Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

De la naissance de Kitetoa.com à Tati

En passant par l'IoT de l'espace

Ce que l'on peut lire dans la presse sur le hack est la partie émergée de l'iceberg. Le reste ne remonte quasiment jamais à la surface.

Logo Tati - Copie d'écran

Retour à la fin des années 90, début des années 2000… Je ne suis certainement pas associé à tout ce que font ces groupe qui m’accueillent dans leurs discussions (ADM, Rhino9, w00w00), mais j’ai le privilège de bêta-tester quelques uns de leurs outils. Je me souviens encore de Whisker, un script en perl de RFP qui deviendra par la suite Nikto. Rhino9 produit quelques outils très amusants qui permettent de repérer des failles liées à Windows et théorisées dans la fameux WarDoc que l’on trouve encore en ligne, comme une sorte de photographie sépia d’un passé lointain.

A force de lire Bugtraq et les publications des groupes de hackers dont je suis plus ou moins proche, je me met à vérifier si les serveurs Web que je consulte sont bien configurés où s’ils laissent fuiter les données personnelles qu’ils récoltent. Je me suis fixé un principe : pas de piratage. Mon seul outil : un navigateur Web.

Le temps passe, j’épingle dans des articles publiés sur mon site www.kitetoa.com une liste interminable de serveurs dont la configuration est plus qu’hasardeuse.

A chaque article, je me dis que c’est fini, que je ne trouverais pas pire. En fait, c’est l’inverse qui se passe. Sans m’en rendre compte je dresse une sorte de photographie des débuts du Web qui montre à quel point tout le monde faisait n’importe quoi, n’importe comment. Avec mes articles, je fais rire beaucoup de monde mais aussi, grincer pas mal de dents.

Le moment va venir où quelqu’un portera plainte. L’occasion de définir ce qu’est un piratage. Naviguer avec un browser et accéder à des parties d’un site qui le mettent en porte à faux, est-ce du piratage ? La question est posée après une plainte du patron de Tati. Les magasins du même nom ont estimé que pour accéder à la liste des clients récoltée par le site, je ne pouvais qu’avoir piraté leur serveur.

Dans le monde dans lequel je nage depuis des années, pirater un serveur, c’est contourner des mesures de sécurité pour obtenir des privilèges spécifiques. Moi, j’utilise un navigateur et dans les logs du serveur, toutes les pages que j’affiche m’ont été servies sans qu’aucun login ou password n’ait été utilisé. Je suis un utilisateur lambda du site que je visite.

En première instance, je suis condamné à une amende avec sursis. Le parquet, c’est incongru, fait appel de ma condamnation et demande ma relaxe, comme en première instance. Il ne veut pas d’une jurisprudence qui permettrait aux gestionnaires de sites de tout laisser en accès libre et de poursuivre n’importe qui en estimant que certaines pages pourtant accessibles sont en fait… interdites à la visite. Il publie même un communiqué de presse.

Je suis relaxé.

Au fond, ce procès qui me pourrit la vie pendant pas mal de mois, est une rigolade. On mobilise la fine fleur de la police spécialisée, la Justice, pour la consultation d’un fichier stocké sans protection dans un serveur Web. Une liste de clients et de clientes des magasins Tati…

Meanwhile

Dans le même temps, j’assiste hilare à quelques piratages dont aucun journal ne parle. D’abord parce qu’aucun responsable informatique ne s’est rendu compte du piratage, ensuite parce que les auteurs n’en parlent pas à des journalistes. Ces piratages ne visent pas la destruction des infrastructures visées. C’est une sorte de challenge, de jeu : si je veux, je peux être administrateur à la place de l’administrateur. Chez les hackers, on dit « root », le super utilisateur d’un système, celui qui a tous les droits sur la machine.

Plus récemment, assistant à une réunion informelle de l'ANSSI, j'entends son directeur expliquer que les vrais piratages sont ceux où les pirates s'enterrent pendant des mois, des années, sans rien faire. On est en 2018 et l'on m'explique ce que je sais depuis le milieu des années 90. C'est intéressant parce que cela valide mon analyse. La presse raconte des histoires de hack ou des piratages. Et ce sont celles qui, le plus souvent, ont échoué. Sans quoi, elles ne seraient jamais arrivées aux oreilles des journalistes. La fine fleur du hack ne se fait pas prendre car personne ne la repère. Pas même l'ANSSI et ses futures boites noires "home made".

Il arrive même que des hackers de ce type piratent une machine et qu'ils y soient les bienvenus. A la fin des années 90, l'un d'eux me raconte comment il a piraté une machine déjà visitée par une cohorte de script-kiddies, comment il a nettoyé et sécurisé la machine. L'administrateur de la machine lui a finalement laissé son accès, reconnaissant pour son aide.

A l'époque, la NASA est un gruyère et j’observe des hackers obtenir les droits pour contrôler un « device » dans l’espace. L’internet of things est encore loin, mais on rigole déjà bien.

Obtenir les droits ne signifie pas les utiliser. C’était une autre époque.

Des banques se font pénétrer assez profondément pour que des machines disposant de tous les outils pour envoyer des messages SWIFT soient contrôlées à distance. Là encore, obtenir les droits ne signifie pas les utiliser.

Plus médiatique, mais intéressant sur le plan de la classification qu’opère la presse parmi les hackers : le piratage du New York Times. Parfois, les chapeaux blancs sont des chapeaux noirs le temps d’une blague.

Ainsi, le groupe Hacking for Girlies prend la main sur le site du New York Times en 1998, lors de la publication du rapport Starr. Cela dure toute la journée, en dépit des efforts des administrateurs du site. Pour à peu près tout le monde, les auteurs du piratage restent inconnus.

Du New York Times à la NASA en passant par SWIFT, mes histoires avec Tati sont à relativiser…

Chapeau : Une histoire de hackers - Sans Anonymous, sans pirates chinois, nord-coréens ou russes

Episode 1 : L'Atelier de Jean-Michel Billaut : ma porte d'entrée sur Internet

Episode 2 : L'IRC : zone de rencontre avec les hackers

Episode 3 : Des années 90 à la fin des années 10, que de chemin parcouru

Episode 4 : Quand Defcon est devenue ADMCon, The untold story…

Episode 5 : De la naissance de Kitetoa.com à Tati, en passant par l'IoT de l'espace

5 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée