Piratage de la NASA, rencontre avec le hacker

Publié le 04-01-2010 dans le thème Hacking

Pays : Liban - Auteur : Damien Bancal

Pub : Tous les logiciels antispyware gratuits disponibles sur Internet

Note des lecteurs: 3.5/5

Il se nomme Idahc, un jeune libanais de 17 ans. Il a derniérement trouvé une faille sur le site de la NASA. Nous avons voulu en savoir plus sur ses motivations. Interview.

Idahc, un pseudonyme, évolue sur la toile depuis quelques annèes déjà. A 17 ans, ce jeune Libanais conclue son année de terminale. En novembre dernier, l'internaute a découvert plusieurs failles dans d'importants sites Internet comme Numericable Belgique ou encore un serveur de la NASA. Idahc n'est ni un dangereux pirate, ni un "White hat". L'internaute se veut surtout un curieux du monde numérique.

Vous êtes un un pirate ou un hacker ?
Je suis plutôt un "grey hat hacker" ou "chapeau gris". Le type de hacker qui ne sait pas trop se placer. Je pense être entre le "black hat" et le "white hat". Le pirate informatique qui va profiter de l'opportunité d'une action et le mec "cool" qui va aider la communauté... quand il en a envie.

Penses-vous qu'il y ait une différence entre les trois "Hats" ?
Oui bien sûr. Il y a des diferrence évidente. Le pirate, c'est le black hat. C'est eux qui créent les virus, ce sont eux generalement les cybercriminels. Les whites hat aident à battre les cybercriminels. Les greys hat, c'est entre les deux. Il peut aider, comme il peut pirater. Tout dépend de l'humeur, de la cible, de la motivation, ...

Que faites-vous sur Internet ?
Sur internet, mon passe temps est de chercher des failles sur de gros sites Internet. Je cherche des vulnérabilités comme les sql injection, XSS, RFI, LFI, Remote code execution, ... Je fouine aussi du côté des failles buffer overflow : Remote et Local dans les programmes.

Vous avez trouvé pas mal de vulnérabilités dans de gros sites, pouvez-vous nous en parler ?
J'ai trouvé plusieurs failles dans d'importants sites Internet. Les derniers en date sont Numericable, en Belgique, avec une faille de type SQL. Même chose pour un site de la NASA. Les développeur de sites oublient trop souvent des pages, des failles, qu'il est facile ensuite d'exploiter.

Que pensez-vous faire dans l'avenir ?
Je vais tenté de progresser dans le hacking et je souhaite rester dans le domaine de l'informatique.

D'aprés vous, pourquoi y-a-t-il autant de faille SQL dans les sites web ?
Le probleme vient des devellopeurs qui ne savent pas securiser leur site. Beaucoup oublient aussi des accès, des possibilités pourtant facile à combler. La faille sql injection n'est pas comme les failles d'includes (RFI, LFI) qui sont plus facile à securiser. Albert Gonzales [Lire] a pu pirater plusieurs millions de cartes bancaires grace a une faille sql qu'il a exploité contre plusieurs sociétés et leurs clients.

Quelle est votre plus "belle" découverte ?
Mes plus belles decouvertes sont lorsque que j'ai pu exploiter des failles dans trois sites importants, en 48 heures : La NASA et Yahoo India. Le troisiéme, j'en ai pas encore parlé. J'était trés content de trouver une faille de type sql injection dans l'un des subdomain de la NASA. Il parait que la NASA est l'un espace numérique le plus securisé de l'Internet. J'ai encore plusieurs sites, mais je n'en parlerai pas.

Préférez-vous aider ou pirater ? Pourquoi ?
Comme je vous l'ai dit, je suis grey hat, donc j'aide souvent et je pirate aussi. Je pirate par défit. J'avoue que l'on peut aussi pirater des sites Internet ou des serveurs afin de trouver des cartes bancaires ou encore des projets importants, top secrets, ...

Vous n'avez pas peur de la police ?
Qui n'as pas peur de la police ou de la justice ? Personne ! Mais en general, la peur fait parti du hacking. Chaque hacker risque de finir en prison en raison de ce qu'il aura pu faire. Il suffit de lire l'affaire d'un autre pirate de la NASA, Gary McKinnon.

Il existe une communauté de Hackers au Liban ?
Le Liban n'est pas un pays très propice aux rencontres informatiques. Il n'y a pas de communautés hackers comme en Turquie ou au Maroc.

Est-ce que la sécurité informatique existe vraiment à vos yeux ?
Je ne crois pas en la securite informatique. Un simple trojan crypté peut permettre de pirater une banque. Rien n'est protegé ou securisé à 100 %. Même si la protection informatique progresse, il y aura toujours des failles.

Que pensez-vous de ces "armées virtuelles" qui apparaissent sur la toile ?
Ces armées virtuelles commencent a nous démontrer que dans les années à venir, des guerres se feront par ordinateurs interposés. Il suffit de voir les quelques mini exemples qui ont pu être révélés entre la Chine et les USA ou encore la Russie et l'Estonie. Le hacking sera un facteur trés important dans les conflits du futur. Les pays auront bien du mal à contrer les attaques informatiques... sauf en coupant les connexions. Mais même dans ce cas, les pirates auront gagné.