From bc1d70343807104ccf64b6bde9b2db54270203ff Mon Sep 17 00:00:00 2001 From: neodarz Date: Fri, 10 Mar 2017 11:58:22 +0100 Subject: Initiale release --- ...prouver_que_lInternet_des_objets_est__chier.txt | 219 +++++++++++++++++++++ 1 file changed, 219 insertions(+) create mode 100644 Lado_qui_a_hack_150000_imprimantes_pour_prouver_que_lInternet_des_objets_est__chier.txt (limited to 'Lado_qui_a_hack_150000_imprimantes_pour_prouver_que_lInternet_des_objets_est__chier.txt') diff --git a/Lado_qui_a_hack_150000_imprimantes_pour_prouver_que_lInternet_des_objets_est__chier.txt b/Lado_qui_a_hack_150000_imprimantes_pour_prouver_que_lInternet_des_objets_est__chier.txt new file mode 100644 index 0000000..8af1db3 --- /dev/null +++ b/Lado_qui_a_hack_150000_imprimantes_pour_prouver_que_lInternet_des_objets_est__chier.txt @@ -0,0 +1,219 @@ +Titre: L'ado qui a hacké 150.000 imprimantes pour prouver que l'Internet des objets est à chier +Auteur: Christopher Moyer +Date: Mon 13 Feb 2017 07:00:00 +0100 +Lien: https://motherboard.vice.com/fr/article/lado-qui-a-hacke-150000-imprimantes-pour-prouver-que-linternet-des-objets-est-a-chier +URL de téléchargement de Podcast: https://video-images.vice.com/articles/589f51a9c12b6d5ed74fc3d8/lede/1486912030069-1486590801044-98814412_892017f5e3_o.jpeg + +Samedi 4 février, un "lycéen anglais énervé", comme il se décrit lui-même, +était assis devant son ordinateur, écoutant Yung Lean et codant un rootkit, un +outil permettant à un utilisateur non reconnu de prendre le contrôle d'un +système informatique. Puis il a repensé à des histoires qu'il avait lues +récemment sur des sites d'information, concernant des individus qui avaient +hacké des imprimantes ; il s'est alors mis à coder un programme très simple sur +C. + +En quelques heures, pas moins de 150.000 imprimantes connectées à travers le +monde se sont mises à cracher des oeuvres d'art en ASCII et des messages +informant leurs propriétaires que leurs machines faisaient désormais "partie +d'un super botnet." Le hacker signait son oeuvre, du nom de "Stackoverflowin." + +Tout au long de la soirée, et jusqu'au dimanche, des gens ont raconté sur +Internet avoir eu affaire aux impressions mystérieuses. Beaucoup d'imprimantes +affectées par "l'attaque" appartenaient à des restaurants, ce qui a beaucoup +inquiété des employés très étonnés de voir des robots en ASCII jaillir +lorsqu'ils tentaient d'imprimer les additions des clients. +[image 1] + +  + +L'année a déjà été riche en piratages d'imprimantes. Les imprimantes connectées +d'au moins trois universités américaines - Stanford, Vanderbilt et Berkeley - +ont été piratées et utilisées pour imprimer des tracts antisémites[2]. La même +semaine, des chercheurs de l'université de Bochum, en Allemagne, ont publié un +article traitant des failles de sécurité sur les imprimantes[3], tout en +lançant simultanément un wiki[4] pour cataloguer toutes les attaques de ce +type. Quelques jours plus tard, Stackoverflowin agissait pour attirer +l'attention sur ce problème. + +Intrigué, j'ai contacté Stackoverflowin via Ricochet, une application de +messagerie instantanée anonyme. On a discuté de l'Internet des objets, des +backdoors existant sur les biens produits en Chine, et de son mépris pour les +"skids", les gens qui utilisent des scripts ou des programmes pour attaquer des +ordinateurs mais manquent des connaissances nécessaires pour créer leurs +propres programmes. + +Motherboard : Tu as déjà dit[5] que tu avais fait ça pour attirer l'attention +sur les failles de sécurité - comment as-tu fait, et comment les utilisateurs +peuvent-ils se protéger ? + +Stackoverflowin : J'ai envoyé des images sur les imprimantes via le protocole +LPD[6] (port 515), l'IPP[7] (port 631), et le port 9100. En plus de ça, j'ai +utilisé un RCE ("remote code execution", une commande permettant au hacker +d'installer un code arbitraire sur la machine ciblée), ce qui a affecté le +panneau de commandes de Xerox. Je pouvais créer des images et utiliser mon +propre PostScript à ma guise. Honnêtement, il faut que les gens déconnectent +leur imprimante de l'Internet public s'ils n'en ont pas vraiment besoin. Et si +vraiment ils ne peuvent pas faire autrement, il faudrait qu'ils utilisent un +VPN pour se connecter au réseau