Plusieurs fausses id\u00e9es r\u00e9pandues font obstacle \u00e0 l\u2019adoption g\u00e9n\u00e9rale de la culture de la cybers\u00e9curit\u00e9. Le mythe selon lequel les cybercriminels sont tr\u00e8s intelligents et qu\u2019il est inutile de lutter a notamment \u00e9t\u00e9 popularis\u00e9 par le film Hackers, sorti il y a exactement un quart de si\u00e8cle. Le film donne lieu \u00e0 toute une s\u00e9rie de clich\u00e9s que l\u2019industrie du cin\u00e9ma exploite encore aujourd\u2019hui.
\nEn effet, les h\u00e9ros marginaux du film, leurs adversaires et La Peste, un expert en s\u00e9curit\u00e9 des informations qui travaille \u00e0 Ellingson Mineral, sont pr\u00e9sent\u00e9s comme des geeks extr\u00eamement intelligents qui peuvent trouver et exploiter les vuln\u00e9rabilit\u00e9s de n\u2019importe quel syst\u00e8me d\u2019informations.
\nPar exemple, le personnage principal est aussi \u00e0 l\u2019aise lorsqu\u2019il p\u00e9n\u00e8tre dans la base de donn\u00e9es d\u2019une \u00e9cole que dans le r\u00e9seau de l\u2019op\u00e9rateur de c\u00e2ble. Phantom Phreak passe des appels au Venezuela depuis une cabine t\u00e9l\u00e9phonique sans d\u00e9bourser un centime. M\u00eame Joey, le plus jeune du groupe et le cybercriminel qui a le moins d\u2019exp\u00e9rience, r\u00e9ussit \u00e0 acc\u00e9der au super-ordinateur Gibson de Ellingson Mineral. Tout semble assez impressionnant (pour 1995) mais analysons de plus pr\u00e8s les prouesses de cette \u00e9quipe.<\/p>\n
Le protagoniste, Dade (aussi connu comme Crash Override), p\u00e9n\u00e8tre dans le r\u00e9seau d\u2019une cha\u00eene de t\u00e9l\u00e9vision pour diffuser quelque chose de bien plus captivant que ce programme ennuyeux. Pour ce faire, il appelle le garde de nuit, se fait passer pour un employ\u00e9 du service de comptabilit\u00e9 qui a besoin d\u2019acc\u00e9der \u00e0 son ordinateur et demande au garde de lire le num\u00e9ro de t\u00e9l\u00e9phone qui s\u2019affiche sur le modem commut\u00e9.
\nD\u2019une part, ce n\u2019est que de l\u2019ing\u00e9nierie sociale de base. D\u2019autre part, c\u2019est de la folie de la part de l\u2019entreprise et je ne parle m\u00eame pas du garde malchanceux. Pourquoi l\u2019ordinateur du comptable est-il connect\u00e9 au m\u00eame r\u00e9seau que celui qui contr\u00f4le les diffusions ? Pourquoi le modem attend-t-il constamment de recevoir un appel ? Pourquoi le num\u00e9ro de t\u00e9l\u00e9phone est-il \u00e9crit sur le modem ?
\nPendant que cette intrusion a lieu, il s\u2019av\u00e8re qu\u2019un autre cybercriminel est d\u00e9j\u00e0 \u00e0 l\u2019int\u00e9rieur du r\u00e9seau de l\u2019entreprise : Kate, ou Acid Burn. Comment y est-elle parvenue ? Il est fort probable que l\u2019entreprise est d\u2019autres ordinateurs avec des modems expos\u00e9s.<\/p>\n
Le cybercriminel d\u00e9butant Joey s\u2019infiltre dans le super-ordinateur Gibson. Il se connecte \u00e0 travers le modem depuis chez lui gr\u00e2ce au mot de passe super-s\u00e9curis\u00e9 du compte du responsable des Relations Publiques : dieu. Tout cela malgr\u00e9 le fait que tous les personnages du film (dont le responsable des Relations Publiques et La Peste, responsable de la s\u00e9curit\u00e9 de l\u2019entreprise) savent que les mots de passe les plus souvent utilis\u00e9s dans cette r\u00e9alit\u00e9 cin\u00e9matographique sont amour, secret, sexe et dieu. De plus, le responsable des Relations Publiques a, pour des raisons inconnues, des droits de super-utilisateur. Au final, la \u00ab\u00a0grande\u00a0\u00bb r\u00e9ussite des cybercriminels est davantage li\u00e9e aux incomp\u00e9tences de l\u2019entreprise qu\u2019\u00e0 leur ing\u00e9niosit\u00e9.<\/p>\n
L\u2019intrigue du film tourne autour du plan astucieux du pirate informatique La Peste qui travaille \u00e0 Ellingson Mineral. Il \u00e9crit un malware pour r\u00e9cup\u00e9rer quelques centimes lorsque l\u2019entreprise fait une transaction et envoie les b\u00e9n\u00e9fices vers un compte secret qu\u2019il a aux Bahamas. Cela aurait pu \u00eatre l\u2019intrigue originale si un plan similaire n\u2019avait pas \u00e9t\u00e9 d\u00e9ploy\u00e9 12 ans plus t\u00f4t dans le film Superman III. Pour une raison quelconque, tout le monde d\u00e9crit le malware comme un ver, m\u00eame si le film ne dit pas comment il est distribu\u00e9 et comment il se reproduit.
