R1. La sécurité existe parce que le hacking (piratage) existe. C’est le bon vieux principe d’action/réaction. Toutefois, la ligne qui sépare les mondes de la sécurité et du hacking est mince et malheureusement trop souvent traversée. D'un côté, il y a ceux que nous appelons les white hats et de l’autre les black hats. Mais comme dans la vie, tout n’est pas toujours blanc ou noir. Il y a parfois des zones grises. Vous l’aurez deviné, une troisième catégorie appelée grey hats, se situent entre les deux.
Une guerre à finir existe entre les deux camps. Les white hats, qui tentent de protéger et de sécuriser les systèmes et les infrastructures, sont aux prises avec des attaques incessantes, qui la plupart du temps, sont commises par des black hats. De par leurs activités et la législation en vigueur à l’échelle mondiale, c’est dernier sont majoritairement des criminels qui tentent par tous les moyens possibles de parvenir à leurs fins. Leurs motivations qui tournaient autrefois autour du plaisir et du défi, ont maintenant cédé la place à l’appât du gain et au profit. Les black hats travaillent soit à leur compte, soit à la solde d’organisations criminelles ou terroristes. Il faut également être conscient que des objectifs stratégiques militaires font maintenant parti de l’équation. Cette nouvelle réalité grandissante risque d’avoir des répercussions jamais vues jusqu’à maintenant.
Mais heureusement, tout n’est pas perdu! Il y a les white hats. Défenseurs des systèmes, des réseaux privés et publics et des infrastructures critiques. Il suffit d’avoir une panne ou un problème quelconque pour réaliser que notre système de santé, notre économie et plusieurs autres aspects de notre vie en sont directement dépendants. Arrêtez-vous un instant et imaginez quelles seraient les conséquences si le powergrid (réseau électrique), le traitement des eaux ou les télécommunications étaient gravement affectés ou ne fonctionnaient plus ? Il faut donc tout mettre en œuvre afin de les protéger et espérer léguer une infrastructure plus stable et plus sécuritaire aux générations à venir.
Cependant, pour réussir à maintenir l’ordre et éviter le chaos, plusieurs éléments sont essentiels afin de mettre en place une stratégie efficace. Le savoir est le premier de ces éléments. Il faut tout d’abord des gens intègres ayant les connaissances nécessaires. L’obtention de ces connaissances ne se fait pas du jour au lendemain et l’expérience ne n’acquière pas dans les livres. Il faut avoir une volonté d’apprendre et de s’y mettre à fond. Le seul moyen d’y arriver est d’investir temps et efforts. Et comme dans toute chose, il faut s’exercer, pratiquer. Qu’est-ce qu’un expert? C’est d’abord et avant tout quelqu’un qui à fait beaucoup d’erreurs.
Certaines formations en sécurité existent, mais comme c’est un domaine qui est très large, il est facile de s’y perdre. Il faut se demander ce qui nous intéresse. L’offensive ? La défensive? Le côté technique ? La gouvernance ? Une introspection ainsi qu’une réflexion sérieuse sont essentielles afin d’y voir plus clair. Il faut se questionner sur quelles-sont nos motivations, nos habiletés, nos aptitudes, nos forces, nos faiblesses, nos intentions et sur ce que nous aimons faire.
Q2. Comment peut-on se pratiquer pour la compétition de hacking?R2. Premièrement, ne JAMAIS tenter de se pratiquer ou d’attaquer un système qui ne vous appartient pas à moins d’en avoir la permission écrite. Il est fortement recommandé d’utiliser des systèmes des tests ou de laboratoires prévus à cet effet. Toute tentative d’accès non autorisée à un système est illégale et passible de sanction, notamment en vertu des articles 342.1 et 430(1.1) du code criminel canadien.
Nous envisageons sérieusement la mise en place d’un hackerspace qui fournira un lieu et un environnement permettant de se pratiquer en toute légalité sur des systèmes prévus à cet effet. Plus d’info à venir…
Nous vous invitons également à visiter le site de Thomas Wilhelm (aka “The Hacker Junkie”) au http://www.de-ice.net. Ce site offre une quantité intéressante d’information pertinente. De plus, sur De-ICE PenTest LiveCD Project le De-ICE PenTest LiveCDs peut y être téléchargé.
Q3.Je possède déjà certains outils et j’aimerais savoir ou et comment je pourrais me pratiquer tout en restant légal?
R3. Il ne s’agit pas seulement d’avoir un environnement pour s’exercer. Il faut aussi avoir les bons outils. Voici une liste intéressante d’outils de Pentest qui méritent qu’on s’y intéresse (Merci à l’équipe de Pauldotcom d’avoir fait le travail à notre place… ;-)
http://pauldotcom.com/TriplePlay-NetworkPenTestingTools.pdf
http://pauldotcom.com/TriplePlay-WebAppPenTestingTools.pdf
Aussi, voir la réponse à la question 2.
Q4. Avez-vous des liens intéressants à partager?R4. Voir la section « Références (en construction) »
Q5. Est-il possible de se monter un environnement de test à la maison et comment puis-je m’y prendre?R5. Absolument. Il est possible de se monter différentes machines, soit physiques ou virtuelles. En utilisant différents OS comme Windows, FreeBDS, Linux, etc… Il est possible de tester différents types de failles et de scénarios. L’utilisation de machines virtuelles est une avenue intéressante. Plusieurs « virtual appliances » peuvent être téléchargé sur le site Web de VMWare. Le site http://bagside.com/bagvapp/ offre également une quantité intéressante et diversifiée de machines virtuelles prêtes à être utilisées.
Encore une fois, une autre ressource intéressante est Thomas Wilhelm (aka “The Hacker Junkie”) qui, en plus de rendre De-ICE PenTest LiveCDs diponible pour la communauté, il a également écrit un livre traitant du sujet et qui s’intitule : « Professional Penetration Testing: Creating and Operating a Formal Hacking Lab »
Q6. Je suis très intéressé par une carrière dans le domaine de la sécurité informatique. J'ai effectué certaines recherches, mais sans résultat probant. Existe-t-il des références d'ouvrages, de sites ou de cours pour apprendre les bases de la sécurité informatique et du hacking?R6. Premièrement, c’est un bon choix de carrière! Plusieurs références et beaucoup d’informations sont disponibles, mais faut-il d’abord savoir ce que l’on cherche (voir R1.)
Il n’y a certes pas encore beaucoup de cours dans les établissements d’enseignement tels que les Cégeps et les Universités. Nous travaillons là-dessus… ;-)
Q7. Je suis surtout intéressé par l'obtention de données et apprendre comment s'introduire dans divers systèmes. Avez-vous des conseils et des références pour quelqu'un qui débute dans le domaine?R7. Il important de comprendre que l’obtention de données et l’introduction dans les systèmes peut être illégal et constituer un jeu dangereux. Le fait d’avoir des outils de hacking en sa possession et de surfer le Web à la recherche d’une « cible » peut-être l’équivalent de se balader dans la rue avec une arme chargée! Des gens se sont retrouvés en prison pour avoir utilisé leurs outils et leur connaissance à mauvais escient. Il faut savoir que les autorités sont maintenant beaucoup plus présentes et mieux formées que dans le passé.
Une formation adéquate permet non seulement d’apprendre les outils et les techniques mais également comment bien faire les choses dans un contexte légal et d’affaire, tout en suivant des règles d’engagement préétablies. Parmi ces formations, on retrouve notamment celles du SANS Institues pour ne nommer que celles-ci.
Voir aussi R1.
Q8. Est-ce que je peux m’impliquer dans le Hackfest ?R8. Écrivez-nous à: info @ hackfest.ca
