La scène est familière, presque un cliché : une attaque de pirate informatique, telle qu’on la voit souvent dans des séries comme NCIS. Dans un laboratoire de criminalistique plongé dans une semi-obscurité, Abby Sciuto (interprétée par Pauley Perrette) et Timothy McGee (Sean Murray) font face à un cybercriminel déterminé à subtiliser des données cruciales pour leur enquête.
Au milieu d’un déluge de jargon technique abscons (« il a percé le pare-feu ! », « C’est un cryptage niveau 9 du ministère de la Défense ! »), le duo se démène. Finalement, ils finissent par taper simultanément sur le même clavier. Cette représentation, pour le moins, frôle le ridicule.
La réalité du piratage, loin des clichés
Ces scènes résument tout ce qui cloche dans la façon dont le piratage est dépeint à la télévision et au cinéma. Les intrusions dans des systèmes informatiques distants semblent se dérouler en quelques secondes, accompagnées d’une avalanche de texte vert sans queue ni tête et de fenêtres pop-up surgissant de nulle part.
La vérité est bien moins spectaculaire. Les pirates, qu’ils soient malveillants ou des testeurs d’intrusion éthiques, prennent le temps nécessaire pour décortiquer les réseaux et les systèmes qu’ils visent. Ils s’efforcent de comprendre les topologies de réseau, les logiciels et les équipements utilisés. Ensuite, ils cherchent les failles potentielles.
Oubliez les contre-attaques en temps réel que l’on voit dans NCIS : ce n’est pas ainsi que ça fonctionne. Les équipes de sécurité se concentrent principalement sur la défense, en s’assurant que tous les systèmes externes sont correctement mis à jour et configurés. Si un pirate parvient malgré tout à franchir les barrières de sécurité, les systèmes automatisés de prévention des intrusions (IPS) et de détection d’intrusions (IDS) prennent le relais pour limiter les dégâts.
Cette automatisation est essentielle car, en réalité, peu d’attaques sont véritablement ciblées. La plupart sont opportunistes. Des serveurs sont configurés pour scanner Internet, à la recherche de vulnérabilités exploitables via des attaques scriptées. Le volume de ces attaques est tel qu’il est impossible de les traiter manuellement.
L’intervention humaine se produit généralement après une brèche de sécurité. Il s’agit alors d’identifier le point d’entrée et de le bloquer pour éviter toute récidive. Les équipes de réponse aux incidents cherchent également à évaluer l’étendue des dommages, à y remédier et à vérifier s’il existe des problèmes de conformité réglementaire.
Tout cela ne constitue pas un spectacle passionnant. Qui voudrait regarder quelqu’un étudier méticuleusement des documents techniques sur des équipements informatiques obscurs ou configurer des pare-feu de serveur ?
Les compétitions Capture the Flag (CTF)
Il existe cependant des situations où les pirates s’affrontent en temps réel, mais il s’agit généralement de compétitions amicales plutôt que d’enjeux stratégiques.
Ces compétitions sont appelées Capture the Flag (CTF). Elles ont souvent lieu lors de conférences sur la sécurité de l’information, comme les divers événements BSides. Les participants rivalisent pour résoudre des défis dans un temps imparti. Plus ils réussissent de défis, plus ils gagnent de points.
Il existe deux types de compétitions CTF. Dans les événements « Red Team », les pirates, seuls ou en équipe, tentent de s’introduire dans des systèmes spécifiques sans défense active. Des mesures de protection sont parfois mises en place avant le début de la compétition.
Le deuxième type de compétition oppose les équipes « Red » (offensives) aux équipes « Blue » (défensives). Les équipes « Red » gagnent des points en réussissant à pénétrer les systèmes ciblés, tandis que les équipes « Blue » sont jugées sur leur capacité à contrer ces attaques.
Les défis varient en fonction des événements, mais ils sont généralement conçus pour tester les compétences utilisées quotidiennement par les professionnels de la sécurité, telles que la programmation, l’exploitation de vulnérabilités connues et la rétro-ingénierie.
Bien que les compétitions CTF soient compétitives, elles se déroulent dans un esprit généralement convivial. Les hackers sont par nature curieux et enclins à partager leurs connaissances. Il n’est donc pas rare que des équipes adverses ou des spectateurs partagent des informations pouvant aider un rival.
CTF à distance : une alternative en temps de pandémie
Cependant, une tournure inattendue est apparue. En raison de la pandémie de COVID-19, toutes les conférences de sécurité en présentiel ont été annulées ou reportées en 2020. Il est néanmoins possible de participer à des compétitions CTF tout en respectant les mesures de confinement ou de distanciation sociale.
Des sites comme CTFTime répertorient les événements CTF à venir. Comme lors d’un événement en présentiel, beaucoup sont compétitifs. CTFTime publie même un classement des équipes les plus performantes.
Si vous préférez attendre la reprise des événements en personne, vous pouvez également relever des défis de piratage en solo. Le site Web Root-Me propose une variété de défis pour mettre les pirates à rude épreuve.
Une autre option, si vous n’avez pas peur de créer un environnement de piratage sur votre propre ordinateur, est Damn Vulnerable Web Application (DVWA). Comme son nom l’indique, cette application Web est intentionnellement remplie de failles de sécurité, permettant aux aspirants pirates de tester leurs compétences en toute sécurité et légalité.
La seule règle à retenir ? Pas de partage de clavier, évidemment !