path: root/Lado_qui_a_hack_150000_imprimantes_pour_prouver_que_lInternet_des_objets_est__chier.txt

Titre: L'ado qui a hacké 150.000 imprimantes pour prouver que l'Internet des objets est à chier
Auteur: Christopher Moyer
Date: Mon 13 Feb 2017 07:00:00 +0100
Lien: https://motherboard.vice.com/fr/article/lado-qui-a-hacke-150000-imprimantes-pour-prouver-que-linternet-des-objets-est-a-chier
URL de téléchargement de Podcast: https://video-images.vice.com/articles/589f51a9c12b6d5ed74fc3d8/lede/1486912030069-1486590801044-98814412_892017f5e3_o.jpeg

Samedi 4 février, un "lycéen anglais énervé", comme il se décrit lui-même, 
était assis devant son ordinateur, écoutant Yung Lean et codant un rootkit, un 
outil permettant à un utilisateur non reconnu de prendre le contrôle d'un 
système informatique. Puis il a repensé à des histoires qu'il avait lues 
récemment sur des sites d'information, concernant des individus qui avaient 
hacké des imprimantes ; il s'est alors mis à coder un programme très simple sur
C.

En quelques heures, pas moins de 150.000 imprimantes connectées à travers le 
monde se sont mises à cracher des oeuvres d'art en ASCII et des messages 
informant leurs propriétaires que leurs machines faisaient désormais "partie 
d'un super botnet." Le hacker signait son oeuvre, du nom de "Stackoverflowin."

Tout au long de la soirée, et jusqu'au dimanche, des gens ont raconté sur 
Internet avoir eu affaire aux impressions mystérieuses. Beaucoup d'imprimantes 
affectées par "l'attaque" appartenaient à des restaurants, ce qui a beaucoup 
inquiété des employés très étonnés de voir des robots en ASCII jaillir 
lorsqu'ils tentaient d'imprimer les additions des clients.
[image 1]

 

L'année a déjà été riche en piratages d'imprimantes. Les imprimantes connectées
d'au moins trois universités américaines - Stanford, Vanderbilt et Berkeley - 
ont été piratées et utilisées pour imprimer des tracts antisémites[2]. La même 
semaine, des chercheurs de l'université de Bochum, en Allemagne, ont publié un 
article traitant des failles de sécurité sur les imprimantes[3], tout en 
lançant simultanément un wiki[4] pour cataloguer toutes les attaques de ce 
type. Quelques jours plus tard, Stackoverflowin agissait pour attirer 
l'attention sur ce problème.

Intrigué, j'ai contacté Stackoverflowin via Ricochet, une application de 
messagerie instantanée anonyme. On a discuté de l'Internet des objets, des 
backdoors existant sur les biens produits en Chine, et de son mépris pour les 
"skids", les gens qui utilisent des scripts ou des programmes pour attaquer des
ordinateurs mais manquent des connaissances nécessaires pour créer leurs 
propres programmes.

Motherboard : Tu as déjà dit[5] que tu avais fait ça pour attirer l'attention 
sur les failles de sécurité - comment as-tu fait, et comment les utilisateurs 
peuvent-ils se protéger ?

Stackoverflowin : J'ai envoyé des images sur les imprimantes via le protocole 
LPD[6] (port 515), l'IPP[7] (port 631), et le port 9100. En plus de ça, j'ai 
utilisé un RCE ("remote code execution", une commande permettant au hacker 
d'installer un code arbitraire sur la machine ciblée), ce qui a affecté le 
panneau de commandes de Xerox. Je pouvais créer des images et utiliser mon 
propre PostScript à ma guise. Honnêtement, il faut que les gens déconnectent 
leur imprimante de l'Internet public s'ils n'en ont pas vraiment besoin. Et si 
vraiment ils ne peuvent pas faire autrement, il faudrait qu'ils utilisent un 
VPN pour se connecter au réseau local.

Et tu as automatisé le processus, j'imagine ?

Oui, j'ai créé un petit programme avec C pour faire ça.
[image 8]

Certains des messages que Stackoverflowin a envoyé à des imprimantes dans le 
monde entier.

Dans les messages, tu disais aux gens que leurs machines faisaient partie d'un 
botnet, alors que c'était faux. Pourquoi ce choix ?

C'est le premier truc qui m'est venu à l'esprit, et avec toutes les inquiétudes
qu'il y a actuellement autour de la sécurité de l'Internet des objets, j'ai 
pensé que c'était plutôt approprié.
[image 9]


Pourquoi s'attaquer spécifiquement aux imprimantes ? Est-ce l'article de 
l'université de Bochum qui a attiré ton attention, ou es-tu simplement 
intéressé par les questions liées à l'Internet des objets ?

