sécurité inédites. Après le concours, ils sortent en petit groupe dans les bars de la rue Rootermanni à Tallin.
Ils sont suivis, observés, attendus. Un sympathique vieux hacker avec un accent argentin leur offre quelques bières artisanales, il leur parle des beaux jours du festival Zéro Day à Buenos aires, où il dit avoir brillé dans les années 2014-2015.
Le gourou argentin connaît ses affaires, il est sympathique et convaincant, même si rien n’est vérifiable. Les jeunes, convaincus de parler à l’un des leurs, inspirant et généreux en boissons et confidences techniques, se laissent séduire. puis convaincre par cet inconnu charismatique.
Ils tenteront donc, à la demande de leur nouvel ami ‘’Daniel’’ , un nouveau coup, une attaque sur le site de Vattenfal, entreprise nationale suédoise de distribution d’électricité. Pour pimenter le tout, Daniel leur suggère d’ajouter un message pro-Russe dans leur attaque « Juste pour ajouter un peu de pub, les médias en parleront davantage ». Le motif principal avancé pour convaincre les jeunes est que Vattenfal annonce prendre toutes les mesures de sécurité informatique pour se protéger, rien que cette prétention, sans doute véridique, suffit à exciter nos jeunes hackers gris. Daniel leur propose une rémunération respectueuse de leur temps et de leurs capacités.
Ils vont mettre tout leur talent et toute leur créativité à concevoir une attaque Zéro-day, sans trop se préoccuper de savoir si Daniel est en réalité un :
- Agent russe (intéressant de faire frémir une entreprise suédoise renommée dans l’industrie du gaz et de l’énergie éolienne, juste avant l’adhésion de la Suède à l’OTAN)
- Un agent américain (intéressant de renforcer l’hostilité anti-russe par une attaque fâchant la Suède et les européens)
- Ou tout simplement un simple gars , agent de … rien ni personne, qui veut parrainer un beau coup, juste pour le plaisir (cela arrive aussi).
Les 3 hypothèses sont valables à parts égales, et toutes les 3 sont dérangeantes.
La #cybersécurité n’est pas qu’une question informatique ou géopolitique, c’est aussi une question de savoir comprendre la culture des hackers. En Estonie, Lituanie, Moldavie et dans de nombreux pays, y compris chez nous, des jeunes talentueux, hackers non hostiles ni criminels, évoluent dans leur monde à la recherche de reconnaissance et de sens.
Si la société dans laquelle ils vivent ne leur offre ni l’un ni l’autre, d’autres le feront. Ces manipulateurs peuvent être des groupes criminels, des services de renseignements de pays dictatoriaux ou démocratiques ( la démocratie n’est pas à elle seule un gage d’éthique) , c’est ainsi que les cybermenaces trouvent du sang neuf pour des attaques variées et dont le sens échappe parfois à leurs auteurs .
Les congrès et festivals d’hackers Zéro-day sont des viviers de recrutement et tout peut s’y produire, le meilleur comme le pire.
Une attaque Zéro-day, ou 0-day, c'est un exploit d’intrusion par une faille de sécurité dans un système ou une application qui n'a jamais été corrigée ou signalée. Bref pour un hacker black hat ou son groupe, c’est d’abord le plaisir de l’inédit, le ‘’trip de puissance’’, un saint graal pour prendre le contrôle d’un système, récupérer des données sensibles ou toute autre action qui peut rendre célèbre et redouté.
Les attaques 0-day passent souvent sous le radar des systèmes de sécurité et exploitent ce que les devs de l’entreprise ou de l’institution gouvernementale n’ont pas vu venir.
Nos universités sont très méfiantes de la culture du hacking, le terme hacker est perçu comme négatif alors qu’il n’exprime que de la curiosité servie par des talents techniques. Ces talents deviennent sombres ou bénéfiques selon les circonstances de la vie, les rencontres et les opportunités.
Il ne s’agit pas d’avoir de la compassion pour les hackers black hat, car une fois qu’ils ont choisi un camp hostile, ils deviennent des adversaires. Mais il s’agit de saisir à temps le talent de hackers, avant que les ‘’Daniels’’ de ce monde ne les détournent.
Notre agence d’enquête s’intéresse positivement à la culture des hackers ( nous ne prétendons pas être la seule) , à leur aversion pour les interdictions et à leur passion pour les défis. Par après, tout devient une question de conviction, d’adéquation éthique et d’intégrité. Nous ne recrutons pas dans les festivals Zéro-day, cela est devenu trop complexe et dangereux et c’est bien au-dessus de notre ligue.
Mais nous avons pu optimiser le talent de jeunes hacker white-hat sous notre responsabilité, pour réaliser des tests d’intrusion réalistes, adaptés aux PME, et ainsi produire des rapports de vulnérabilités.
L’attaque contre Hydro-Québec était une attaque de bris de service, demandant beaucoup de moyens et peu de créativité, donc très différente d’une attaque Zéro-day, mais elle révèle la variété des menaces. Aucune citadelle n’est sans faille. C’est encore plus vrai pour nos PME.
L’histoire en Estonie est vraie, sauf pour la cible Vattenfal, simple exemple heureusement non avéré, mais … très réaliste.
Comments