Aujourd’hui, Kevin Mitnick est un expert en sécurité qui infiltre les entreprises de ses clients pour dénoncer leurs faiblesses. Il est également l’auteur de plusieurs livres, dont Fantôme dans les fils. Mais il est surtout connu comme le hacker qui a échappé au FBI pendant des années et a finalement été emprisonné pour ses actes. Nous avons eu l’occasion de lui parler de son séjour en cellule d’isolement, du piratage de McDonald’s et de ce qu’il pense d’Anonymous.
Tendances numériques: quand avez-vous commencé à vous intéresser au hacking ?
Vidéos recommandées
Kévin Mitnick: En fait, ce qui m'a lancé dans le hacking, c'est ce passe-temps que je faisais avec le phreaking téléphonique. Quand j'étais au lycée, j'étais fasciné par la magie et j'ai rencontré un autre élève capable de faire de la magie avec un téléphone. Il pouvait faire toutes ces astuces: je pouvais appeler un numéro qu’il m’avait indiqué et il en appellerait un autre, et nous serions réunis, et c’est ce qu’on appelle une boucle. C'était un circuit de test d'une compagnie de téléphone. Il m'a montré qu'il avait ce numéro secret chez la compagnie de téléphone, qu'il pouvait composer un numéro, et cela donnerait une tonalité bizarre, puis il a entré un code à cinq chiffres et il pouvait appeler n'importe où gratuitement.
Il avait des numéros secrets dans la compagnie de téléphone où il pouvait appeler et il n'avait pas besoin de s'identifier, quoi. ce qui arriverait, c'est que s'il avait un numéro de téléphone, il pourrait trouver le nom et l'adresse de ce numéro même s'il s'agissait d'un numéro de téléphone. inédit. Il pourrait percer le renvoi d'appel. Il savait faire de la magie avec le téléphone et je suis devenu vraiment fasciné par la compagnie de téléphone. Et j'étais un farceur. J'adorais les farces. Mon entrée dans le piratage informatique consistait à faire des farces à mes amis.
L’une de mes premières farces était de changer le téléphone personnel de mes amis en téléphone public. Ainsi, chaque fois que lui ou ses parents essayaient de passer un appel, ils disaient « s'il vous plaît, déposez un quart ».
Donc, mon entrée dans le piratage informatique était due à ma fascination pour la compagnie de téléphone et à mon envie de faire des farces.
DT: Où avez-vous obtenu les connaissances techniques nécessaires pour commencer à réaliser ces choses ?
KM: J’étais moi-même intéressé par la technologie et il ne voulait pas vraiment me dire comment il faisait les choses. Parfois, j'entendais ce qu'il faisait et je savais qu'il utilisait l'ingénierie sociale, mais il était comme le magicien qui faisait les tours mais ne voulait pas me dire comment ils étaient faits, alors je devrais y arriver moi-même.
Avant de rencontrer ce type, j’étais déjà opérateur radio amateur. J'ai réussi mon test de radio HAM à l'âge de 13 ans, et j'étais déjà dans l'électronique et la radio, donc j'avais cette formation technique.
C’était dans les années 70, et je ne pouvais pas obtenir de permis CB parce qu’il fallait avoir 18 ans, et j’en avais 11 ou 12. J'ai donc rencontré ce chauffeur de bus un jour alors que je prenais le bus, et ce chauffeur m'a fait découvrir la radio HAM. Il m'a montré comment passer des appels téléphoniques à l'aide de sa radio portable, ce que j'ai trouvé super cool car c'était avant le téléphone portable. téléphones et je me suis dit "Wow, c'est trop cool, je dois en apprendre davantage." J'ai acheté quelques livres, suivi des cours et, à 13 ans, j'ai réussi le examen.
Ensuite, j'ai découvert les téléphones. Après cela, un autre élève du lycée m'a présenté au professeur d'informatique pour qu'il suive un cours d'informatique. Au début, le moniteur ne m'a pas laissé entrer parce que je ne remplissais pas les prérequis, puis je lui ai montré tous les trucs que je pouvais faire avec le téléphone, et il a été complètement impressionné et m'a permis d'entrer dans le classe.