Ouais, ça m'intéresse. Je m'étais déjà intéressé aux imprimantes (y'a quelques 
mois) et je m'étais amusé un peu, mais j'y suis revenu quand j'ai vu des 
articles sur le sujet. J'essaie de nettoyer un peu toute la merde qui entoure 
l'Internet des objets depuis début 2015, en gros.

C'est devenu vraiment intéressant quand le botnet Mirai[10] est apparu, et que 
les gens ont commencé à prendre conscience du problème. Mais je ne m'en suis 
pas trop mêlé, vu que d'un coup tout le monde s'y intéressait. Franchement, je 
ne suis pas sûr que les gens réalisent vraiment ce que c'est que l'Internet des
objets. Et les médias exagèrent un peu. Les gens se mettent à croire que leurs 
toasters se font pirater quotidiennement.

Ouais, ils ont peur que quelqu'un s'attaque à leur frigo connecté et que leur 
lait tourne.

En soi, il y a tout le potentiel pour que les choses tournent mal. La plupart 
des appareils utilisés dans les attaques sont vendus par une entreprise, mais 
produits par une autre - souvent par des développeurs chinois qui manquent de 
rigueur et de compétence. Je dis ça sans racisme. Leur code fait souvent peur, 
et beaucoup de ces appareils possèdent plusieurs backdoors.

It's got a massive potential for fucking up. Most of the devices that are used 
in attacks are sold by one company but manufactured by another—often by sketchy
Chinese developers. No racism intended here. Their code is shocking and there 
are multiple backdoors in a load of internet enabled devices.

"Je n'ai jamais pensé que ce serait aussi énorme, pour être honnête."


Parle-moi du moment précis du hack. J'essaie de me représenter la scène. On est
samedi, et tu t'ennuies chez toi avec ton café, et tu décides de faire un truc 
marrant ?

Je n'ai jamais pensé que ce serait aussi énorme, pour être honnête. Quand j'ai 
vu que 158.000 appareils répondaient, j'ai halluciné. Et je ne pensais pas non 
plus qu'on en parlerait autant. Oui, c'était samedi et j'étais posé chez moi à 
écouter Yung Lean et à boire du café avec deux sucres. Je crois que je bossais 
un peu sur Linux, ou alors sur mon kit LD_PRELOAD [un type de rootkit]. C'était
juste un soir où je m'ennuyais, franchement.

Certaines des impressions sont signées Michael Jensch, et ton compte Twitter 
dit que tu es un chercheur de 23 ans qui vit en Allemagne. Mais tu as dit à 
d'autres que tu étais au lycée en Angleterre.

Oh, Michael c'est mon pote. Il m'a demandé de faire ça. Mais ouais, je suis 
anglais. Je suis au lycée. Un lycéen énervé qui a foutu en l'air son avenir 
dans l'informatique.

Franchement j'en doute, vu que personne ne sait qui tu es.

Non, je veux dire dans la vraie vie. Je n'ai pas eu les notes que j'espérais. 
J'imagine que je vais continuer à faire ce genre de trucs toute ma vie.

À ton avis, pourquoi tu n'as pas eu les notes que tu voulais ? Que penseraient 
tes profs s'ils savaient ce que tu fais le week-end ?

Je suis obsédé par la programmation. Je faisais ça 14 heures par jour à ce 
moment-là. Donc ouais, ça a un peu niqué mes résultats. Mon problème, c'est que
personne ne remarque ce dont je suis capable. Tous ceux que je connais qui ont 
mon âge et mes compétences sont soit des hackers malveillants, soit dépressifs.
Il n'y a rien pour nous.

Ce serait quoi ton job de rêve ?

J'espère être mon propre patron un jour, et lancer une sorte de startup. Mon 
job de rêve, ce serait sans doute d'être programmeur, ou consultant en 
sécurité.
[image 11]

Beaucoup de propriétaires d'imprimantes se sont précipités sur Internet pour 
tenter de comprendre, comme ici sur un forum Hewlett-Packard.

Tu penses aller à l'université ?