local. + +Et tu as automatisé le processus, j'imagine ? + +Oui, j'ai créé un petit programme avec C pour faire ça. +[image 8] + +Certains des messages que Stackoverflowin a envoyé à des imprimantes dans le +monde entier. + +Dans les messages, tu disais aux gens que leurs machines faisaient partie d'un +botnet, alors que c'était faux. Pourquoi ce choix ? + +C'est le premier truc qui m'est venu à l'esprit, et avec toutes les inquiétudes +qu'il y a actuellement autour de la sécurité de l'Internet des objets, j'ai +pensé que c'était plutôt approprié. +[image 9] + + +Pourquoi s'attaquer spécifiquement aux imprimantes ? Est-ce l'article de +l'université de Bochum qui a attiré ton attention, ou es-tu simplement +intéressé par les questions liées à l'Internet des objets ? + +Ouais, ça m'intéresse. Je m'étais déjà intéressé aux imprimantes (y'a quelques +mois) et je m'étais amusé un peu, mais j'y suis revenu quand j'ai vu des +articles sur le sujet. J'essaie de nettoyer un peu toute la merde qui entoure +l'Internet des objets depuis début 2015, en gros. + +C'est devenu vraiment intéressant quand le botnet Mirai[10] est apparu, et que +les gens ont commencé à prendre conscience du problème. Mais je ne m'en suis +pas trop mêlé, vu que d'un coup tout le monde s'y intéressait. Franchement, je +ne suis pas sûr que les gens réalisent vraiment ce que c'est que l'Internet des +objets. Et les médias exagèrent un peu. Les gens se mettent à croire que leurs +toasters se font pirater quotidiennement. + +Ouais, ils ont peur que quelqu'un s'attaque à leur frigo connecté et que leur +lait tourne. + +En soi, il y a tout le potentiel pour que les choses tournent mal. La plupart +des appareils utilisés dans les attaques sont vendus par une entreprise, mais +produits par une autre - souvent par des développeurs chinois qui manquent de +rigueur et de compétence. Je dis ça sans racisme. Leur code fait souvent peur, +et beaucoup de ces appareils possèdent plusieurs backdoors. + +It's got a massive potential for fucking up. Most of the devices that are used +in attacks are sold by one company but manufactured by another—often by sketchy +Chinese developers. No racism intended here. Their code is shocking and there +are multiple backdoors in a load of internet enabled devices. + +"Je n'ai jamais pensé que ce serait aussi énorme, pour être honnête." + + +Parle-moi du moment précis du hack. J'essaie de me représenter la scène. On est +samedi, et tu t'ennuies chez toi avec ton café, et tu décides de faire un truc +marrant ? + +Je n'ai jamais pensé que ce serait aussi énorme, pour être honnête. Quand j'ai +vu que 158.000 appareils répondaient, j'ai halluciné. Et je ne pensais pas non +plus qu'on en parlerait autant. Oui, c'était samedi et j'étais posé chez moi à +écouter Yung Lean et à boire du café avec deux sucres. Je crois que je bossais +un peu sur Linux, ou alors sur mon kit LD_PRELOAD [un type de rootkit]. C'était +juste un soir où je m'ennuyais, franchement. + +Certaines des impressions sont signées Michael Jensch, et ton compte Twitter +dit que tu es un chercheur de 23 ans qui vit en Allemagne. Mais tu as dit à +d'autres que tu étais au lycée en Angleterre. + +Oh, Michael c'est mon pote. Il m'a demandé de faire ça. Mais ouais, je suis +anglais. Je suis au lycée. Un lycéen énervé qui a foutu en l'air son avenir +dans l'informatique. + +Franchement j'en doute, vu que personne ne sait qui tu es. + +Non, je veux dire dans la vraie vie. Je n'ai pas eu les notes que j'espérais. +J'imagine que je vais continuer à faire ce genre de trucs toute ma vie. + +À ton avis, pourquoi tu n'as pas eu les notes que tu voulais ? Que penseraient +tes profs s'ils savaient ce que tu fais le week-end ? + +Je suis obsédé par la programmation. Je faisais ça 14 heures par jour à ce +moment-là. Donc ouais, ça a un peu niqué mes résultats. Mon problème, c'est que +personne ne remarque ce dont je suis capable. Tous ceux que je connais qui ont +mon âge et mes compétences sont soit des hackers malveillants, soit dépressifs. +Il n'y a rien pour nous. + +Ce serait quoi ton job de rêve ? + +J'espère être mon propre patron un jour, et lancer une sorte de startup. Mon +job de rêve, ce serait sans doute d'être programmeur, ou consultant en +sécurité. +[image 11] + +Beaucoup