DT: Avez-vous un hack préféré, ou un dont vous étiez particulièrement fier ?
KM: Le hack auquel je suis le plus attaché était celui de McDonald’s. Ce que j'ai trouvé - vous vous souvenez que j'avais ma licence de radio HAM - je pouvais prendre en charge les fenêtres du drive-up. Je m'asseyais de l'autre côté de la rue et je les prenais en charge. Vous pouvez imaginer à 16, 17 ans, quel plaisir vous pourriez avoir. Ainsi, la personne chez McDonald's pouvait entendre tout ce qui se passait, mais elle ne pouvait pas me maîtriser, je la maîtriserais.
Les clients arrivaient et je prenais leur commande et leur disais: "D'accord, vous êtes le 50ème client aujourd'hui, votre commande est gratuite, veuillez avancer." Ou les flics arrivaient et parfois je disais "Je suis désolé monsieur, nous n'avons pas de beignets pour vous aujourd'hui, et pour les policiers, nous ne servons que des Dunkin Donuts." Soit ça, soit je dirais: « Cachez le cocaïne! Cachez la cocaïne !
Nous en sommes arrivés au point où le directeur sortait dans le parking, regardait le parking, regardait dans les voitures et, bien sûr, il n’y avait personne. Alors il s'approchait du haut-parleur du véhicule et regardait à l'intérieur comme s'il y avait un homme caché à l'intérieur, puis je lui disais: « Qu'est-ce que tu regardes !
DT: Voulez-vous parler un peu de la différence entre l'ingénierie sociale pour accéder à un réseau et le piratage d'un réseau ?
KM: La vérité est que la plupart des hacks sont hybrides. Vous pourriez accéder à un réseau grâce à l’exploitation du réseau – vous savez, en trouvant une voie purement technique. Vous pouvez le faire en manipulant les personnes qui ont accès aux ordinateurs, pour révéler des informations ou pour effectuer une « action » comme ouvrir un fichier PDF. Ou vous pouvez accéder physiquement à l’emplacement de leurs ordinateurs ou serveurs et le faire de cette façon. Mais ce n’est pas vraiment l’un ou l’autre, cela dépend vraiment de la cible et de la situation, et c’est là que le pirate informatique décide quelle compétence utiliser, quelle voie il va utiliser pour pirater le système.
Aujourd’hui, l’ingénierie sociale constitue une menace importante, car RSA [Sécurité] et Google ont été piratés, grâce à une technique appelée spear phishing. Avec les attaques RSA, qui ont été conséquentes car les attaquants ont volé les graines de jetons qui des sous-traitants de la défense utilisés pour l'authentification, les pirates ont piégé un document Excel avec un Flash objet. Ils ont trouvé une cible au sein du RSA qui aurait accès aux informations qu'ils voulaient, et ont envoyé ce document piégé à la victime, et lorsqu'ils ont ouvert le document Excel (qui avait probablement été envoyé par ce qui semblait être une source légitime, un client, un partenaire commercial), il a exploité de manière invisible une vulnérabilité au sein d'Adobe Flash et le pirate a ensuite eu accès au poste de travail de cet employé et aux informations internes de RSA. réseau.
Le spear phishing utilise deux composants: le réseau social pour amener la personne à ouvrir le document Excel, et le second une partie est l'exploitation technique d'un bug ou d'une faille de sécurité dans Adobe qui a donné à l'attaquant le contrôle total du ordinateur. Et c’est ainsi que cela fonctionne dans le monde réel. Vous ne vous contentez pas d’appeler quelqu’un au téléphone et de lui demander un mot de passe; les attaques sont généralement hybrides et combinent ingénierie technique et sociale.
Dans Fantôme dans les fils, je décris comment j'ai utilisé les deux techniques.
DT: Une partie de la raison pour laquelle vous avez écrit Fantôme dans les fils était de répondre à certaines des fabrications sur vous-même.
