Un de mes voisins, que je n'appréciais guère, a eu la bonne idée de déménager, ce que je ne pouvais que saluer. Seulement voilà, le tri par le vide est une bonne initiative mais reste néanmoins une méthode très sommaire, qui peut aboutir à des fuites d'information. Et ces fuites d'information peuvent elles-même amener quelqu'un de mal intentionné à des endroits où il n'aurait pas dû être.
Un de mes voisins a déménagé. Sur un coup de tête. Je dois avouer que sur le coup, ça m'a soulagé (pour un certain nombre de raisons qui me regarde). Les problèmes de voisinage sont fréquents, mais celui-ci battait non seulement sa femme, mais faisait un boucan de tous les diables à pas d'heure, m'empêchant de dormir (quoi ? ça m'arrive, si si). Bref, il avait aussi pris une sale habitude: jeter ses poubelles dans MA poubelle, pour éviter de sortir la sienne, ce qui avait pour habitude de m'énerver doucement. Mais lorsqu'il fut parti, il me laissa en cadeau dans ma poubelle plusieurs sacs bien remplis, contenant tout plein de choses diverses et variées, et j'ai de suite entrevu sur le dessus d'un sac un amas de papiers. Intrigué, je regarde ces papiers, et repère en vrac: fiche de paie, relevés EDF et bancaires, bref, une vraie mine d'or pour qui sait chercher.
Plongée en apnée dans les méandres d'une poubelle de quartier
J'ai donc récupéré (à des fins non malveillantes, je tiens à le préciser) quelques-un de ces précieux documents, en me promettant de les étudier plus en détail par la suite. Malheureusement, mon planning étant ce qu'il est, je n'ai pas pu vraiment faire de recherche avant ce soir. Et elles ont été rapides et fructueuses. Le premier document récupéré, une fiche de paie, appartient à sa femme (très peu bavarde au demeurant), et je peux y trouver des informations diverses telles que le détail de la paie, le nom et le prénom de sa femme, ainsi que son numéro de sécurité sociale. Rien de bien transcendant, mais je garde ces infos sous le coude. J'entame une recherche rapide sur Internet, ciblant cette personne en particulier, mais rien ne ressort. Idem pour le mari. Qu'à cela ne tienne, je continue.
Document suivant, le relevé de compteur EDF. EDF a mis en place depuis quelques années un espace client en ligne, qui nécessite pour s'authentifier de posséder la référence client. Je décidais donc de vérifier si mon voisin avait pris le temps de se créer un espace client, et si oui de voir si quelqu'un de malintentionné pouvait y avoir accès. Je me suis donc connecté au système d'EDF, en prenant bien sûr quelques précautions, et j'ai essayé de créer un nouvel espace client à partir du numéro de référence client, sans succès car celui-ci est déjà employé dans un autre espace client. Autrement dit, un compte a déjà été créé et rattaché à cette référence client, peine perdue donc.
Je regarde donc le troisième et dernier document dont je dispose, un relevé de la banque postale au nom de sa femme (livret A). Le numéro de compte y est inscrit, ainsi que son identifiant pour accéder à ses comptes via Internet. Je me dis qu'il y a peut-être moyen de creuser de ce côté là, la suite prouva que j'avais visé juste.
Sesame dustbin
En me connectant sur le site de la banque postale, je choisis d'accéder au compte, et clique sur le lien "mot de passe perdu", afin de repérer les informations nécessaires à la remise à zéro du mot de passe. Au programme: - identifiant d'accès - date de naissance - 6 premiers chiffres du numéro d'un compte Je possède l'identifiant, ainsi que les 6 premiers chiffres du numéro de compte, car ceux-ci sont indiqués sur le relevé bancaire. Il ne me reste qu'à deviner la date de naissance. C'est là que le numéro de sécurité sociale va bien aider: en effet, celui-ci contient l'année et le mois de naissance de l'assuré !
Pour être plus précis, il est constitué d'une série de valeurs numériques de la forme SAAMMDDCCCNNNXXXKK, dont chaque groupe a une signification (cf. Wikipedia). En l'occurence, je peux donc déduire de ce numéro que la femme de mon voisin est née en mai 1985, hors de france. Il ne me reste plus qu'à identifier le jour, ce qui n'est pas trop dur à tester au cas par cas (31 possibilités). De cette façon, une personne mal intentionnée est en mesure de prendre le contrôle de ce compte, bien que les actions réalisables à partir de ce compte soient limitées (merci La Banque Postale).
Mot de la fin
Evidemment, pour des raisons d'éthique et de morale, je n'ai pas compromis le compte bancaire de la dame; mais il est cependant très facile, avec le peu d'informations disponibles, de récupérer un accès complet et pourquoi pas d'essayer de virer des fonds. De plus, avec les quelques papiers retrouvés, d'autres scénarii d'attaques pourraient fonctionner, notamment auprès de l'administration française, ou de banques. Bref, si vous déménagez, pensez à conserver précieusemment ces papiers (pour rappel, les fiches de paie douvent être conservées à vie).
Cette année, je suis à la DefCon qui se déroule à Las Vegas au Riviera Casino & Hotel. Et je dois dire que j'étais loin de m'imaginer que ça ressemblait à CA ! Sérieusement, c'est un des meilleurs évènements auquel j'ai pu participer (en tant que visiteur), et c'est tellement grand, énorme, vaste et peuplé (il y a énormément de fiiiiiiilles, de geekettes, et autres femelles en tout genre, c'est dément) que l'on ne peut pas tout voir durant la DefCon.