\nMaintenant que nous avons ces informations, pouvons-nous vraiment voir La Peste comme un g\u00e9nie de la cybercriminalit\u00e9 ? Difficilement. Il g\u00e8re la s\u00e9curit\u00e9 des informations d\u2019une entreprise ou personne \u00e0 part lui n\u2019a de connaissances dans ce domaine. De plus, il semblerait que le responsable des Relations Publiques soit son complice, peut-\u00eatre pour vraiment lui donner carte blanche ? C\u2019est une attaque interne. Le probl\u00e8me n\u2019est pas vraiment une erreur en mati\u00e8re de cybers\u00e9curit\u00e9 mais plut\u00f4t la politique de recrutement de l\u2019entreprise.<\/p>\n
Lorsque Joey t\u00e9l\u00e9charge accidentellement une partie du \u00ab\u00a0ver\u00a0\u00bb, La Peste lance un virus qui s\u2019appelle Da Vinci (l\u00e0 encore, on ne sait pas vraiment si c\u2019est un virus ou juste que les auteurs aimaient prononcer ce mot qui \u00e9tait nouveau pour la plupart des cin\u00e9philes). Le malware prend le contr\u00f4le \u00e0 distance des p\u00e9troliers de l\u2019entreprise cible et peut les faire chavirer en pompant l\u2019eau du lest. Ce \u00ab\u00a0virus\u00a0\u00bb est en r\u00e9alit\u00e9 un leurre.
\nLa Peste s\u2019en sert pour (a) d\u00e9tourner l\u2019attention du \u00ab\u00a0ver\u00a0\u00bb avide d\u2019argent, (b) accuser Joey et ses amis de pirater l\u2019entreprise et d\u2019\u00eatre les responsables du \u00ab\u00a0ver\u00a0\u00bb et (c) les remettre aux services secrets, p\u00e9n\u00e9trer dans l\u2019ordinateur de Joey et d\u00e9couvrir quelles informations ont \u00e9t\u00e9 divulgu\u00e9es, sans oublier que cela lui fait gagner du temps et permet au malware de d\u00e9tourner plus d\u2019argent.
\nEn r\u00e9alit\u00e9, ce \u00ab\u00a0virus\u00a0\u00bb est beaucoup trop futuriste pour l\u2019\u00e9poque. Pour commencer, l\u2019id\u00e9e m\u00eame d\u2019avoir en 1995 un b\u00e2timent de mer connect\u00e9 de fa\u00e7on permanente aux syst\u00e8mes de navigation de l\u2019op\u00e9rateur de l\u2019entreprise est folle. La navigation n\u2019a pas besoin d\u2019Internet, que ce soit de nos jours ou \u00e0 cette \u00e9poque. Le syst\u00e8me GPS \u00e9tait d\u00e9j\u00e0 parfaitement op\u00e9rationnel et disponible pour les civils.
\nEnsuite, pour un bateau qui a \u00e9t\u00e9 constamment en ligne depuis le milieu dans ann\u00e9es 90, il se joue de la r\u00e9alit\u00e9. Les transferts de donn\u00e9es par satellite n\u2019existaient m\u00eame pas. Il aurait eu besoin d\u2019une connexion modem permanente et excessivement ch\u00e8re par voie t\u00e9l\u00e9phonique.