KM: Oh ouais, il y a eu trois livres écrits sur moi, il y avait un film intitulé Démonter pour lequel j'ai fini par régler un procès à l'amiable, et ils ont accepté de modifier le scénario et le film n'a jamais été diffusé en salles aux États-Unis. J'ai eu un journaliste du New York Times qui a écrit un article sur lequel j'ai piraté le NORAD en 1983 et qui a failli commencer. La Troisième Guerre mondiale ou quelque chose de ridicule comme ça - l'a déclaré comme un fait, ce qui était totalement sans source allégation.
Il y a beaucoup de choses aux yeux du public qui n’étaient tout simplement pas vraies, et beaucoup de choses que les gens ne savaient vraiment pas. Et j’ai pensé qu’il était important que mon livre raconte vraiment mon histoire et remette les pendules à l’heure. Je pensais aussi que mon histoire ressemblait à Attrape-moi si tu peux, j'ai joué pendant deux décennies au chat et à la souris avec le FBI. Et je n’étais pas là pour gagner de l’argent. En fait, lorsque j'étais en fuite, je travaillais de 9h à 17h pour subvenir à mes besoins et je piratais la nuit. J’avais les compétences qui me permettaient de voler des informations de carte de crédit et de compte bancaire si je le voulais, mais ma boussole morale ne me le permettait pas. Et ma principale raison de pirater était vraiment le défi: comme escalader le mont. Everest. Mais la raison principale était ma quête de connaissances. En tant qu'enfant intéressé par la magie et la radio HAM, j'adorais démonter les choses et découvrir comment elles fonctionnaient. À mon époque, il n’y avait aucun moyen d’apprendre le hacking de manière éthique, c’était un monde différent.
Même quand j'étais au lycée, je me sentais encouragé à pirater. L'une de mes premières missions consistait à écrire un programme permettant de trouver les 100 premiers numéros de Gnocchi. Au lieu de cela, j’ai écrit un programme capable de capturer les mots de passe des gens. Et j’ai travaillé si dur là-dessus parce que je pensais que c’était cool et amusant, donc je n’ai pas eu le temps de faire le vrai. et j’ai rendu celui-ci à la place – et j’ai obtenu un A et beaucoup de « Atta boys ». J'ai commencé dans un autre monde.
DT: Et vous avez même été placé en cellule d'isolement alors que vous étiez en prison à cause de choses que les gens pensaient que vous étiez capable de faire.
KM: Ah ouais, ouais. Il y a des années, au milieu des années 80, j'ai piraté une société appelée Digital Equipment Corporation, et ce qui m'intéressait était mon objectif à long terme: devenir le meilleur hacker possible. Je n’avais d’autre objectif que d’entrer dans le système. Ce que j'ai fait, c'est que j'ai pris une décision regrettable et que j'ai décidé de m'attaquer au code source, ce qui est comme la recette secrète d'Orange Julius pour le système d'exploitation VMS, un système d'exploitation très populaire à l'époque jour.
J'ai donc essentiellement pris une copie du code source et un de mes amis m'a informé. Lorsque je me suis retrouvé au tribunal après mon arrestation par le FBI, un procureur fédéral avait déclaré à un juge que non seulement nous devions détenir M. Mitnick en tant que menace à la sécurité nationale, mais que nous doit s'assurer qu'il ne peut pas s'approcher d'un téléphone, car il pourrait simplement prendre un téléphone public, se connecter à un modem au NORAD, siffler le code de lancement et éventuellement démarrer une centrale nucléaire. guerre. Et quand le procureur a dit cela, j’ai commencé à rire parce que je n’avais jamais entendu parler de quelque chose d’aussi ridicule de ma vie. Mais le juge, incroyablement, l'a acheté avec une ligne à hameçon et un plomb, et j'ai fini par être détenu dans un centre de détention fédéral en isolement cellulaire pendant près d'un an. Vous ne fréquentez personne, vous êtes enfermé dans une petite pièce probablement de la taille de votre salle de bain et vous êtes simplement assis là dans un cercueil en béton. C'était un peu comme une torture psychologique, et je pense que la durée maximale pendant laquelle une personne est censée être en isolement cellulaire est d'environ 19 jours, et ils m'ont détenu là pendant un an. Et c'était basé sur l'idée ridicule que je pouvais siffler les codes de lancement.
