Life

Hacker la CIA n'est pas aussi simple que dans «24»

Dans les séries télé, en deux clics et trois raccourcis clavier, on peut pénétrer à peu près n’importe quel système informatique. Dans la réalité, c’est un peu plus compliqué. Les explications d’un spécialiste du hacking.

Temps de lecture: 4 minutes

Depuis une petite dizaine d’années, les séries se sont mises à l’informatique. Les polars et surtout les thrillers sont friands de scènes de traque par ordinateur, et une bonne moitié des infos obtenues par les espions et agents secrets de tous poils le sont à l’aide de savants piratages, menés de main de maître par des experts, héros geeks. De 24 à NCIS, sans un bon PC, on n’arrive pas à grand-chose. Et dans la «vraie vie», est-ce qu’on peut faire comme Chloé (24) et ses compères rois du clavier? Ces manœuvres sont-elles même un tant soit peu réalistes? L’éclairage de Philippe Langlois, spécialiste du hacking, expert pour une société de protection informatique.

Est-il possible de hacker l’ordinateur de son voisin de bureau?

Une des grandes spécialité de Chloé O’Brien dans 24. Sachant que

  • (1) elle n’a jamais accès aux bonnes infos, qui sont coincées au niveau de sécurité supérieur et que
  • (2) la CAT (CTU pour les puristes) est truffées de taupes, il faut bien se débrouiller pour satisfaire Jack, qui lui n’est que spécialiste de la téléphonie mobile.

«C’est possible, mais cela demande une très longue période de préparation –en général, des mois. Il faut créer un système de prise de contrôle de l’ordinateur de votre voisin, qui sait cibler les faiblesses de sa protection. Pour bien faire, ça demande une équipe entière. Il faut l’adresse IP de votre voisin, la cartographie de ses applications et connaître ses vulnérabilités. Très peu de gens savent faire cela. La technique la plus commune, et plus rapide, est de placer dans l’ordinateur en question un composant, généralement un petit mouchard caché dans le clavier, qui permet de prendre le contrôle. C’est ce que fait la police sur ses grosses enquêtes: elle pénètre chez les personnes poursuivies (dealers, trafiquants en tous genres) et planque de quoi en savoir plus et repérer ses complices dans leurs ordinateurs.»

Hacker son voisin, n’est-ce pas le meilleur moyen de se faire repérer?

Aussi une spécialité de Chloé O’Brien, très forte pour hacker, mais pas très douée pour mentir et se cacher. Finalement à l’image de Jack Bauer: franche du collier, quitte à passer pour une terroriste de la justice, version informatique.

«Toute manœuvre informatique laisse une trace, donc oui. Le grand enjeu du hacking, c’est la course entre les capacités d’attaque et d’identification de celui qui attaque. Dans le cas d’une cellule antiterroriste comme dans 24, impossible d’attaquer sans être repéré. Rentrer dans un ordinateur, c’est faisable. Le faire incognito, c’est un exploit.»

Est-il nécessaire d’avoir un ordinateur de professionnel, ou un bon vieux PC ou même un Mac font-ils l’affaire?

Jusqu’à preuve du contraire, Chloé et ses copains cliqueurs professionnels peuvent aussi bien faire des dégâts via des machines super puissantes (les serveurs informatiques de la CAT, c’est une pièce deux fois grande comme votre salon) comme sur leur portable connecté au Starbuck du coin de la rue…

«La puissance de l’ordinateur importe peu. On peut même faire du hacking via un micro ordinateur ou un iPhone. Néanmoins, pour faire certaines attaques, comme le “déni de service”, qui transforme les ordinateurs de milliers d’internautes en “zombies” afin de créer une saturation d’un ou plusieurs sites et de les faire planter, il faut du matériel plus lourd. »

Petit concours de hacking désormais. Peut-on hacker…

• La CIA, le FBI, la NSA ou n’importe quelle agence gouvernementale américaine surprotégée? (Bien entendu, un grand classique de la série d’espionnage).

«Oui, on le peut. Tout est une question de course à l’armement technologique. Celui qui possède la technologie la plus avancée l’emporte. La CIA investit beaucoup d’argent dans les techniques d’attaque, pour mieux se défendre. Si ces agences sont si souvent visées, c’est qu’un hacker qui met en place une technologie “alien”, future, avancée, inédite, ne va pas la gâcher sur la toile, mais la “testera” plus volontiers sur ces gros morceaux. »

• Le contrôle aérien? (Voir la saison 7 de 24, où les terroristes sèment la pagaille en prenant le contrôle des radars aérien, et en donnant des ordres, via le téléphone de bord, aux pilotes).

«Technologiquement, c’est faisable. Le problème, c’est que les systèmes “critiques” comme le contrôle aérien ont toujours une diversité de protections, c’est-à-dire trois épaisseurs: si l’informatique lâche, le procédural prend le dessus, et si la procédure pure et dure ne suffit plus, on fait tout par voie humaine, non technologique. Les trois sont faillibles, mais les voir lâcher en même temps est impossible.»

• Le système d’alarme et de protection d’un bâtiment? (Un classique: un agent ou un super cambrioleur trafique via internet l’alarme et les serrures électroniques d’un bâtiment –au hasard, un musée, une agence concurrente, etc.)

«Les codes des serrures électronique et des alarmes sont crackables, mais c’est un travail de plusieurs mois, voire plus… Là où les séries ne sont pas réalistes, c’est qu’il y a souvent une combinaison entre les protections numériques et les bonnes vieilles serrures, difficiles à ouvrir à distance…»

• Les plans d’un bâtiment? (Aussi un classique. Généralement, à faire avant de hacker les serrures…)

«Il n’existe pas de base de donnée en ligne de ce genre de chose. Reste donc à la fabriquer, en attaquant au cas par cas les ordinateurs privés…»

Hacker un ordinateur, est-ce un métier? Existe-t-il des hackers professionnels, qui travaillent pour les grandes agences et les grandes entreprises?

En gros, Chloé O’Brien et ses collègues sont payés à hacker et à détourner des satellites et tout ce qui peut servir aux agents de terrain comme Jack Bauer.

«Bien sûr. C’est d’ailleurs mon métier. On me demande de veiller à la “protection des infrastructures critiques”, donc de prévoir de possibles hackings. Par exemple, France Télévisions veut savoir si son système est fiable, ils vont donc me payer pour que je tente de le pénétrer. En revanche, contrairement aux idées reçues, on ne donne pas le boulot qui consiste à réparer les failles repérées par l’attaquant à cette même personne. On sépare les tâches, c’est plus sûr. C’est aussi une erreur de dire que la CIA ou le FBI embauchent ceux qui réussissent à hacker leurs systèmes. Ces pirates-là finissent au tribunal, car ces agences privilégient la loyauté de leurs employés.»

Pierre Langlais

Photo: Une scène de 24. © Twentieth Century Fox Film Corp.

 

cover
-
/
cover

Liste de lecture