\nDe plus, les p\u00e9troliers (que l\u2019on pourrait consid\u00e9rer comme infrastructure critique) n\u2019ont pas de syst\u00e8mes de backup manuels pour contr\u00f4ler l\u2019injection de l\u2019eau dans le lest. Ce processus est enti\u00e8rement informatis\u00e9. D\u2019ailleurs, un ordinateur peut parfaitement commettre une erreur sans qu\u2019il n\u2019y ait de malware. En r\u00e9sum\u00e9, pour que le virus Da Vinci fonctionne, quelqu\u2019un aurait d\u00fb faire le long et laborieux travail pr\u00e9paratoire du sabotage du navire, y compris au moment de la conception.<\/p>\n
Les protagonistes d\u00e9cident d\u2019arr\u00eater l\u2019ignoble Da Vinci et d\u2019obtenir le code complet du \u00ab\u00a0virus\u00a0\u00bb pour d\u00e9couvrir o\u00f9 l\u2019argent vol\u00e9 a \u00e9t\u00e9 envoy\u00e9. Cette pr\u00e9paration est inutile si elle n\u2019est pas approfondie. L\u00e0 encore le film commence \u00e0 d\u00e9railler.
\nLe cybercriminel Cereal Killer se fait passer pour l\u2019employ\u00e9 d\u2019une entreprise t\u00e9l\u00e9phonique, acc\u00e8de aux installations des services secrets am\u00e9ricains et introduit un bug. Nous ne savons pas pourquoi aucun des employ\u00e9s, qui sont soi-disant des professionnels, n\u2019a pens\u00e9 que la pr\u00e9sence d\u2019un adolescent au pantalon large \u00e9tait suspecte. Son ch\u00e2timent en dehors de l\u2019\u00e9cran reste aussi un myst\u00e8re.
\nDade et Kate fouillent dans les poubelles de Ellingson Mineral et volent des documents. Cette histoire est cr\u00e9dible. M\u00eame aujourd\u2019hui certaines entreprises ne savent pas o\u00f9 et comment leurs d\u00e9chets sont d\u00e9truits. Une lecture attentive des documents jet\u00e9s permet d\u2019obtenir facilement pr\u00e8s de 50 mots de passe qui peuvent \u00eatre utilis\u00e9s pour acc\u00e9der aux syst\u00e8mes de l\u2019entreprise. C\u2019est plus un geyser qu\u2019une fuite.<\/p>\n
Le personnage principal demande de l\u2019aide \u00e0 la communaut\u00e9 de cybercriminels et ils bombardent ensemble le super-ordinateur de virus. \u00c0 ce moment-l\u00e0, le film a enfin perdu toute connexion avec la r\u00e9alit\u00e9. Malheureusement, nous ne savons rien de l\u2019architecture des syst\u00e8mes d\u2019informations de Ellingson Mineral. Nous sommes donc incapables de savoir comment un groupe de cybercriminels peut simultan\u00e9ment se connecter \u00e0 Gibson et t\u00e9l\u00e9charger un ensemble de virus et le \u00ab\u00a0ver\u00a0\u00bb.
\nIl n\u2019est pas non plus \u00e9vident de savoir s\u2019ils ont utilis\u00e9 Internet ou s\u2019ils se sont directement connect\u00e9s aux modems internes de l\u2019entreprise d\u2019une quelconque fa\u00e7on. Dans tous les cas, La Peste identifie tant bien que mal la source des attaques.
\nC\u2019est \u00e0 ce moment-l\u00e0 qu\u2019on entend l\u2019\u00e9trange phrase \u00ab\u00a0Plusieurs virus GPI et FSI\u00a0\u00bb. GPI signifie General Purpose Infectors (agents infectieux d\u2019usage g\u00e9n\u00e9ral), un nom obsol\u00e8te depuis un certain temps qui d\u00e9signe les virus qui peuvent \u00eatre int\u00e9gr\u00e9s dans des fichiers ex\u00e9cutables. Les FSI, File Specific Infectors (agents infectieux pour un dossier sp\u00e9cifique), sont des virus qui prennent pour cible les fichiers qui ont un certain format. En d\u2019autres termes, cette phrase signifie tout simplement que l\u2019\u00e9quipe de s\u00e9curit\u00e9 peut trouver beaucoup de virus.<\/p>\n
Tout au long du film, le cybercriminel Phantom Phreak utilise gratuitement les cabines t\u00e9l\u00e9phoniques. La technique, qui semble la moins plausible en 2020, s\u2019av\u00e8re \u00eatre la plus cr\u00e9dible. \u00c0 cette \u00e9poque, le piratage t\u00e9l\u00e9phonique, autrement dit l\u2019acc\u00e8s aux syst\u00e8mes t\u00e9l\u00e9phoniques, \u00e9tait une partie importante de la culture cybercriminelle. D\u2019o\u00f9 le nom de Phantom Phreak.
