Le blog politique et technique de Christophe Casalegno

Hackers, crackers, pirates, crashers… Les médias et le grand public se sont emparés de ces mots. Utilisés souvent à tort et à travers, il devient de plus en plus difficile de trier le bon grain de l’ivraie dans la masse exponentielle de nouvelles informations sans cesse disponibles dans les différents médias.

Ce billet a pour ambition de pouvoir enfin remettre les choses à leur place, dans ce monde confus où s’entremêlent réseaux de télécommunication, Internet, Information, communautés et monde réel.

I] Les hackers

Les hackers considérés à tort comme des pirates ont eu bien du mal à défendre leur réputation. De plus la confusion apportée par des termes comme « ethical hacker », hacker « black hat » ou « white hat » n’a fait qu’aggraver les choses.La réalité est bien loin de ce que nous chantent les médias : Les hackers ne sont pas des pirates, ils ne s’introduisent pas illégalement dans des systèmes d’information ne leur appartenant pas, et ce qu’elles que soient leurs motivations.

Un hacker est tout simplement une personne passionnée par le fonctionnement des rouages des systèmes d’exploitation et des réseaux. Bien qu’il s’agisse souvent de programmeurs, cela n’est pas toujours le cas.

De part ses connaissances avancées dans divers domaines, il découvre souvent de nouvelles vulnérabilités à différents niveaux (réseau, système, application…), mais ces découvertes ne sont pas utilisées contre d’autres systèmes même s’il peut découvrir par hasard lors d’une manipulation « normale » une vulnérabilité sur un système qui n’est pas le sien.

Le terme « hacker » est apparu au sein du MIT. Les gens à l’origine de la création d’Internet ou des systèmes d’exploitation Unix peuvent être considérés comme des hackers. Ken Thompson ou encore Richard Stallman sont des hackers.

Contrairement à ce que l’on peut trouver dans certaines publications soi disant « underground », où les « hackers » sont décrits avec une cigarette au bec, cheveux sales et une canette de bière à coté du bureau, les vrais hackers refusent toute forme de dépendance et de soumission (car elle serait une entrave à leur développement) et par là même ces futilités que sont l’alcool et la cigarette…

II] Les crackers

Un cracker est une personne qui porte atteinte volontairement à l’intégrité d’un système d’information, généralement à des fins malveillantes. Il peut détruire ou dérober des données, attaquer d’autres systèmes, ou effectuer toute autre acte nuisible. Certains d’entre eux cependant peuvent ne pas êtres destructeurs.

Il existe plusieurs catégories de crackers (pirates). Nombre d’entre eux s’auto-proclament hackers. D’autres préfèrent le terme de hacker « whitehat ». Pourtant si les motivations des crackers peuvent être très différentes en fonction de la situation (intérêt, challenge, défi, vengeance, argent, contrat, information) le cracker reste un pirate.

Une infime minorité de pirates sont d’un excellent niveau, ils se rapprochent des hackers en terme de compétence et de passion. Certains hackers deviennent parfois des pirates, ils cessent alors d’être des hackers. Parfois le contraire se produit, et un pirate talentueux peut se « ranger » et devenir lui même hacker.

Ce qui les différencie reste alors le « mens rea », c’est à dire l’intention coupable.

La grande majorité des pirates n’a rien à voir avec les hackers. Souvent peu compétents ils se contentent d’utiliser des outils d’exploitation automatique à la recherche souvent aléatoire de machines potentiellement vulnérables. On les appelle souvent sous les sobriquets de « lamers » ou plus récemment « script kiddies ».

Les crackers les plus dangereux et les plus talentueux n’ont souvent rien à voir avec le profil « petit génie » de l’informatique autiste caché derrière son clavier. En effet le maillon le plus faible de tout système d’information reste avant tout le facteur humain, et c’est plus souvent la connaissance et l’exploitation de faiblesses humaines (Social Engineering) qui fait réellement la différence.

Connaître un minimum de psychologie, savoir inspirer immédiatement confiance par un simple appel téléphonique sont alors des compétences obligatoires pour la réussite dans la pénétration de réseaux et systèmes d’information hautement protégés. Pour conclure nous dirons également que certains individus sont les exceptions de ces « règles » et ont du mal à être classifiés dans l’une ou l’autre des deux catégories (pirate ou hackers ?). Cependant ces exceptions ne sont plus d’actualité depuis quelques années.

