DEVENIR UN HACKER EN DEUX CLICS
De petits logiciels proposent de pirater un site web en quelques minutes et récupérer e-mails, mots de passe, voire numéros de cartes bleues, ouvrant la voie à une dangereuse démocratisation du "hack".
Pirater n'importe quel site en deux clics et dix minutes ? C'est déjà possible.
De plus en plus de petits logiciels permettent aux pirates du dimanche de jouer au "hacker" véritable. Une démocratisation du piratage qui n'est pas sans risque. Récemment, Orange ou Sony ont été les illustres victimes de ces apprentis hackers.
Dans la pratique, le hacker en herbe télécharge gratuitement un simple logiciel, renseigne l'adresse d'un site web et clique pour lancer l'attaque. Après une dizaine de minutes, il récupère l'intégralité des bases de données du site à savoir, en fonction du site, des noms et prénoms, adresses e-mails, numéros de téléphone, mots de passe, voire numéros de cartes bleues.
Aucune connaissance technique nécessaire
"Le Nouvel Observateur" a pu voir à l'œuvre l'un de ces logiciels, dont le nom ne sera pas donné. Après quelques minutes d'attaque contre un site d'abonnements, le logiciel affiche une imposante liste de clients avec noms, adresses, e-mails et mots de passe cryptés. Bluffant ! D'un clic supplémentaire, le logiciel casse le cryptage et révèle tous les mots de passe. Inquiétant...
En quelques clics et sans aucune connaissance technique, le logiciel a pu récupérer nombre de données confidentielles du site (voir ci-dessous).
Ce type de piratage repose sur les "injections SQL", exploitations d'une faille de sécurité dans la base de données du site via de fausses requêtes en langage informatique SQL. Si un pirate-expert est capable de coder ces injections SQL les yeux fermés, le novice préfère passer par un logiciel qui fera tout ce travail automatiquement en enchaînant les fausses requêtes.
Des tâtonnements successifs qui finissent par payer mais qui ne fonctionne pas sur tous les sites.
"Des armes à la portée de tous"
"Les logiciels de piratage ont toujours existé, mais aujourd'hui ils se multiplient et sont accessibles facilement et gratuitement", note Damien Bancal, rédacteur en chef du site spécialisé en sécurité Zataz. "Ces véritables couteaux suisses numériques permettent de récupérer tout ce qui se trouve sur une base de données, mais aussi décryptent les mots de passe et proposent un accès à l'administration du site. Ce sont des armes à la portée de tous", poursuit-il.
Des outils de piratages livrés clef en main et largement utilisés. Ces "kits d'attaques" représentent désormais deux tiers des activités malveillantes, note l'entreprise de sécurité Symantec. Les désormais célèbres Anonymous ou Lulz Security (dit "LulzSec") ont régulièrement usé de ces logiciels pour récupérer d'importantes bases de données.
Et si jamais l'internaute se sent perdu, aucune crainte, les tutoriels se multiplient surYouTube pour expliquer, pas à pas, les différentes étapes du piratage.
Damien Bancal prévient toutefois les éventuels utilisateurs : "ces logiciels laissent beaucoup de traces pour l'administrateur du site", rappelant que l'utilisation de ce type de logiciel est illégale.
Des kits d'attaques
Mais au-delà de ces "petits" logiciels de piratage, il existe des versions beaucoup plus abouties et plus puissantes qui sont vendues dans un marché souterrain. Les prix pratiqués sont flous et varient entre 40 et 4.000 dollars. L'expert en sécurité chez Symantec, Laurent Heslault, parle d'un prix "moyen" autour de 700 à 800 dollars, support technique compris.
"Il y a un véritable marché pour ce type de logiciel", affirme l'expert. Les pirates novices usent ensuite de ces logiciels pour récupérer puis revendre "au marché noir" nombre d'informations issues des bases de données.
"Ces 'kits d'attaques' sont une tendance lourde de l'année 2011", poursuit-il. "Il y a encore un problème de prise de conscience du côté des entreprises", ajoute-t-il.
Même constat chez Damien Bancal qui lance : "l'injection SQL est la clef du web en 2011".
Des failles "facilement corrigeables"
Pour les administrateurs, le piratage n'est toutefois pas une fatalité. "Les injections SQL s'appuient sur des vulnérabilités énormes, conséquences de développements bâclés, mais sont facilement corrigeables", souligne Laurent Heslault.
"Le problème c'est qu'il suffit d'une page oubliée, d'un mauvais code, pour laisser une porte ouverte...", note Damien Bancal, qui plaide pour "avoir des gens capables de mettre les mains dans le cambouis du code".
Pour se protéger, Laurent Heslault conseille : "faire un audit du code du site, faire une recherche complète des vulnérabilités, voire installer une couche de protection supplémentaire".
Boris Manenti - Le Nouvel Observateur