de propriétaires d'imprimantes se sont précipités sur Internet pour +tenter de comprendre, comme ici sur un forum Hewlett-Packard. + +Tu penses aller à l'université ? + +Non, je n'ai pas eu des notes suffisantes pour faire ce que je veux. Maintenant +je vais devoir suivre une formation naze que je n'ai pas du tout envie de +faire. Enfin, c'est quand même la fac, mais c'est loin de ce que je voudrais +faire. J'aimerais vraiment qu'on propose des choses intéressantes aux gens de +mon âge qui ont ce type de compétences. Y'a rien de bien, mec. En France, ils +ont des écoles de code et tout (comme 42[12], Epitech[13], etc.) + +Vous n'avez pas de cursus d'informatique au Royaume-Uni ? + +Si, ouais, il y en a, mais ils sont affreux. Par exemple, ma filière actuelle +s'appelle officiellement "informatique" - mais aucun de mes camarades de classe +n'est capable de programmer quoi que ce soit, et aucun n'a l'air très intéressé +par le sujet. Il s'agit juste de voir qui peut recopier ce qui est écrit dans +le manuel le plus vote. Et ils trouvent ça dur. Il n'y a pas de hackathons, de +conférences ou de CTF [Capture the Flags]. Mes compétences en programmation ne +me servent à rien. Et ouais, je suis franchement en avance sur les autres à ce +niveau-là. + +Je vois. J'ai l'impression que ce que tu décris est assez répandu chez les +hackers - c'est grâce à la curiosité et au goût des défis qu'on en arrive là, +et tout le monde n'a pas ces qualités-là. Pourquoi ne lancerais-tu pas toi-même +un truc qui t'intéresserait ? + +Je ne connais pas assez de gens. Je ne parle pas de tout ça avec mes amis. Ça +n'intéresse personne. Et les profs m'ont déjà assez emmerdé avec +l'informatique. + +Par exemple ? + +Je me suis déjà fait engueuler pour avoir signalé des vulnérabilités, des +défaillances. Je faisais ça en dehors de l'école, mais l'école s'en est servi +contre moi. J'ai eu BEAUCOUP de problèmes à cause de ça. Même si j'avais fait +mon rapport de mon côté, en privé, proprement. J'ai fait ce qu'il fallait +faire, mais ça m'a causé des soucis et ils m'ont dit de "ne pas m'en mêler", +alors que le système en question contenait beaucoup d'informations sensibles +concernant des étudiants. Mais c'est juste un exemple. Il y a plein de +problèmes dans ce genre. On ne s'en sort pas. + +Et si tu trouvais d'autres moyens de satisfaire ta curiosité et d'exercer tes +talents, tu penses que tu continuerais à hacker des imprimantes ? + +Non, je ne ferais plus ça. À moins que... Je ne sais pas vraiment. C'est aussi +une histoire de personnalité. Je pense que je ne le referai plus. Je veux +passer à autre chose. On en a beaucoup parlé pour de mauvaises raisons, en +plus. Aux autres jeunes hackers, je conseillerais de s'entourer d'autres +personnes qui pensent pareil et ont les mêmes centres d'intérêt. C'est la +meilleure façon de mûrir quand on aime ce genre de choses, parce que ça peut +être très solitaire. Et ne soyez pas arrogants. Les gens détestent ça, mais ce +n'est pas très compliqué. Ne faites rien de stupide, non plus. Ça finit +toujours mal. Et ça inclut le fait d'exposer à Internet des appareils qui n'en +ont pas besoin. + +Liens: +[1]: https://video-images.vice.com/_uncategorized/1486587116339-Screen-Shot-2017-02-08-at-34804-PM.png (image) +[2]: https://www.insidehighered.com/quicktakes/2017/01/27/more-anti-semitic-fliers-printed-universities (lien) +[3]: https://www.nds.rub.de/research/publications/sok-exploiting-network-printers/ (lien) +[4]: http://hacking-printers.net/wiki/index.php/Main_Page (lien) +[5]: http://www.pcworld.com/article/3166052/security/hacker-hijacks-thousands-of-publicly-exposed-printers-to-warn-owners.html (lien) +[6]: https://www.brooksnet.com/content/faq-what-is-lpr-lpd (lien) +[7]: https://en.wikipedia.org/wiki/Internet_Printing_Protocol (lien) +[8]: https://video-images.vice.com/_uncategorized/1486587736933-stackoverflowin-ascii.jpeg (image) +[9]: https://video-images.vice.com/_uncategorized/1486587916211-Screen-Shot-2017-02-08-at-40443-PM.png (image) +[10]: https://motherboard.vice.com/en_us/topic/mirai (lien) +[11]: https://video-images.vice.com/_uncategorized/1486588404284-HP-forum-screenshot.jpeg (image) +[12]: http://www.42.fr/ (lien) +[13]: http://international.epitech.eu/ (lien) -- cgit v1.2.1