Publié le 27-02-2004 dans le thème PLUS VALIDE

Pays : Europe - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

Alors qu'il existe des milliers d'internautes fans de "hacking" il est plus rare de rencontrer des hackers blancs français. Chose faite avec le groupe Alex-Family. Nous avons rencontré Alex-ploit, 25 ans et déjà prêt de 14 ans de clavier sous les doigts. Nous avons voulu en savoir plus sur les motivations de ces white hat.

Qu'est ce que la Alex-Family ?

La Alex-Family est une réunion d'amis la plupart développeurs open source. Elle compte trois membres, Alex-Ploit, Alex-Centrique et enfin Alex-Cessif âgés en moyenne de 25 ans. Disons que nous recherchons dans le vaste domaine qu'est la sécurité informatique sur tous types d'OS, tous types de support et tous types de langages. Nous restons dans la white hat attitude. Nous ne piratons pas mais nous écrivons des outils et papiers sur certaines failles découvertes par nous ou d'autres. Nous codons dans le but de prévenir et d'aider les gens à sécuriser leur OS. Certes la plupart de nos releases peuvent être considérées comme des réalisations de "hack" tel que notre backdoor (Porte cachée dans un serveur, ndlr) en php. Nous en sommes conscient mais il suffit de réfléchir un peu pour voir nos réelles intentions. Nous expliquons et codons des exploits mais nous ne faisons aucun outil à kiddies ! Un idiot du village qui tomberait sur un de nos outils ne pourra pas l'utiliser. Je tiens aussi à dire que nous avons des intervenants comme Rev', Mr_John, ... et aussi un grand, Scipio. Nous travaillons tous dans l'informatique, administrateur, développeur ou dans la sécurité.

Qu'est ce que ce l'underground pour vous ?

Peut-être le seul bastion humaniste du Web. Le seul endroit où l'on peut encore imaginer un monde à peu près libre dans l'informatique. Même si tout n'est pas si idéal et qu'on y trouve quelques "parasites" uniquement intéressés par le pouvoir ou l'argent. On peut tout de même y rencontrer une catégorie assez belle dans l'esprit qui a une vision de la vie très généreuse. Bon, tout n'est pas au mieux dans le meilleur des mondes informatiques, mais si on peut encore trouver des gens bien dans ce milieu, il faut les chercher là-bas. L'underground réunit donc hacker, cracker, défaceur et warezeux. En gros tout type de personnes ayant une autre utilisation que le commun des mortels d'un ordinateur.

Hacktiviste, hacker, pirate, faut-il vraiment les différencier aujourd'hui ?

L'hacktiviste défend une cause, avant tout, même si elle n'est pas toujours très noble, ses actions prêtent à réfléchir un peu sur le problème…Il arrive également que certains pseudos hacktiviste laissent croire avoir une cause alors qu'ils cherchent simplement à faire parler d'eux. Le hacker, on le sait tous, a pour but de détecter des failles et de les révéler pour qu'elles soient comblées…Ce qui n'est pas le cas de certains, dans le milieu, qui n'ont pour but que de faire crasher les systèmes. Je parle bien sur des pirates. La mauvaise réputation des hackers vient justement de cette confusion. Alors que si l'on regarde de près, ils ne sont pas si infréquentables que ça.

Vous agissez dans le but d'aider ceux qui sont faillibles à un problème de sécurité informatique, pourquoi ?

Pour éviter que certains, aux actions peu louables, se servent des failles. C'est peu, je sais, et ca ne va pas améliorer Internet, mais c'est déjà ça. Si tout le monde fait un peu, on peut arriver a quelque chose de plus acceptable. Pour le moment, le web n'est pas encore très structuré, ça reste très libre, respectant la volonté initiale des créateurs. Mais le problème de ce système est que l'on en est réduit à la loi du plus fort. Dans toutes les sociétés qui fonctionnent ainsi, on trouve des "forts" dotés d'un peu plus de conscience que les autres, qui veulent aider certains faibles pour éviter qu'ils ne soient toujours attaqués. Pour qu'ils puissent s'exprimer librement et exercer leur activité, dont nous profitons tous. C'est de cette catégorie dont je fais humblement partie.

Qu'est ce qu'un exploit ?