\nPour appeler gratuitement, il utilise un dispositif qui imite le bruit des pi\u00e8ces lorsqu\u2019elles sont ins\u00e9r\u00e9es dans le t\u00e9l\u00e9phone. Ce stratag\u00e8me s\u2019appelle le red boxing. Il fonctionne vraiment et les instructions \u00e9taient tr\u00e8s largement diffus\u00e9es au sein des communaut\u00e9s de cybercriminels, m\u00eame avant l\u2019existence d\u2019Internet. La machine pensait que les pi\u00e8ces avaient \u00e9t\u00e9 introduites et la cabine t\u00e9l\u00e9phonique disait au syst\u00e8me de facturation de combien de minutes le pirate t\u00e9l\u00e9phonique disposait.
\nLe red boxing existait d\u00e9j\u00e0 en 1995. Les compagnies t\u00e9l\u00e9phoniques, conscientes de cette vuln\u00e9rabilit\u00e9, ont travaill\u00e9 dur pour mettre en place des technologies de protection comme les filtres de fr\u00e9quence, la duplication sur les canaux num\u00e9riques et des techniques qui permettent de v\u00e9rifier physiquement le nombre de pi\u00e8ces introduites. Le red boxing \u00e9tait encore utilis\u00e9 lorsque le film est sorti.<\/p>\n
Le mat\u00e9riel utilis\u00e9 par les cybercriminels est particuli\u00e8rement int\u00e9ressant. Kate, originaire d\u2019une famille ais\u00e9e, travaille sur un ordinateur P6 qu\u2019elle d\u00e9crit comme \u00ab\u00a0trois fois plus rapide qu\u2019un Pentium\u00a0\u00bb. C\u2019est une r\u00e9f\u00e9rence au Pentium Pro, le premier microprocesseur x86 de sixi\u00e8me g\u00e9n\u00e9ration produit par Intel. \u00c0 cette \u00e9poque, c\u2019\u00e9tait vraiment la puce la plus puissante au monde et elle est sortie en 1995, comme le film. Le modem de Kate pouvait atteindre une vitesse de 28 8000 kbit\/s. L\u00e0 encore, il s\u2019agit d\u2019un des meilleurs.
\nPourtant, un examen plus approfondi r\u00e9v\u00e8le qu\u2019en se connectant depuis une cabine t\u00e9l\u00e9phonique publique, les protagonistes utilisent quelque chose qui ressemble \u00e0 un coupleur acoustique, qui transforme les signaux acoustiques en signaux num\u00e9riques. C\u2019est une machine extr\u00eamement peu fiable qui ne supportent que 1200 kbit\/s et qui est compl\u00e8tement d\u00e9pass\u00e9e en 1995. Elle \u00e9tait tout de m\u00eame impressionnante.<\/p>\n
D\u2019autres moments dans le film fr\u00f4lent l\u2019abus d\u2019imagination. Il y a notamment un passage o\u00f9 les cybercriminels s\u2019en prennent \u00e0 un agent du gouvernement et :<\/p>\n
Nous ne savons pas vraiment comment ils arrivent \u00e0 faire tout cela mais, encore une fois, cela montre plus l\u2019incomp\u00e9tence des banques, de la police et des services secrets que l\u2019ing\u00e9niosit\u00e9 des cybercriminels. La publication d\u2019une publicit\u00e9 obsc\u00e8ne sur un site de rencontre est la seule astuce convaincante que les cybercriminels utilisent. Inutile d\u2019\u00eatre un expert en cybercriminalit\u00e9 pour cela, il suffit juste d\u2019avoir un humour particulier.
\nCe film ne serait pas complet si les antih\u00e9ros ne causaient pas le chaos dans la ville en piratant les feux de circulation.<\/p>\n