Patrick
Galley (Patrick.Galley@theoffice.net)
Le but de ce chapitre est de rendre attentif le lecteur à l'ampleur du phénomène de la criminalité informatique, ainsi qu'à notre vulnérabilité face à ces attaques.
La criminalité informatique est un vaste domaine, dont les frontières ne sont pas toujours faciles à définir. Chaque pays a une législation différente à ce sujet, et a réagi plus ou moins vite face à ce problème. En Europe, la Suède a été le précurseur, en instituant une loi en 1973, qui considérait comme crime, l'acquisition non autorisée de données stockées [LAB90_1], alors que les Pays-Bas n'ont considéré l'intrusion (sans dégâts) dans un ordinateur comme un crime qu'après 1990 [LAB90_4].
David L. Carter, professeur au département de justice pénale de l'université de l'Etat du Michigan, propose une classification de la criminalité informatique [CARTER92].
1. L'ordinateur est la cible
Cette catégorie comprend des actions telles que:
2. L'ordinateur est l'outil d'un crime conventionnel
Cette catégorie comprend les cas où l'ordinateur facilite le travail des criminels mais n'est pas essentiel.
3. L'ordinateur génère de nouveaux types de crimes
Cette catégorie comprend des crimes "classiques", adaptés à l'ordinateur.
Cette classification n'est pas exhaustive. Par la suite, je me préoccuperai essentiellement des deux premières catégories.
Le hacking est l'activité du hacker. Les sens donné au terme hacker sont très variés 2. A la base, un hacker est une personne qui a du plaisir à explorer en détail un système programmable et qui cherche à étendre au maximum ses connaissances dans ce domaine. Actuellement, le terme est généralement employé pour désigner des personnes s'introduisant illégalement dans des systèmes informatiques [STERLING92]. Dans ce document j'utiliserai le terme hacker dans ce dernier sens, en y incluant aussi le phreaking (piratage du téléphone), car ces deux activités sont indissociables
Le but de ce chapitre sur le hacking, est de citer quelques cas pour montrer l'incroyable vulnérabilité des systèmes informatiques. Un étude effectuée en 1992 par USA Research Inc. a montré que le nombre d'intrusions dans des systèmes informatiques aux Etats-Unis, est passé de 339'000 en 1989 à 684'000 en 1991 [ROUSH92]. Ces chiffres sont à prendre avec prudence, car très peu de cas sont effectivement raportés aux autorités. Le NCCS estime que moins de 10 % des cas d'intrusions sont signalés [ICOVE95], les entreprises victimes de hackers, n'ayant pas du tout envie de se faire une mauvaise publicité, en avouant leurs faiblesses.
Dans les années 80, un hacker nommé Michael Sinergy, pénétra dans le système informatique de l'agence de crédit nationale (TRW), qui détient des informations financières sur près de 80 millions d'Américains, dans le but d'aller consulter le fichier du président Ronald Reagan. Il découvrit le fichier qu'il cherchait et vit que 63 autres personnes avaient consultés la même information le même jour. Il remarqua un groupe de 700 personnes qui semblaient détenir la même carte de crédit et l'historique de leur compte était étrange. Ils semblaient ne pas avoir de passé. Il réalisa qu'il devait très certainement être en train de consulter l'historique des crédits, ainsi que les noms et adresses de gens qui travaillaient dans le cadre du programme gouvernemental de protection des témoins. En bon citoyen, il s'empressa de prévenir le FBI de cette faille potentielle dans la sécurité de leur programme de protection. [CLOUGH93]
En France, un hacker avait trouvé le moyen de reprogrammer à distance les taux de change d'un distributeur de billets. Il s'octroyait, par exemple un taux de change de 5 dollars pour 1 franc, changeait 100 francs. Il effectuait l'opération inverse, le taux de change passait à 5 francs pour 1 dollar et il retournait changer ses dollars et recevait ainsi 2500 francs! [BLANCH95]
En 1988, sept criminels ont effectué un détournement de fonds à la First National Bank de Chicago. Ils ont transféré 70 millions de dollars appartenant à 3 grosses compagnies, sur un compte dans une banque de New-York, puis, de là, dans deux banques à Vienne. Les transferts ont été ordonnés par téléphone. La banque a appelé ses clients pour demander confirmation du transfert, mais les appels étaient détournés vers la résidence d'un des criminels. Les sociétés volées se sont vite rendu compte de l'affaire et une enquête a été ouverte. Grâce aux enregistrement des appels de confirmations, les enquêteurs ont pu appréhender les sept criminels avant qu'ils ne prennent la fuite. [ICOVE95]
Fry Guy est un hacker de 17 ans, habitant dans l'Indiana (USA). En 1989, il est passé maître dans l'art de commander aux centraux téléphoniques de la compagnie locale de téléphone et il a trouvé un moyen de se faire un peu d'argent de poche facilement. Il contacte un commerçant en se faisant passer pour un employé d'une société de cartes de crédits et arrive à lui faire donner son numéro de client et son mot de passe. Munit de ces informations, Fry Guy se connecte sur l'ordinateur de la compagnie de crédit pour trouver la liste des clients du commerçant. Il choisi un client relativement "à l'aise" au point de vue crédit, relève son numéro de téléphone et son numéro de carte de crédit.