DT: Et combien de temps après cela n’avez-vous pas été autorisé à utiliser les appareils électroniques de base, ou du moins ceux qui permettaient de communiquer ?
KM: Eh bien, ce qui s'est passé, c'est que j'ai fini par avoir des ennuis plusieurs fois après ma libération. Quelques années plus tard, le FBI a envoyé un informateur qui était un véritable hacker à vocation criminelle – c'est-à-dire quelqu'un qui vole des informations de carte de crédit pour voler de l'argent – pour me piéger. Et j'ai vite compris ce que faisait l'informateur, alors j'ai commencé à faire du contre-espionnage contre le FBI et j'ai recommencé à pirater. Cette histoire est vraiment centrée sur le livre: comment j'ai déjoué l'opération du FBI contre moi et découvert les agents qui travaillaient contre moi et leurs numéros de téléphone portable. J'ai pris leurs numéros et les ai programmés dans un appareil que j'avais comme système d'alerte précoce. S’ils s’approchaient de mon emplacement physique, je le saurais. Finalement, une fois cette affaire terminée en 1999, j'ai imposé des conditions très strictes. Je ne pouvais pas toucher à quoi que ce soit contenant un transistor sans la permission du gouvernement. Ils m’ont traité comme si j’étais un MacGyver, ont donné à Kevin Mitnick une pile de neuf volts et du ruban adhésif et il représente un danger pour la société.
Je ne pouvais pas utiliser un fax, un téléphone portable, un ordinateur, quoi que ce soit qui ait quelque chose à voir avec les communications. Et puis finalement, après deux ans, ils ont assoupli ces conditions parce que j'ai été chargé d'écrire un livre intitulé L'art de la tromperie, et ils m’ont secrètement donné la permission d’utiliser un ordinateur portable tant que je n’en parlais pas aux médias et que je ne me connectais pas à Internet.
DT: Je suppose que ce n’était pas seulement incroyablement gênant, mais aussi difficile sur le plan personnel.
KM: Ouais parce qu'imaginez… J'ai été arrêté en 1995 et libéré en 2000. Et au cours de ces cinq années, Internet a connu un changement radical, donc à cette époque, c'était comme si j'étais Rip Van Wrinkle. Je me suis endormi et je me suis réveillé et le monde a changé. C’était donc assez difficile de se voir interdire de toucher à la technologie. Et le gouvernement, je crois, voulait simplement me rendre la tâche extrêmement difficile, ou alors il pensait en fait que j'étais une menace pour la sécurité nationale. Je ne sais vraiment pas de quoi il s’agit, mais je m’en suis sorti. Aujourd’hui, je peux mettre à profit toute cette expérience et ma carrière de hacker et maintenant je suis payé pour le faire. Des entreprises m'engagent dans le monde entier pour pénétrer dans leurs systèmes, découvrir leurs vulnérabilités afin de pouvoir les corriger avant que les vrais méchants n'interviennent. Je voyage à travers le monde pour parler de sécurité informatique et sensibiliser les gens à ce sujet, j'ai donc extrêmement de chance de le faire aujourd'hui.
Je pense que les gens sont au courant de mon cas et que j’ai effectivement enfreint la loi, mais que je ne cherchais pas à le faire pour de l’argent ou pour nuire à qui que ce soit. J'avais juste les compétences. Je n’avais rien à perdre, j’étais en fuite devant le FBI, j’aurais pu prendre de l’argent, mais c’était contraire à ma boussole morale. Je regrette les actions qui ont fait du mal aux autres, mais je ne regrette pas vraiment le piratage car pour moi, c'était comme un jeu vidéo.
