Hackers : analyse contemporaine du film

Pour fêter les 25 ans du film Hackers, nous adoptons le point de vue de la sécurité des informations actuelle et l’analysons.

Plusieurs fausses idées répandues font obstacle à l’adoption générale de la culture de la cybersécurité. Le mythe selon lequel les cybercriminels sont très intelligents et qu’il est inutile de lutter a notamment été popularisé par le film Hackers, sorti il y a exactement un quart de siècle. Le film donne lieu à toute une série de clichés que l’industrie du cinéma exploite encore aujourd’hui.
En effet, les héros marginaux du film, leurs adversaires et La Peste, un expert en sécurité des informations qui travaille à Ellingson Mineral, sont présentés comme des geeks extrêmement intelligents qui peuvent trouver et exploiter les vulnérabilités de n’importe quel système d’informations.
Par exemple, le personnage principal est aussi à l’aise lorsqu’il pénètre dans la base de données d’une école que dans le réseau de l’opérateur de câble. Phantom Phreak passe des appels au Venezuela depuis une cabine téléphonique sans débourser un centime. Même Joey, le plus jeune du groupe et le cybercriminel qui a le moins d’expérience, réussit à accéder au super-ordinateur Gibson de Ellingson Mineral. Tout semble assez impressionnant (pour 1995) mais analysons de plus près les prouesses de cette équipe.

Chaîne de télévision piratée

Le protagoniste, Dade (aussi connu comme Crash Override), pénètre dans le réseau d’une chaîne de télévision pour diffuser quelque chose de bien plus captivant que ce programme ennuyeux. Pour ce faire, il appelle le garde de nuit, se fait passer pour un employé du service de comptabilité qui a besoin d’accéder à son ordinateur et demande au garde de lire le numéro de téléphone qui s’affiche sur le modem commuté.
D’une part, ce n’est que de l’ingénierie sociale de base. D’autre part, c’est de la folie de la part de l’entreprise et je ne parle même pas du garde malchanceux. Pourquoi l’ordinateur du comptable est-il connecté au même réseau que celui qui contrôle les diffusions ? Pourquoi le modem attend-t-il constamment de recevoir un appel ? Pourquoi le numéro de téléphone est-il écrit sur le modem ?
Pendant que cette intrusion a lieu, il s’avère qu’un autre cybercriminel est déjà à l’intérieur du réseau de l’entreprise : Kate, ou Acid Burn. Comment y est-elle parvenue ? Il est fort probable que l’entreprise est d’autres ordinateurs avec des modems exposés.

Piratage de Gibson

Le cybercriminel débutant Joey s’infiltre dans le super-ordinateur Gibson. Il se connecte à travers le modem depuis chez lui grâce au mot de passe super-sécurisé du compte du responsable des Relations Publiques : dieu. Tout cela malgré le fait que tous les personnages du film (dont le responsable des Relations Publiques et La Peste, responsable de la sécurité de l’entreprise) savent que les mots de passe les plus souvent utilisés dans cette réalité cinématographique sont amour, secret, sexe et dieu. De plus, le responsable des Relations Publiques a, pour des raisons inconnues, des droits de super-utilisateur. Au final, la « grande » réussite des cybercriminels est davantage liée aux incompétences de l’entreprise qu’à leur ingéniosité.

Activités douteuses de La Peste

L’intrigue du film tourne autour du plan astucieux du pirate informatique La Peste qui travaille à Ellingson Mineral. Il écrit un malware pour récupérer quelques centimes lorsque l’entreprise fait une transaction et envoie les bénéfices vers un compte secret qu’il a aux Bahamas. Cela aurait pu être l’intrigue originale si un plan similaire n’avait pas été déployé 12 ans plus tôt dans le film Superman III. Pour une raison quelconque, tout le monde décrit le malware comme un ver, même si le film ne dit pas comment il est distribué et comment il se reproduit.
Maintenant que nous avons ces informations, pouvons-nous vraiment voir La Peste comme un génie de la cybercriminalité ? Difficilement. Il gère la sécurité des informations d’une entreprise ou personne à part lui n’a de connaissances dans ce domaine. De plus, il semblerait que le responsable des Relations Publiques soit son complice, peut-être pour vraiment lui donner carte blanche ? C’est une attaque interne. Le problème n’est pas vraiment une erreur en matière de cybersécurité mais plutôt la politique de recrutement de l’entreprise.