En effet aux prémices d’internet, à l’époque de l’apogée des BBS et réseaux parallèles tels GTI, il était impensable pour un passionné de pouvoir travailler sur un système unix. Ce système d’exploitation était en effet réservé aux organisations fortunées capables de s’offrir LA machine et l’unix qui allait avec. Même en économisant pendant plus d’un an, aucun citoyen « lambda » ne pourrait obtenir de tels systèmes.

A cette époque certains hackers ont alors pénétré certains systèmes informatiques, non pas pour y dérober des données ou effectuer des actes nuisibles mais simplement pour pouvoir étudier ce système et en apprendre d’avantage.

Si, en effet, cette motivation a pu être compréhensible, cette époque est révolue : depuis l’avènement de Gnu/Linux et autres systèmes libres, n’importe qui peut récupérer quelques vieilles machines dans une décharge ou pour une bouchée de pain, et se monter son propre réseau, systèmes et serveurs pour en étudier les rouages sous toutes les coutures.

III] Les consultants sécurité

Consultant : un mot à la signification bien vague et imprécise… C’est celui que l’on consulte, parfois pourtant celui qui intervient directement, les définitions sont encore plus nombreuses que dans les cas précédents. Il est difficile de « classifier » le rôle des consultants et experts sécurité dans le milieu de la sécurité informatique. En effet cette dernière comprend un nombre particulièrement important de disciplines différentes.

Tests d’intrusion, de vulnérabilité, audit interne, politique de sécurité de sa conception à son application, opérations de sécurisation sous différentes formes (firewall, ids, bastions, etc…), sécurité applicative, guerre de l’information ou encore cryptographie et cryptanalyse : chaque discipline requiert des compétences bien précises et spécifiques

Les tests d’intrusion sont la prestation ayant le lien de parenté le plus direct avec l’underground. En effet un test d’intrusion a pour but de tester la sécurité d’un système d’information en se mettant dans l’exacte situation d’un cracker.

Exceptionnellement certains anciens crackers peuvent se voir quelques années après devenir d’excellents consultants en sécurité spécialisés en techniques intrusives.

Pour conclure, j’espère que ce billet contribuera à rétablir la vérité sur ce monde passionnant, ou, malheureusement les idées reçues et les préjugés, ont scellé, il y a bien longtemps, le « sort » médiatique des véritables hackers.

Je vous souhaite à tous une très bonne et heureuse nouvelle année 2007. Qu’elle vous apporte bonheur, santé, réussite et argent.

2007 est une grande année qui sera sans doute très riche et déterminante pour notre avenir. Les élections tout d’abord marqueront une étape cruciale pour l’avenir de notre pays.

Il convient de faire le bon choix en son âme et conscience, mais n’oubliez pas que ce choix n’est pas que le vôtre, le résultat du vote déterminera la politique de notre pays des 5 prochaines années.
Je reste disponible comme toujours par email, même si je suis souvent débordé, et j’essaie de vous répondre à tous le plus rapidement possible. A très bientôt sur ce blog ou ailleurs…

Vous trouverez sur cette page mon CV qui vous donnera d’avantage d’informations sur mon expérience et mes compétences.

Je ne suis pas, actuellement, à la recherche d’un emploi. Je peux cependant intervenir en tant que consultant par l’intermédiaire du groupe Digital Network. Dans le cas d’une institution et d’une action particulièrement spécifique et sensible, je peux également intervenir en tant que contractuel à titre personnel.
Pour obtenir un tarif détaillé (entre 1000 et 3000 euro HT la journée en fonction de la technicité de la mission, de sa durée, du lieu, de son urgence et des conditions liées…), le plus simple est de me contacter.

Je peux également intervenir en cas d’urgence dans les 24H00 avec mon équipe sur des problèmes spécifiques (piratage de votre réseau, traque à réaliser, etc…) Pour télécharger mon CV merci de cliquer sur le lien suivant : CV de Christophe Casalegno

Quelques outils que j’ai crée ou bien auxquels j’ai participé :

- DNBC : Un simple Bind Chrooter
- OpenProtect : Security Enhanced Kernel setup, test bed for qmail et pattern matching
- DNG : Digital Net Guardian : MSSP infogéré 24/24 et 7/7
- Netmail : Bundle complet serveur de mails + filtrage
- Secu@Mail : Service de fourniture d’email sécurisé
- Ovhm : Un panel d’administration serveur auquel j’ai participé.
- DUS : Digital Upgrade System
- B0T : Brain 0ver-Tracker : Un système de tracking d’identité sémantique que j’ai mis au point.