Inscription et première surprise
Lors de l'inscription (au "Registration Desk"), nous nous sommes vu remettre un CD, ainsi qu'un badge électronique, et tout un ensemble de stickers accompagnés d'un livret avec toutes les confs et leur description. Quand je parle de badge électronique, je parle bien sûr d'un gadget conçu sur mesure pour la defcon, qui affiche sur un petit écran LCD le logo DEFCON, et qui contient en plus un challenge: débloquer la "Ninja Party".
Je me suis donc penché sur ce Challenge dès mon arrivée (après avoir fait un pur beer contest avec trois australiens et d'autres personnes -- dont deux suisses vus à Insomni'hack, et bon, on en a couché certains entre temps), et j'ai pu reverser le code du firmware assez rapidement en début d'après-midi (après avoir dormi), à l'aide du code source fourni sur le CD. Car oui, l'intégralité du badge (code source du firmware, schémas électroniques et de principe) est opensource ! J'ai réussi à créer un petit générateur pour débloquer l'accès à la Ninja Party, mais il s'avèra que c'est beaucoup plus compliqué pour y accéder...
Contests & villages
La DefCon18 abrite tout un ensemble de contests, et pas seulement le CTF: beer contest, badge hacking contest, hacker's jeopardy, et pleins d'autres... C'est tout simplement énorme ! De plus, deux villages sont présents, l'un dédié au hardware hacking, et l'autre au lockpicking. Personnellement, j'ai préféré celui sur le hardware hacking, y ayant passé une matinée complète à tenter de reflasher le badge avec un firmware customisé. Ca a été un peu galère, mais c'est désormais chose faite: j'ai mon badge DefCon18 avec un firmware custom (qui intègre une console de debug USB maison, quelques graphiques personnalisés, et surtout un petit jeu de lumière qui le différencie des autres badges. Un sacré souvenir en somme ! De plus, cela m'a permis de faire la connaissance de hackers spécialisés dans le hardware, et de donner un coup de patte à ceux qui n'arrivaient pas à flasher leur badge (il faut avouer que c'est plutôt hardcore, mais une fois la procédure en main ça se fait tout seul.
CTF & oCTF
Mais le CTF me direz-vous ? Et bien il est toujours en cours. J'ai pu rencontrer l'équipe des routards, arrivée hier sur place, et on a discuter tranquillement. Il s'avère tout de même que le CTF de la DefCon18 subit certains désagréments dus à la logistique (en partie), ce qui a tendance à faire raler les participants. Mais bon, aux dernières nouvelles les routards étaient à mi-chemin, à la 4eme position.
Un OpenCTF est aussi présent, et je pense qu'on va s'y mettre ce soir, avec un bon paquet de bières et un peu de motivation (cela fait 2 jours qu'on est complètement déphasé ...). Je vous ferai un petit compte rendu, certainement.
Conclusion
La DefCon est vraiment une manifestation originale et différente de ce que l'on fait en Europe. Peut-être les hackerspaces se rapprochent le plus de cette vision, mais le hacking est ici un art et un mode de vie. Je ne compte même plus le nombre de cyberpunks que j'ai pu croiser, des personnes à l'allure très anormale mais qui pourtant font des trucs de fou. On est vraiment à la ramasse là dessus, nous, européens. Mais bon, on donne aussi dans le social en discutant avec plein de gens venant d'horizons très divers, et ça n'a pas de prix (pour le reste, vous avez Eurocard/Mastercard, mais on vous ne l'a fait plus je suppose). Vous savez ce qu'il vous reste à faire ....
Ayant reçu le dernier exemplaire du magazine Capital, et ayant trouvé le temps de le lire (ce qui, il faut l'avouer, est relativement exceptionnel), je suis tombé sur un petit article tout meugnon intitulé "Alerte! Ce logiciel iranien pille nos sites internet". Titre alarmiste, qui de fait a attiré mon attention (et je dois avouer que le méchant pirate qui tient le laptop sur la première page fait son effet).
Un étrange screenshot ...
Ce qui a attiré mon attention, c'est l'écran du laptop (qui doit être un insert réalisé grâce à un logiciel de retouche -- BP was there) qui affiche l'interface de ce logiciel-dont-on-ne-connait-pas-le-nom (EDIT: Havij, trouvé grâce à notre ami Google avec une recherche de 3 mots) car Capital ne veut pas le donner: “Désolé pour les pirates en herbe, on ne vous donnera pas le nom de ce logiciel”.
Mais si on regarde attentivement cette interface, on peut y voir une zone réservée aux logs du logiciel. Si l'URL présente dans le champ "target" a bien été modifiée, celle présente dans les logs est quant à elle bien réelle et différente de celle-ci:
Et là, c'est le drame ...
.. et l'URL d'un site vulnérable
L'URL présente dans les logs correspond bien à un site existant, et qui plus est vulnérable !
D'ailleurs, le log donne toutes les informations nécessaires: serveur MySQL version 5.X, injection SQL dans un champ entier, etc ... De même, il fournit aussi la database par défaut ...
Travail mâché, des deux côtés
Autant le début de l'article commence bien, en voulant préserver le nom du logiciel employé, autant la photo affichée donne tous les éléments utiles à des pirates en herbe pour pirater le site de Paris Event Ticket, clefs en main... La faute aux iraniens ?