Virus Da Vinci

Lorsque Joey télécharge accidentellement une partie du « ver », La Peste lance un virus qui s’appelle Da Vinci (là encore, on ne sait pas vraiment si c’est un virus ou juste que les auteurs aimaient prononcer ce mot qui était nouveau pour la plupart des cinéphiles). Le malware prend le contrôle à distance des pétroliers de l’entreprise cible et peut les faire chavirer en pompant l’eau du lest. Ce « virus » est en réalité un leurre.
La Peste s’en sert pour (a) détourner l’attention du « ver » avide d’argent, (b) accuser Joey et ses amis de pirater l’entreprise et d’être les responsables du « ver » et (c) les remettre aux services secrets, pénétrer dans l’ordinateur de Joey et découvrir quelles informations ont été divulguées, sans oublier que cela lui fait gagner du temps et permet au malware de détourner plus d’argent.
En réalité, ce « virus » est beaucoup trop futuriste pour l’époque. Pour commencer, l’idée même d’avoir en 1995 un bâtiment de mer connecté de façon permanente aux systèmes de navigation de l’opérateur de l’entreprise est folle. La navigation n’a pas besoin d’Internet, que ce soit de nos jours ou à cette époque. Le système GPS était déjà parfaitement opérationnel et disponible pour les civils.
Ensuite, pour un bateau qui a été constamment en ligne depuis le milieu dans années 90, il se joue de la réalité. Les transferts de données par satellite n’existaient même pas. Il aurait eu besoin d’une connexion modem permanente et excessivement chère par voie téléphonique.
De plus, les pétroliers (que l’on pourrait considérer comme infrastructure critique) n’ont pas de systèmes de backup manuels pour contrôler l’injection de l’eau dans le lest. Ce processus est entièrement informatisé. D’ailleurs, un ordinateur peut parfaitement commettre une erreur sans qu’il n’y ait de malware. En résumé, pour que le virus Da Vinci fonctionne, quelqu’un aurait dû faire le long et laborieux travail préparatoire du sabotage du navire, y compris au moment de la conception.

Prêts pour la confrontation

Les protagonistes décident d’arrêter l’ignoble Da Vinci et d’obtenir le code complet du « virus » pour découvrir où l’argent volé a été envoyé. Cette préparation est inutile si elle n’est pas approfondie. Là encore le film commence à dérailler.
Le cybercriminel Cereal Killer se fait passer pour l’employé d’une entreprise téléphonique, accède aux installations des services secrets américains et introduit un bug. Nous ne savons pas pourquoi aucun des employés, qui sont soi-disant des professionnels, n’a pensé que la présence d’un adolescent au pantalon large était suspecte. Son châtiment en dehors de l’écran reste aussi un mystère.
Dade et Kate fouillent dans les poubelles de Ellingson Mineral et volent des documents. Cette histoire est crédible. Même aujourd’hui certaines entreprises ne savent pas où et comment leurs déchets sont détruits. Une lecture attentive des documents jetés permet d’obtenir facilement près de 50 mots de passe qui peuvent être utilisés pour accéder aux systèmes de l’entreprise. C’est plus un geyser qu’une fuite.

Bataille finale pour Gibson

Le personnage principal demande de l’aide à la communauté de cybercriminels et ils bombardent ensemble le super-ordinateur de virus. À ce moment-là, le film a enfin perdu toute connexion avec la réalité. Malheureusement, nous ne savons rien de l’architecture des systèmes d’informations de Ellingson Mineral. Nous sommes donc incapables de savoir comment un groupe de cybercriminels peut simultanément se connecter à Gibson et télécharger un ensemble de virus et le « ver ».
Il n’est pas non plus évident de savoir s’ils ont utilisé Internet ou s’ils se sont directement connectés aux modems internes de l’entreprise d’une quelconque façon. Dans tous les cas, La Peste identifie tant bien que mal la source des attaques.
C’est à ce moment-là qu’on entend l’étrange phrase « Plusieurs virus GPI et FSI ». GPI signifie General Purpose Infectors (agents infectieux d’usage général), un nom obsolète depuis un certain temps qui désigne les virus qui peuvent être intégrés dans des fichiers exécutables. Les FSI, File Specific Infectors (agents infectieux pour un dossier spécifique), sont des virus qui prennent pour cible les fichiers qui ont un certain format. En d’autres termes, cette phrase signifie tout simplement que l’équipe de sécurité peut trouver beaucoup de virus.