Il détourne la ligne téléphonique de sa victime vers une cabine téléphonique dans la petite ville de Paducah, et la ligne de la cabine vers un des ses téléphones. Il appel une banque pour faire un virement dans leur agence de Paducah en débitant la carte de sa victime. La banque rappelle pour demander la confirmation du transfert et c'est lui qui répond. Il ne lui reste plus qu'à rétablir les lignes téléphoniques et à aller récupérer l'argent. [CLOUGH93]
Le phreaking, est l'action de pirater les réseaux téléphoniques. Cette activité est liée au piratage informatique parce que les hackers devaient passer de longues heures à essayer de se connecter par modem, sur les ordinateurs qu'ils avaient pris pour cible et que cela aurait fini par leur coûter cher. C'est pour cela que la plupart des hackers sont aussi des phreakers. De plus comme les centraux téléphoniques modernes sont des ordinateurs, le piratage du téléphone se rapproche beaucoup du piratage d'un ordinateur "classique".
Le premier cas de phreaking recensé remonte à1961 et le premier article sur ce sujet fut écrit en 1971 dans le magazine Esquire. A cette époque, le phreaking était une activité essentiellement pratiquée par des aveugles qui utilisaient le téléphone comme moyen de rompre leur isolement. Ils utilisaient pour se parler des lignes de test utilisées pour la maintenance du système. Ces lignes de test sont caractérisées par le fait que chaque extrémité possède un numéro de téléphone qui lui est assigné et qu'il suffit à deux personnes se mettant d'accord à l'avance sur quelle ligne utiliser, d'appeler chacun une des extrémités pour se trouver en contact, gratuitement.
Petit à petit, les techniques se sont perfectionnées et il devint possible aux pirates d'utiliser toutes les fonctionnalités du réseau, grâce à la "blue box" 3, un boîtier capable de générer des tonalités de commandes, permettant aux phreakers de commander le réseau au même titre qu'un employé de la compagnie de téléphone. [CLOUGH93]
Beaucoup de hackers explorent les systèmes informatiques par simple curiosité et par défi intellectuel. Les "vrais" hackers ont un code éthique leur interdisant la destruction de toute information. Cependant, certains moins bien intentionnés, ont compris qu'ils pouvaient tirer de nombreux avantages de ces connaissances particulières. Le cas le plus classique est le vol de numéros de cartes de crédits, mais certains on trouvés des moyens plus originaux, tel ce hacker maîtrisant le piratage téléphonique, qui gagnait des jeux organisés par des stations radio, car il bloquait tous les appels téléphoniques des auditeurs et il était ainsi la première personne à appeler la radio et empocher le magot!
Des faits plus sérieux ont impliqués Karl Koch, un membre du fameux Chaos Computer Club, qui piratait des sites américains pour le compte du KGB, leur fournissant divers programmes, des listes de mots de passe, etc. [CLOUGH93] Il n'agissait pas par idéologie mais pour gagner de quoi s'offrir de la drogue, tout en pratiquant son sport favori, le cracking!