J'appellerai exploit une vulnérabilité qui donne après son exécution une forme de résultat tel qu'un accès à un serveur. Le problème majeur des exploits est qu'on peut en trouver compilés, prêt à l'emploi. Ils peuvent être "exploités" par n'importe qui alors qu'à là base ils sont la à but explicatif. La partie vulnérabilité de SecurityFocus, pour parler clairement, publie chaque jour une nouvelle série d'exploits.

Qu'est ce qui vous plaît dans le fait d'en trouver ?

J'adore la recherche c'est ma passion dans l'informatique... et c'est mon travail. J'adore également aider les gens, les aider à patcher, ... Et tout cela passe par la recherche et éventuellement la réalisation, la release d'un exploit. Aucun de nos exploits ne sont des kiddies tools, ils montrent l'efficacité de la faille, sa possibilité d'exécution voilà tout.

Qu'elles sont vos découvertes les plus "importantes" sur le Web ?

Une faille lycos ayant permis de récupérer les pass de n'importe quel compte d'hébergement multimania/lycos. Ensuite une autre faille Caramail, permettant un accès à n'importe quel compte des 6 à 10 millions. Nous avons aussi codé une page php permettant de récupérer n'importe quel mot de passs FXP, l'algorithme ayant été décrypté et adapté.

Qu'est ce qu'une bonne sécurité informatique d'après vous ?

Ce n'est pas parce qu'aucune sécurité n'est infaillible que l'on doit baisser les bras et laisser entrer n'importe qui. Il faut tenter d'éviter les intrusions les plus simples, les choses les plus basiques, à la portée du premier idiot venu. Evidemment, toutes les intrusions ne peuvent être évitées. C'est pour cela qu'il faut se tenir au courant des évolutions informatiques. On peut aussi confier sa sécurité à des entreprises faites pour cela, mais la plupart du temps, elles sont déjà dépassées. Il faut aussi savoir écouter les hackers qui montrent les failles. Etre humble quand on vous montre vos failles, c'est une belle preuve de sagesse ! En gros trois choses à faire :

• Savoir s'entourer. Faire prendre conscience aux personnes que 40 % d'un piratage réside dans le social. Former ses collègues aux types d'actions "sociales" que peuvent utiliser les pirates : Coup de téléphone, le faux mel, le faux représentant, le faux demandeur d'emploi, ...
• Le second point est la désinstallation systématique des services que l'on n'utilise pas. Assurance de ne pas laisser de portes ouvertes. Fermeture systématique des ports ne servant à rien, ...
• Enfin au niveau interne la mise à jour des serveurs et des logiciels est une obligation. La gestion des users doit se faire de manière draconienne.

Vous avez été déjà approché par des gens bizarres ? Que voulait-il ?

Disons que j'ai reçu des mels pour de pseudos missions comme pirater tel site contre de l'argent. J'ai refusé et dans tous les cas ce n'est pas dans mon intérêt. J'ai un métier pour gagner ma vie. Ensuite les autres contacts se sont souvent de pseudos hackers, crackers, ... qui me contactent pour un échange d'0days (Odays sont des vulnérabilités qui ne sont connus que par un groupe d'initiés, ndlr). Ces "gens" là sont en mal de reconnaissance prêt à tout pour faire parler d'eux.

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Nippon, ni mauvais !

La Chine testerait son armée de pirates contre les serveurs japonais.

Pas cool

Un pirate passe sur le site de Solidarité Sida.

Vitamine K

La police met la main sur un pirate de 20 ans qui a visité de trop prêt la société Medexpress.

P'tit Quinquin

La Mairie de la capitale flamande, la ville de Lille, piratée.

Senat owned

Le site Internet du Sénat visité et modifié par un groupe de pirates brésiliens.

Whackerz

Ils piratent pour l'Iraq, la Palestine et le Kasmire. Interview !

Whackerz

Ils piratent pour l'Iraq, la Palestine et le Kasmire. Eux, se sont les membres du groupe Whackerz. Nous avons rencontre l'un des actifs de cette crew pour mieux comprendre leurs motivations.

Brazil

37 millions d'euros pour un pirate. La police vient lui coudre les poches.

Réagissez à ce contenu

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.