DT: Le piratage informatique a été un sujet tendance cette année grâce à des hactivistes comme Anonymous. Il s’agit d’un groupe extrêmement polarisant – que pensez-vous d’eux ?
KM: Je pense que la première chose que fait Anonymous est de sensibiliser à la sécurité, bien que de manière négative. Mais ils illustrent certainement qu'il existe de nombreuses entreprises qui sont les fruits les plus faciles à trouver, que leurs systèmes ont une sécurité de mauvaise qualité et qu'elles doivent vraiment l'améliorer.
Je ne crois pas que leur message politique puisse réellement changer le monde. Je pense que le seul changement qu’ils créent est de se donner une plus grande priorité aux forces de l’ordre. C’est un peu la raison pour laquelle le FBI était si en colère contre moi. Quand j'étais un fugitif, vivant à Denver et que j'avais compris ce que faisait l'informateur, j'ai découvert grâce à mon système d'alerte précoce (surveillant leurs communications par téléphone portable) indiquant qu'ils allaient et venaient chercher moi. J'ai vidé mon appartement de tout matériel informatique ou de tout ce que le FBI pourrait prendre, j'ai acheté une grosse boîte de beignets et, avec un Sharpie, j'ai écrit « Beignets du FBI » dessus et je l'ai mis au réfrigérateur.
Ils ont exécuté le mandat de perquisition le lendemain et ils étaient furieux parce que non seulement je savais quand ils arrivaient, mais que je leur avais acheté des beignets. C'était un truc fou à faire… ça manque une certaine maturité, mais j'ai trouvé ça hilarant. Et à cause de cela, je suis devenu un fugitif, et le FBI arrêtait les mauvaises personnes qu'ils pensaient être moi, et le New York Times les faisait passer pour des Keystone Kops. Alors, quand ils ont finalement réussi à m'attraper, ils m'ont martelé. Ils m'ont pris très durement, et même dans mon cas… vous savez, j'ai volé du code source pour trouver des failles de sécurité et j'ai piraté les téléphones de Motorola et Nokia pour que je ne puisse pas être suivi. Et le gouvernement a demandé à ces entreprises de dire que les pertes qu’elles avaient subies à mes dépens représentaient la totalité de leurs investissements en R&D qu’elles utilisaient pour les téléphones portables. C’est donc un peu comme un gamin entrant dans un 7-11 et volant une canette de Coca-Cola et disant que la perte que cet enfant a causée au Coca-Cola était la formule entière.
Et c’est l’une des choses que j’ai mises au clair dans le livre: j’ai causé des pertes. Je ne sais pas si c'était 10 000 $, 100 000 $ ou 300 000 $. Mais je sais que c’était mal et contraire à l’éthique de ma part et j’en suis désolé, mais je n’ai certainement pas causé de pertes de 300 millions de dollars. En fait, toutes les sociétés que j’ai piratées étaient des sociétés cotées en bourse et, selon la SEC, si une société publique subit une perte importante, elle doit en être informée auprès des actionnaires. Aucune des entreprises que j’ai piratées n’a signalé le moindre centime de perte.
Je suis devenu l’exemple parce que le gouvernement voulait envoyer un message à d’autres pirates informatiques potentiels: si vous faites ce genre de choses et que vous jouez avec nous, c’est ce qui va vous arriver. En réaction à mon livre, certaines personnes disent: « Oh, il n’est pas désolé pour ce qu’il a fait, il le ferait encore ». Je ne suis pas désolé pour le piratage, mais je suis désolé pour le mal que j’ai causé. Il y a une distinction entre cela.
DT: Alors, comment voyez-vous l’évolution du hacking en ce moment? La technologie est bien plus accessible que jamais et de plus en plus de consommateurs sont capables de repousser ces limites.
KM: Le piratage va continuer à poser un problème et les attaquants s'attaquent désormais aux téléphones portables. Avant, c’était votre ordinateur personnel, et maintenant c’est votre appareil mobile, votre Android, votre iPhone. Les gens y conservent des informations sensibles, des coordonnées bancaires, des photos personnelles. Le piratage va certainement dans le sens des téléphones.
