Banlieue de Lausanne, 19 heures. Les sujets tombent sur les écrans. Les soixante candidats du premier concours suisse de ‘ hacking éthique ‘ se lancent dans la compétition. Objectif de cette première édition d’Insomni’Hack : être le premier à venir à bout de dix exercices de piratage. Mais tout cela se veut parfaitement légal. Le concours, organisé par une société de sécurité informatique, SCRT, veut effectivement faire la différence entre le hacking traditionnel et le hacking éthique : ‘ L’objectif est de découvrir les failles d’un site Web, avec l’autorisation de ses administrateurs, afin de leur permettre de corriger les trous de sécurité ‘, explique Paul Such, directeur de SCRT. ‘ C’est toute la différence entre les ” white hats ” (les chapeaux blancs), les hackers qui font du piratage pour faire avancer la sécurité des sites, et les ” black hats “, les pirates qui vont exploiter une faille et détruire des données ‘, renchérit Damien Snoeck, 24 ans, l’un des participants.Pour le concours, il n’est pas question toutefois de s’en prendre à de vrais sites, même consentants. ‘ L’inscription étant libre et gratuite, nous ne voulions pas qu’un hacker mal intentionné profite de cet événement pour mener de vraies attaques ‘, confie Paul Such, prudent.
Déverrouiller en un clin d’?”il
L’équipe de SCRT a donc créé une série de dix exercices et conçu de toutes pièces de vrais faux sites Web. ‘ A chaque fois, nous avons placé une faille que les candidats devront détecter et exploiter ‘, explique Paul Such. Un réseau Intranet reliant tous les ordinateurs présents permet au concours de se dérouler à huis clos.Le premier exercice : contourner une page d’authentification. Les candidats doivent trouver le nom d’utilisateur et le mot de passe qui ouvriront l’accès au site.Pas de quoi impressionner Daniel Stirnimann, 30 ans, salarié d’une entreprise de sécurité informatique à Zurich et venu participer au concours avec deux collègues. Alors que son voisin termine à peine la lecture de l’énoncé, la difficulté du couple ‘ nom d’utilisateur-mot de passe ‘ est déjà contournée. Moins d’une minute lui a été nécessaire. ‘ Il suffit d’une petite injection SQL [un langage permettant de manipuler les bases de données], commente Daniel Stirnimann, cela signifie que la page a été mal programmée. ‘ L’exercice suivant est déjà bien engagé : ‘ Nous devons trouver un code dans une page cachée d’un site : je suis en train de programmer la petite routine qui testera toutes les combinaisons de pages possibles ‘, explique Cyrill Brunschwiler, 29 ans. Face à l’équipe de Zurich, José Carlos Luna et Oriol Carreras avancent tout aussi vite. D’origine espagnole, ces deux salariés au Cern de Genève s’avouent passionnés par le hacking. ‘ Cela n’a absolument rien à voir avec notre travail, prévient d’emblée José Carlos Luna, la sécurité informatique est simplement un hobby. C’est un challenge intellectuel ! Une façon d’utiliser la technologie de façon créative. ‘ Un peu plus loin, ce responsable d’une société genevoise de sécurité informatique n’est pas venu les mains vides. ‘ J’ai apporté 64 Go de logiciels ! ‘, explique Sébastien Andrivet, 35 ans. Les hackers ont effectivement besoin de quelques logiciels particuliers. Chacun a apporté son propre ordinateur portable et ses ‘ outils ‘.La très grande majorité des participants à la soirée s’appuie sur Back Track, une distribution de Linux spécialement conçue pour les hackers. Alors que Windows propose traitement de texte, messagerie, calculatrice ou tableur, Back Track regroupe une foule de logiciels un rien étranges. Sébastien fait la démonstration : ‘ Il y a tous les outils pour scanner les ports d’un ordinateur, craquer du Wi-Fi, attaquer un site, repérer une éventuelle faille ou même écouter une conversation en téléphonie sur IP. ‘
‘ Certains outils sont tellement faciles d’utilisation qu’il n’est même pas nécessaire d’être très calé en informatique ! ‘, fait remarquer Gabriel Flacher, 28 ans, un responsable de sécurité informatique venu de Haute-Savoie. D’ailleurs, voilà que l’organisateur de la compétition prend le micro : ‘ La personne qui est en train de hacker notre machine a trente secondes pour arrêter ‘, lance-t-il. Un participant a visiblement décidé de trouver les solutions des énigmes directement sur l’ordinateur des organisateurs. Raté ! Paul Such s’amuse : ‘ Tous les coups sont permis, mais si nous repérons l’attaque, le candidat est disqualifié ! ‘
Abandon au premier round
La soirée avance, et les écarts apparaissent. Si les professionnels les plus pointus progressent à grands pas, les autres piétinent. Après trois heures, Fanny et Jean, un jeune couple de Fribourg, n’ont toujours pas réussi à trouver le mot de passe et le login du premier exercice. Fanny finira d’ailleurs par fermer son ordinateur portable… Pierre-Yves Fournier, ingénieur en informatique pour une société de Haute-Savoie, ne baisse pas les bras : ‘ Je suis venu pour apprendre, pour connaître les méthodes et les solutions. ‘
‘ L’intérêt de la compétition, c’est de comprendre où sont mes lacunes et ce que je dois travailler ‘, ajoute Olivier Jungo, 35 ans, ingénieur en maintenance de serveurs à Genève. A une heure du matin, Paul sonne la fin de la compétition. José Carlos Luna, du Cern, remporte le premier prix : un générateur de nombres aléatoires fondé sur la physique quantique. Linformaticien a le sourire : voilà une nouvelle arme de poids dans son arsenal !
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.