Appels internationaux

Tout au long du film, le cybercriminel Phantom Phreak utilise gratuitement les cabines téléphoniques. La technique, qui semble la moins plausible en 2020, s’avère être la plus crédible. À cette époque, le piratage téléphonique, autrement dit l’accès aux systèmes téléphoniques, était une partie importante de la culture cybercriminelle. D’où le nom de Phantom Phreak.
Pour appeler gratuitement, il utilise un dispositif qui imite le bruit des pièces lorsqu’elles sont insérées dans le téléphone. Ce stratagème s’appelle le red boxing. Il fonctionne vraiment et les instructions étaient très largement diffusées au sein des communautés de cybercriminels, même avant l’existence d’Internet. La machine pensait que les pièces avaient été introduites et la cabine téléphonique disait au système de facturation de combien de minutes le pirate téléphonique disposait.
Le red boxing existait déjà en 1995. Les compagnies téléphoniques, conscientes de cette vulnérabilité, ont travaillé dur pour mettre en place des technologies de protection comme les filtres de fréquence, la duplication sur les canaux numériques et des techniques qui permettent de vérifier physiquement le nombre de pièces introduites. Le red boxing était encore utilisé lorsque le film est sorti.

Matériel

Le matériel utilisé par les cybercriminels est particulièrement intéressant. Kate, originaire d’une famille aisée, travaille sur un ordinateur P6 qu’elle décrit comme « trois fois plus rapide qu’un Pentium ». C’est une référence au Pentium Pro, le premier microprocesseur x86 de sixième génération produit par Intel. À cette époque, c’était vraiment la puce la plus puissante au monde et elle est sortie en 1995, comme le film. Le modem de Kate pouvait atteindre une vitesse de 28 8000 kbit/s. Là encore, il s’agit d’un des meilleurs.
Pourtant, un examen plus approfondi révèle qu’en se connectant depuis une cabine téléphonique publique, les protagonistes utilisent quelque chose qui ressemble à un coupleur acoustique, qui transforme les signaux acoustiques en signaux numériques. C’est une machine extrêmement peu fiable qui ne supportent que 1200 kbit/s et qui est complètement dépassée en 1995. Elle était tout de même impressionnante.

Pure fantaisie

D’autres moments dans le film frôlent l’abus d’imagination. Il y a notamment un passage où les cybercriminels s’en prennent à un agent du gouvernement et :

  • Bloque ses cartes de crédit.
  • Ajoute des fausses infractions routières à son casier.
  • Le déclare comme mort dans la base de données des services secrets.

Nous ne savons pas vraiment comment ils arrivent à faire tout cela mais, encore une fois, cela montre plus l’incompétence des banques, de la police et des services secrets que l’ingéniosité des cybercriminels. La publication d’une publicité obscène sur un site de rencontre est la seule astuce convaincante que les cybercriminels utilisent. Inutile d’être un expert en cybercriminalité pour cela, il suffit juste d’avoir un humour particulier.
Ce film ne serait pas complet si les antihéros ne causaient pas le chaos dans la ville en piratant les feux de circulation.

Ce qu’il faut retenir

Même à l’écran les cybercriminels ne sont pas surhumains. Ils exploitent tout simplement les erreurs et les bêtises commises par d’autres. La plupart des pirates informatiques ont encore moins de connaissances qu’eux dans la vie réelle, et il est peu probable que ce soient des génies maléfiques. Notre plateforme de formation Kaspersky Automated Security Awareness permet de clarifier cette fausse idée et bien d’autres en apprenant aux employés à éviter les pièges les plus évidents.

Conseils