Le Dr Frederick B. Cohen propose une liste de motivations [COHEN95] pouvant inciter des personnes à entrer dans le monde de la criminalité informatique.
Le mobile le plus banal est l'appât du gain (voir les deux exemples précédents).
Par défi ou pour obtenir une certaine reconnaissance sociale (et pouvoir s'insérer dans un groupe) un jeune hacker se doit d'aller toujours plus loin. Le Dr Cohen cite le cas d'un club allemand qui demande à ses nouveaux membres, comme droit d'entrée, de créer un nouveau virus.
La vengeance d'un employé licencié est souvent la raison de destruction de données, voir même de matériel.
Dans un domaine proche, nous trouvons l'autodéfense. Par exemple, celle d'un programmeur qui introduit une bombe logique dans son programme, afin d'être sûr qu'il sera payé 4.
L'avantage économique requiert parfois d'entrer dans l'illégalité pour obtenir les derniers secrets de fabrication de son concurrent. Comme à la fin de la Guerre froide, il fallait trouver de nouvelles missions pour justifier les énormes infrastructures des services de renseignements, l'espionnage économique est devenu une des priorités de ces agences. Le degré d'implication varie d'un pays à l'autre. Il semblerait que les services français ainsi que les américains soient très actifs dans ce domaine, les Français aidant directement leurs entreprises en leur fournissant des informations confidentielles, les Américains en discréditant les concurrents. [GUISNEL95]
Un virus est un programme capable de se reproduire dans un ordinateur, pouvant infecter d'autres programmes et ainsi se transmettre d'un ordinateur à l'autre, si l'on copie le programme infecté sur un ordinateur sain. S'ils ne faisaient que se reproduire, les virus n'inquiéteraient personne. Seulement voilà, ils peuvent être programmés pour être nuisibles, par exemple en effaçant les données de la machine sur laquelle ils s'exécuteront à une date précise.
Un ver diffère du virus au sens qu'il se transfert de lui-même d'un ordinateur à l'autre au travers d'un réseau. L'exemple le plus connu et le plus dévastateur est sans doute le ver d'ARPANET, qui paralysa le réseau en 1988.
Un cheval de Troie est un programme qui n'est pas ce qu'il à l'air d'être. Par exemple, vous recevez par la poste une publicité, sous la forme d'une disquette contenant la version de démonstration d'un traitement de texte. Si en plus de faire office de traitement de texte, son programmeur a décidé de lui faire rechercher la liste de toutes les applications contenue dans votre ordinateur et d'effacer les fichiers des logiciels de traitement de texte concurrents, il s'agit d'un cheval de Troie. Sous l'aspect d'un honnête logiciel se cache un programme perfide! Il est aussi possible d'utiliser un cheval de Troie, pour introduire un virus sur un ordinateur. Dans ce dernier cas, le cheval de Troie "idéal" est un antivirus que l'utilisateur installe en toute confiance sur sa machine!
Le compilateur C conçu par Ken Thompson et Dennis Ritchie dans le but de réécrire le noyau du système UNIX était un cheval de Troie, car il ne se contentait pas de compiler le programme désiré. Si le programme à compiler était le code source d'UNIX, le compilateur modifiait le code de la fonction de login, afin d'y introduire une back door, permettant à Ken et Dennis d'entrer dans le système grâce à un mot de passe par défaut.
