internet et TPE

[legojuju]

bonjour voila je suis en première electro dans mon lycée et j'ai un TPE a faire j'ai choisis le hackage comment cela se passe et comment s'en proteger cela est très important puisque que ca compte pour mon bac
j'ai beaucoup de mal à trouver des info sur les moyens dont les hackeurs rentre dans les systèmes
j'aimerai donc savoir comment à partir d'une plate forme informatique sur internet ils sont capable de récupérer les codes et comptes des gens ( mon sujet se base en partie sur les escroqueries sur internet mon prof a trouvé sa intéressant car cela sa représente 8 milliard de dollars)
s'y possible de plus j'ai un orale et il m'aurait fallu une petit animation , pour cela nous avons contacté un site qui crée des forums et lui avons demandé s'y c'était possible d'en crée un pour ensuite le piraté , ils ont accepté mais ne nous on pas fournie les compétence donc s'y quelqu'un aurait juste un peu de savoir faire il pourrait nous montré . Ceci est encore un détaille mais aurez put être amusant pour le jury

en tout cas mercis
legojuju
-----

[erik]

Salut,

Entrer dans un système, c'est très simple il suffit de BIIIIIIP.
Ah bah non ce n'est pas sur FS qu'on va te donner un cours pour hackeur.

Toutefois tu peux rechercher des renseignements sur (par exemple) Kevin Mitnick (hackeur des année 80, il y a prescription et ses techniques sont bien documentés), fait également des recherches sur ce qu'est le "social engineering".

http://fr.wikipedia.org/wiki/Kevin_Mitnick
http://fr.wikipedia.org/wiki/Attaque_de_Mitnick

Dans tout les cas (mis à part le "social engineering") tout ça est très technique, pas certain que ce soit un sujet totalement abordable à ton age.

[ProgVal]

Bonjour,

Je tiens à faire le point sur le vocabulaire que tu utilises mal, comme beaucoup
trop d'autres personnes, et en particulier les journalistes.
Déjà, "hackage", ça n'existe pas, on dit "hacking".

Ensuite, tu fais l'amalgame entre "hacker" et "cracker", qui n'ont pas grand
chose en commun. Un "hacker", c'est littéralement (en Anglais, "to hack" =
"bidouiller") quelqu'un qui bidouille, dans ce cas les ordinateurs, mais c'est
aussi une éthique. C'est pourquoi un hacker n'est pas (ou est très rarement) un
cracker.

Je t'invite à lire les pages 301 à 310 de "Richard Stallman et la révolution du
Logiciel Libre" (je recommande d'ailleurs sa lecture complète, mais ce n'est pas
l'objet de ce sujet), disponible en téléchargement ici, qui détaillent le sens de mot.


Et pour ton animation, surtout, ne tombe pas dans la même stupidité que nombre
de journalistes, qui est de montrer un simple enchaînement de commandes Unix,
ou une compilation, pour illustrer un article sur le piratage. Si l'un des
examinateurs a un minimum de connaissances en informatique, il va vous saquer
là-dessus.

Cordialement,
ProgVal

[legojuju]

merci encore pour vos réponses
donc faire attention à pas faire l'amalgame entre hackeur et cracker
c'est super sympa de me le dire car mets prof ont un niveau assez élevé en informatique alors que moi je suis plutôt physique chimie donc bon ^^
un de mets prof ma parlé de point phpBB mais je sais pas se que sa veut dire s'y quelqu'un a une idée
merci encore

[A voir en vidéo sur Futura]

[JPL]

Les messages acceptables ici doivent respecter la charte du forum dont je donne un extrait :

En acceptant ces règles, vous vous engagez à n'écrire aucun message.... portant atteinte au droit de la personnalité (droit au respect de la vie privée, droit à l’image, droit au secret professionnel), à la sécurité des personnes et des biens et au code de la propriété intellectuelle (piratage et intrusion dans les systèmes informatiques et de télécommunications) ou contraire aux lois et règlements en vigueur.

[legojuju]

je suis désoler mais je n'est rien m'y d'insultant ou de dangereux , je ne porte pas non plus atteinte a la sécurité de toute façon mon niveau en informatique est médiocre
j'ai besoin de renseignement sur un sujet je ne cherche en rien a piraté quelqu'un

[JPL]

J'ai bien compris, mais j'ai voulu expliquer pourquoi tu n'auras pas de réponse contenant des recettes techniques. Par contre on peut te donner des indications sur les principales voies d'attaque.