Non, je n'ai pas eu des notes suffisantes pour faire ce que je veux. Maintenant
je vais devoir suivre une formation naze que je n'ai pas du tout envie de 
faire. Enfin, c'est quand même la fac, mais c'est loin de ce que je voudrais 
faire. J'aimerais vraiment qu'on propose des choses intéressantes aux gens de 
mon âge qui ont ce type de compétences. Y'a rien de bien, mec. En France, ils 
ont des écoles de code et tout (comme 42[12], Epitech[13], etc.)

Vous n'avez pas de cursus d'informatique au Royaume-Uni ?

Si, ouais, il y en a, mais ils sont affreux. Par exemple, ma filière actuelle 
s'appelle officiellement "informatique" - mais aucun de mes camarades de classe
n'est capable de programmer quoi que ce soit, et aucun n'a l'air très intéressé
par le sujet. Il s'agit juste de voir qui peut recopier ce qui est écrit dans 
le manuel le plus vote. Et ils trouvent ça dur. Il n'y a pas de hackathons, de 
conférences ou de CTF [Capture the Flags]. Mes compétences en programmation ne 
me servent à rien. Et ouais, je suis franchement en avance sur les autres à ce 
niveau-là.

Je vois. J'ai l'impression que ce que tu décris est assez répandu chez les 
hackers - c'est grâce à la curiosité et au goût des défis qu'on en arrive là, 
et tout le monde n'a pas ces qualités-là. Pourquoi ne lancerais-tu pas toi-même
un truc qui t'intéresserait ?

Je ne connais pas assez de gens. Je ne parle pas de tout ça avec mes amis. Ça 
n'intéresse personne. Et les profs m'ont déjà assez emmerdé avec 
l'informatique.

Par exemple ?

Je me suis déjà fait engueuler pour avoir signalé des vulnérabilités, des 
défaillances. Je faisais ça en dehors de l'école, mais l'école s'en est servi 
contre moi. J'ai eu BEAUCOUP de problèmes à cause de ça. Même si j'avais fait 
mon rapport de mon côté, en privé, proprement. J'ai fait ce qu'il fallait 
faire, mais ça m'a causé des soucis et ils m'ont dit de "ne pas m'en mêler", 
alors que le système en question contenait beaucoup d'informations sensibles 
concernant des étudiants. Mais c'est juste un exemple. Il y a plein de 
problèmes dans ce genre. On ne s'en sort pas.

Et si tu trouvais d'autres moyens de satisfaire ta curiosité et d'exercer tes 
talents, tu penses que tu continuerais à hacker des imprimantes ?

Non, je ne ferais plus ça. À moins que... Je ne sais pas vraiment. C'est aussi 
une histoire de personnalité. Je pense que je ne le referai plus. Je veux 
passer à autre chose. On en a beaucoup parlé pour de mauvaises raisons, en 
plus. Aux autres jeunes hackers, je conseillerais de s'entourer d'autres 
personnes qui pensent pareil et ont les mêmes centres d'intérêt. C'est la 
meilleure façon de mûrir quand on aime ce genre de choses, parce que ça peut 
être très solitaire. Et ne soyez pas arrogants. Les gens détestent ça, mais ce 
n'est pas très compliqué. Ne faites rien de stupide, non plus. Ça finit 
toujours mal. Et ça inclut le fait d'exposer à Internet des appareils qui n'en 
ont pas besoin.

Liens:
[1]: https://video-images.vice.com/_uncategorized/1486587116339-Screen-Shot-2017-02-08-at-34804-PM.png (image)
[2]: https://www.insidehighered.com/quicktakes/2017/01/27/more-anti-semitic-fliers-printed-universities (lien)
[3]: https://www.nds.rub.de/research/publications/sok-exploiting-network-printers/ (lien)
[4]: http://hacking-printers.net/wiki/index.php/Main_Page (lien)
[5]: http://www.pcworld.com/article/3166052/security/hacker-hijacks-thousands-of-publicly-exposed-printers-to-warn-owners.html (lien)
[6]: https://www.brooksnet.com/content/faq-what-is-lpr-lpd (lien)
[7]: https://en.wikipedia.org/wiki/Internet_Printing_Protocol (lien)
[8]: https://video-images.vice.com/_uncategorized/1486587736933-stackoverflowin-ascii.jpeg (image)
[9]: https://video-images.vice.com/_uncategorized/1486587916211-Screen-Shot-2017-02-08-at-40443-PM.png (image)
[10]: https://motherboard.vice.com/en_us/topic/mirai (lien)
[11]: https://video-images.vice.com/_uncategorized/1486588404284-HP-forum-screenshot.jpeg (image)
[12]: http://www.42.fr/ (lien)
[13]: http://international.epitech.eu/ (lien)