Les logiciels malveillants sont de plus en plus sophistiqués. Les gens piratent les autorités de certification, vous disposez donc d'un protocole appelé SSL pour les achats en ligne ou les transactions bancaires. Et tout ce protocole est basé sur la confiance et ces autorités de certification, et les pirates informatiques compromettent ces autorités de certification et émettent eux-mêmes leurs propres certificats. Ils peuvent donc se faire passer pour Bank of America, se faire passer pour PayPal. Tout cela est plus sophistiqué, plus complexe et plus important pour les entreprises d’être conscientes du problème et d’essayer d’atténuer le risque qu’elles soient compromises.
DT: Quels conseils donneriez-vous aux hackers aujourd’hui, le cas échéant ?
KM: Ce n'était pas disponible à mon époque, mais maintenant les gens peuvent en apprendre davantage sur le piratage de manière éthique. Il existe des cours, de nombreux livres, le coût de création de votre propre laboratoire informatique est très peu coûteux et il existe même des sites Web. disponibles sur Internet qui sont mis en place pour permettre aux gens d'essayer de pirater pour accroître leurs connaissances et leurs compétences – ceux appelés Hacme Banque. Les gens peuvent désormais en apprendre davantage sur le plan éthique sans s’attirer des ennuis ni nuire à autrui.
DT: Pensez-vous que cela encourage les gens à abuser de ces compétences ?
KM: Ils le feront probablement, qu’ils aient ou non de l’aide. C’est un outil, le hacking est un outil, donc vous pouvez prendre un marteau et construire une maison ou vous pouvez frapper quelqu’un à la tête avec. Ce qui est important aujourd’hui, c’est l’éthique. Le discours éthique de Kevin Mitnick était le suivant: Il est acceptable d’écrire des programmes de vol de mots de passe au lycée. Il est donc important d’intéresser les gens et les enfants parce que c’est un domaine intéressant, mais aussi d’avoir une formation en éthique pour qu’ils l’utilisent à bon escient.
DT: Pouvez-vous parler un peu du Mac par rapport au Mac? Débat sur la sécurité des fenêtres ?
KM: Les Mac sont moins sécurisés mais ils sont moins ciblés. Windows détient la plus grande part de marché et est donc plus ciblé. Maintenant, Apple renforce évidemment sa sécurité, et la raison pour laquelle vous n'entendez pas parler de nombreux Mac étant l'attaque est que les auteurs de logiciels malveillants n'écrivent pas de code malveillant pour les Mac parce qu'ils n'étaient tout simplement pas populaires assez. Lorsque vous écrivez du code malveillant, vous souhaitez attaquer un grand nombre de personnes et, traditionnellement, beaucoup plus de personnes exécutent Windows.
À mesure que la part de marché des Mac augmente, nous allons naturellement commencer à les voir davantage ciblés.
DT: Quel système d’exploitation est le plus sécurisé ?
KM: Système d'exploitation Google Chrome. Tu sais pourquoi? Parce que tu ne peux rien faire avec. Vous pouvez accéder aux services Google mais il n’y a rien à attaquer. Mais ce n’est pas une solution viable pour les gens. Je recommanderais d'utiliser un Mac, non seulement pour des raisons de sécurité, mais j'ai également moins de problèmes avec Mac OS que Windows.
DT: Quelle nouvelle technologie trouvez-vous la plus fascinante en ce moment ?
KM: Je me souviens quand j'avais neuf ans et que je traversais Los Angeles en voiture avec mon père qui regardait le grondement se déshabiller sur l'autoroute en pensant qu'un jour ils créeront une technologie là où vous n'aurez même pas à conduire le voiture. Il y aura une sorte de solution électronique dans laquelle les voitures conduiront elles-mêmes et il n’y aura pratiquement aucun accident. Et trois, quatre décennies plus tard, Google teste ce type de technologie. Des voitures sans conducteur. Je pense que c'est un truc de type George Jetson.
