Mercredi 30 janvier 2002, cours n?’ 1De l’extérieur, l’école des hackers est plutôt modeste. A l’intérieur, les graffitis et le drapeau pirate donnent le ton. Il est 17 h 20 et la nouvelle promotion de débutants, surnommés ici les “newbies“, prend place dans la petite salle de cours. Tout le monde se dévisage. “Il paraît qu’à chaque cours, il y a quelqu’un des renseignements généraux”, glisse Daniel*. Arrive Kevin, notre professeur, la casquette vissée sur la tête.Pas le temps de faire de longues présentations ; le cours débute aussitôt par des notions théoriques sur les réseaux informatiques. Kevin est souvent énigmatique, au risque d’être incompris par les vrais débutants : “Si l’on utilise TCP ou UDP, on emploie toujours IP comme protocole de couche 3.” Ma voisine est perdue : “Je n’ai rien compris !”, lâche-t-elle. Pédagogue, Kevin reprend sa démonstration.Au bout de deux heures difficiles, la pause est la bienvenue. “C’est plus dur que ce que j’imaginais”, commente Claudine. Quant à Daniel, il a un peu plus de chance : “Dans la vie, je suis informaticien !”La récréation terminée, chacun regagne son écran pour une heure de travaux pratiques. Nous essayons une fonction classique mais méconnue de Windows, le ping. Derrière ce petit mot se cache l’étude des adresses IP, cette longue suite de chiffres désignant le serveur d’un site Web. Chacun s’en donne à c?”ur joie en affichant la liste des différents serveurs utilisés lors de la connexion. C’est amusant et totalement légal.
Trouver l’entrée des ports
La discussion s’anime avec le “scanning de ports“, l’analyse des points d’accès à Internet d’une machine cible. A partir d’un logiciel installé sur nos ordinateurs, chacun passe en revue les ports d’un serveur test et tente de trouver un point d’entrée libre que nous pourrions utiliser pour, par exemple, prendre les commandes de la machine.“C’est tout à fait illégal d’utiliser ce type de logiciel mais cela peut être très utile si un hacker vous attaque”, commente Kevin. Nous avons l’impression d’entrer dans le secret des dieux !Mercredi 6 février 2002, cours n?’ 2Kevin propose d’emblée une démonstration de piratage grandeur nature avec, d’abord, la technique dite du keylogging.L’objectif est simple : récupérer des mots de passe sur un ordinateur grâce à un logiciel espion.Kevin lance le logiciel sur son ordinateur, puis effectue quelques manipulations, de la fermeture de fenêtres à l’ouverture d’une boîte e-mail sur Internet. Il affiche ensuite les données enregistrées par l’espion. Tout y est : date et heure de l’ouverture de chaque programme, captures d’écran à l’appui. On trouve aussi le nom d’utilisateur et le mot de passe de sa boîte de courrier électronique.“Tout est paramétrable, insiste Kevin, vous pouvez envoyer ce logiciel par e-mail et recevoir discrètement les résultats de la même façon.” Imparable ? Heureusement, plusieurs programmes existent pour démasquer un tel programme, et Kevin nous présente WinForce, l’un des antidotes. Mais les élèves sont interloqués et c’est le brouhaha dans la salle.Pourtant, Kevin a mieux à nous montrer avec les Trojan. Ces redoutables fichiers sont généralement envoyés par courrier électronique, et constituent l’outil indispensable du pirate. Installés sur un ordinateur à l’insu de son utilisateur, ils permettent ensuite de prendre directement le contrôle de la machine à distance.
Détournement de souris
Kevin brandit une disquette : “J’ai ici un Trojan, et je vais l’installer sur la machine de l’un d’entre vous.” C’est Christophe qui joue la victime. Le Trojan en place, le professeur passe à l’attaque. Voilà que le mot “Surprise !” s’affiche sur l’écran de Christophe, bouche bée. Puis Kevin désactive toutes les touches de son clavier : Christophe a beau taper, rien n’apparaît. Le professeur prend le contrôle du curseur, et effectue quelques rondes sur l’écran du stagiaire avant de récupérer des fichiers et de lancer un site Web. Attaque ultime : Kevin lance depuis son propre ordinateur le redémarrage du PC de Christophe, désemparé. Nous sommes tous éberlués. “C’est incroyable !”, lâche ma voisine.C’est l’heure de la pause. “Vous pouvez rester pour tester le logiciel !” Je n’en demandais pas tant. Tandis qu’un de mes voisins consulte son courrier, je pirate son ordinateur et désactive son clavier. Il tente bien de fermer la fenêtre avec sa souris, mais celle-ci n’obéit plus et je provoque un redémarrage.
La guerre mondiale n’aura pas lieu
Quelques minutes plus tard, Kevin est de retour. Je prends en main son ordinateur et lance, sur l’écran géant auquel son PC est relié, un site rose. Il est hilare : “Certains ont déjà bien compris le fonctionnement !”Kevin tente de poursuivre son cours avec une explication sur la façon de détecter un Trojan et sur la sécurisation des e-mails, mais la “guerre des hackers” fait rage dans la salle. Quant à moi, j’essaie d’attaquer au hasard des ordinateurs à travers le monde. Sans succès. Kevin s’est bien gardé de nous révéler la méthode pour repérer les ordinateurs infectés. Il nous faudra approfondir la question sur Internet…Mercredi 13 février 2002 cours n?’ 3Les dix jeunes newbies que nous sommes font déjà figure d’anciens dans la Zi Hackademy : voilà le troisième futur élève que nous guidons vers le secrétariat. A 17 heures, Kevin démarre sur les chapeaux de roues pour un cours qui s’annonce éclectique.
Les astérisques se mettent à table
Il débute par la stéganographie, une technique qui permet d’intégrer discrètement un message à une image. Le destinataire n’a plus ensuite qu’à ouvrir l’image avec ce même logiciel pour faire apparaître le message.Après cette entrée en matière, Kevin nous donne différentes ficelles pour récupérer les mots de passe d’un utilisateur. A l’aide d’un logiciel lui aussi disponible sur le Web, les astérisques masquant le mot de passe livrent leur secret. Pour éviter toute mauvaise surprise, le professeur nous conseille d’utiliser périodiquement des logiciels spécialisés dans la recherche de ces programmes intrus.Kevin poursuit en expliquant comment rester incognito sur le Web. Puis il enchaîne avec une explication ardue sur des programmes pièges à envoyer à une victime. Il faut s’accrocher pour suivre !La fin du cours approche et c’est l’heure du bilan. Philippe est catégorique : “Cela prouve que l’on ne peut vraiment rien faire sur Internet.” Kevin en rajoute : “Il y a toujours un moyen de pirater ce qui est protégé, c’est une question de temps.”En tout cas, ces neuf premières heures de cours se sont révélées très instructives et déjà tous les élèves semblent désireux de s’inscrire au niveau supérieur. Claudine et Daniel m’interrogent : “Alors, on se retrouve pour la session suivante ?”* Les prénoms ont été changés.www.dmpfrance.com
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.