Comme cette astuce pouvait se voir facilement lors de la lecture du code source du compilateur, Thompson rajouta une fonction dans le compilateur qui détectait si le programme à compiler était un compilateur C, et si c'était le cas, il y rajoutait le premier cheval de Troie. Il ne lui restait plus qu'à enlever du code source les traces de la manipulation et à partir de là, l'astuce est devenu indécelable. [COHEN93] [THOMP84]
Cette histoire a été révélée en 1984 par Ken Thompson. Nous ne saurons jamais si elle est véridique ou pas. Cependant, il l'a racontée dans le but de nous faire prendre conscience d'une chose :
En décembre 1989, 20'000 disquettes contenant un programme d'information sur le SIDA sont envoyées aux quatre coins du monde, dans un emballage faisant croire qu'elles provenaient de l'OMS. Lors de l'utilisation du programme, s'affiche le traditionnel texte de la licence, mettant en garde l'utilisateur contre l'utilisation frauduleuse du logiciel et l'invitant à payer le logiciel. Généralement personne ne lit ce texte, mais cette fois-ci, cela aurait été préférable. Il était spécifié dans les termes du contrat d'utilisation, qu'en cas de non-payement, des mesures seraient prises à l'encontre d'autres logiciels se trouvant dans l'ordinateur! De nombreuses personnes ont essayé sans autre ce logiciel et quelques temps après, le cheval de Troie détruisit leurs fichiers. On ne connut jamais l'ampleur exacte des dégâts. [DORAN96]
Le 2 novembre 1988, Robert Morris Jr, diplômé de l'Université de Harvard, lâche un ver sur ARPANET 5. Le ver se transmet de machine en machine grâce à une faille dans le système de messagerie électronique. Le ver sature les machines contaminées en se reproduisant. Très vite, l'ensemble des communications sur le réseau est très fortement ralenti. Les administrateurs systèmes n'ont pas eu d'autres choix que de déconnecter leurs machines du réseau. Le lendemain, le ver put être neutralisé et ce fut l'heure des constats. Le réseau ARPANET sensé être utilisé pour les communications militaires en cas d'attaque nucléaire, avait été "mis à genou" par un simple programme écrit par un étudiant! [CLOUGH93]
Si il existe un maillon faible dans la chaîne de la sécurité informatique, c'est bien l'homme. La plupart des intrusions dans les systèmes informatiques protégés par des mots de passe sont faites en utilisant des dictionnaires de termes courants. Combien d'entre-nous utilisent pour des codes de bancomat, ou comme mot de passe d'ordinateur, une date de naissance (la nôtre ou celle d'un proche) le nom de sa femme, de ses enfants, des termes banals tels "secret", "toto", etc. ? Il y a aussi des employés, qui de peur de ne pas se rappeler un mot de passe compliqué (et donc beaucoup plus sûr pour le système) l'écrivent sur un bout de papier collé sur le bord de l'écran de leur ordinateur!
Le terme de human engineering ( ou social engineering ) est utilisé pour désigner le fait de manipuler à son insu une personne en se faisant passer pour quelqu'un d'autre et en usant de psychologie et du jargon adéquat pour lui faire révéler le plus naturellement du monde, une information qu'elle détient. C'est la technique utilisée par Fry Guy dans un des exemples précédents. Il ne faut pas croire que ce soit un cas isolé, car en me documentant, j'ai eu l'occasion de prendre connaissance de nombreux cas, même dans des milieux qui devraient être sensibilisés aux problèmes de sécurités, tels que l'armée américaine. Matthew G. Devost cite l'exemple de Susan une hacker [DEVOST1] :
Elle est reçue par un groupe de responsables militaires. Sur la table de conférence se trouvent un ordinateur, un modem et un téléphone. Ils lui tendent un enveloppe scellée contenant le nom d'un site informatique dans lequel elle doit pénétrer par n'importe quel moyen. Sans perdre un instant, elle se connecte sur un répertoire militaire facile d'accès afin de déterminer où se trouve le système qu'elle doit pirater. Une fois fait, elle découvre quel est le système d'exploitation utilisé et le nom du responsable de la machine.
Elle appelle la base et utilise ses connaissances dans la
terminologie militaire, pour savoir qui est le commandant de la
base. La réceptionniste lui indique qu'il s'agit du Major
Hasting, puis elle continue : "Je n'arrive plus à
me rappeler le nom de la secrétaire du Major Hasting, c'était
... comment déjà ?". La réceptionniste
enchaîne :"Buchanan, Specialiste Buchanan". Avec
ces informations, elle peut maintenant appeler le responsable
du centre informatique, et avec une voix autoritaire : "Ici
le Spécialiste Buchanan appelant sur demande du Major Hasting.
Il essaye d'accéder à son compte, mais ça
ne marche plus, il ne sait pas pourquoi". (...) En moins
de vingt minutes, elle avait sur son écran les informations
confidentielles de ce centre informatique de l'armée.
Patrick
Galley (Patrick.Galley@theoffice.net)
Dernière mise à jour : 7 novembre 1999