Je reste relativement disponible pour répondre et apporter mon aide aux médias, pour peu d’être prévenu un peu à l’avance. Le plus simple pour cela est de me contacter par email à l’adresse suivante : christophe.casalegno@digital-network.net

Quelques médias pour lesquels je suis intervenu :

– « Le Confidentiel » (Conseil et Interview)
- « Le livre noir du terrorisme » Editions La Pieuvre Noire (préfacé par Yves Bonnet ancien directeur de la DST : citation et conseil)
- « Souriez on vous espionne » Editions du pic du midi (Interview et conseil )
- « IT-Expert numéro 53 janvier/février 2005 » : L’entreprise sous le feu de la guerre de l’information (Auteur)
- « Canal plus » (Conseil et interventions)
- « Kappa » (Conseil et interventions)
- « Itélé » (Conseil et Interventions)
- « Intelligence Post » (site web et lettre confidentiel) : conseil.
- « L’idle Host Scan (auteur) »
- « Le monde de la sécurité (co-écrit avec Jean-Paul Ney) »
- « Le Figaro » : conseil et interview
- « La Clef de l’Intrusion » (à paraître)
- « Mag Securs » (citation)
- « Distributique » (citation)
- « RTL » (Interview)
- « Décisions Informatiques » (Interview)
- « StuffMag » (Interview)
- « emarrakech » (Interview)

Emarrakech – Digital Network, créé en 1999 par un un groupe d’experts, est une organisation spécialisée dans les domaines de la sécurité informatique, l’ingénierie système et réseaux, les télécommunications, l’intelligence économique et la guerre de l’information (infoguerre). Entretien avec Christophe Casalegno directeur technique du groupe

Encore une de mes idées subites de cuisine, je ne sais donc pas si la recette existe déjà, mais c’est délicieux :

Pour cette recette il vous faudra :

1) Du Celeri Rave
2) De la creme fraiche ou du Yaourt
3) Du sel du poivre
4) De belles tranches de jambon cuit

Commencez par découper votre Celeri Rave en dés de taille moyenne. Puis mettez les dans un mixer (pour ma part j’utilise un Magic Mixer, particulièrement pratique et rapide).

Ajoutez y de la creme fraiche ou du yaourt (ou encore du fromage blanc) pour une version allégée, du sel (meilleur encore avec du sel aux herbes), et une bonne dose de poivre (pour ma part j’utilise un mélange de 5 baies).

Mixer le tout. Garnissez ensuite vos tranches de jambon que vous roulerez comme une crêpe. Voilà c’est prêt : bon appétit !

Cela fait maintenant plusieurs années que je suis membre de la « modération » de fcs. Je l’ai vu évoluer et changer. Après avoir essayé il y a quelques années de relancer des débats intéressants sur fcs, cela fait maintenant un an que je ne modère plus et que j’observe en silence ce qui se passe.

Aujourd’hui, je pense qu’il est temps pour moi de tirer ma révérence, car l’esprit hétérogène qui faisait cette équipe, me semble aujourd’hui bien loin. Je me retrouve aujourd’hui par rapport à l’équipe de modération dans le cas d’une clause de conscience voire d’un conflit d’intérêts, et mes activités professionnelles d’aujourd’hui font que je n’ai plus le temps de rentrer dans un débat houleux et stérile sur le sujet.

Comme certains d’entre vous le savent, je ne me fie jamais aux « on dit » et à l’opinion du plus grand nombre (exemple : Jean-Paul Ney ou encore Olivier Aichelbaum). Pour chaque sujet sur lequel je m’exprime, j’effectue ma propre enquête et analyse et je me fie aux conclusions que je retire de mon expérience personnelle. Ma position de modérateur ne me permettant pas de m’exprimer à ma guise sur Usenet pour prendre les positions qui me paraissent justes, de part mon « unité » à la modération, je préfère me retirer et récupérer ainsi mon libre arbitre, sans conflits d’intérêts.

Je souhaite cependant une bonne continuation à l’équipe de fr.comp.securite, tous, en espérant que fcs redevienne ce qu’il a presque été il fut un temps : un espace d’échange libre sur le monde de la sécurité. J’ai toujours refusé d’être en liste blanche, pour des raisons d’éthique, c’est aujourd’hui pour ces mêmes raisons que je m’en vais.