Certes tu ne veux pas pirater mais tu as écrit :

pour cela nous avons contacté un site qui crée des forums et lui avons demandé s'y c'était possible d'en crée un pour ensuite le piraté , ils ont accepté mais ne nous on pas fournie les compétence

J'y vois une double inconscience : celle du responsable du site car certaines techniques permettent en piratant un forum de certaines manières de remonter au serveur lui-même et de là pirater d'autres forums hébergés au même endroit, pour peu que la sécurisation du serveur ne soit pas au top. Ou bien alors le responsable du site pense que celui-ci est suffisamment blindé pour que vous n'ayez aucune chance de pirater votre propre forum.

L'autre inconscience est la votre car cela veut dire que vous auriez besoin d'accéder à de vraies techniques de piratage, ce qui est exclu.

Je reviendrai peut-être quand j'aurai le temps pour des indications générale sur quelques méthodes utilisées (mais juste les principes généraux).

[legojuju]

a d'accord merci encore en tout cas de toute façon je pense que le piratage est un sujet très difficile et je vais rester sur la théorie

[ProgVal]

"piratage" est un bien grand mot. Ça peut aussi bien couvrir un simple cassage de mot de passe (ce que le premier mec venu peut faire) que de pénétrer dans un système de la NSA, casser un algorithme de cryptographie, ou encore le social engineering, mentionné plus haut.

Ah tiens, ça pourrait justement intéressant de parler des méthodes de cryptographie, par exemple PGP.

[JPL]

À propos du cassage de mots de passe les programmes qui permettent de le faire sont de deux types : ceux qui reposent sur des dictionnaires (donc éviter d'utiliser un mot, un prénom...) et ceux qui reposent sur ce qu'on appelle la force brute, qui vont essayer systématiquement toutes les combinaisons possibles de caractères pour toutes les longueurs possibles de mots de passe. La rapidité des processeurs actuels permet d'envisager de casser par cette méthode dans un temps raisonnable des mots de passe de longueur et de complexité pas trop importante.

C'est pourquoi il est nécessaire d’utiliser des mots de passe aussi longs que possible et constitués d'un mélange de tous les types de caractères possibles : minuscules, majuscules, chiffres, signes. Cela augmente considérablement la difficulté car il est évident que ces programmes ne sont pas stupides : il vont tester d'abord des combinaisons de chiffres, puis des combinaisons de minuscules, puis de majuscules et enfin des combinaisons de tous types de caractères.

Il faut enfin que tu saches bien faire la différence entre mot de passe et clé de cryptage. Note aussi que le problème est différent selon que tu as ou non un accès direct à l'ordinateur lui-même, ou bien un accès en théorie protégé à travers un réseau.

[legojuju]

a d'accord donc il y a plusieurs cas et moyen d'y arriver
donc pour avoir par exemple un mots de passe la personne doit ou tous les essayer ou bien elle utilise un logiciel spéciale
le truc c'est que donc les particulier sont beaucoup moins protéger que les entreprise puisque nous utilisons de codes souvent simple (année de naissance ... )
par rapport au système qui cherche toutes les combinaison possibles comment elle marche car le site ou l'admin doit bien se rendre compte que haut bout de 36 000 essais par exemple ce n'est pas la bonne personne qui essaye le code
merci encore

[ProgVal]

Oui, l'administrateur devrait s'en rendre compte, à condition d'aller voir dans ses journaux système, ce qu'ils ne font pas tous

[JPL]

Autre élément d'information. Un certains nombre de "virus" (disons plutôt malwares) sont des logiciels espions ou keyloggers. Après avoir infecté un ordinateur ils peuvent envoyer vers un serveur ennemi toutes les séquences de touches tapées sur le clavier de l’ordinateur infecté. Le pirate pourra donc faire une recherche systématique sur des numéros de carte bancaire utilisés pour des achats sur internet, sur tes codes d'accès à ton compte sur des sites de vente en ligne, voire accéder à ton compte bancaire directement pour faire des virements au bénéfice du pirate (bien entendu vers un compte dans un paradis fiscal).

Voila pourquoi en plus d'un antivirus il faut un pare-feu qui bloque les connexions sortantes non explicitement voulues par l'utilisateur. C'est le genre de choses que le pare-feu de XP ne sait pas faire par exemple. Pour Vista il paraît que c'est possible mais n'ayant eu Vista qu'une fois en main je n'ai pas su trouver la fonction. Par contre pas de problème pour Seven (mais il vaut mieux vérifier la configuration par défaut qui s'installe. Personnellement je préfère des pare-feux plus évolués comme celui de Comodo (gratuit) qui vérifie également diverses autres actions illicites ou suspectes.

Autre technique : l'élévation des privilèges (privilege escalation). Même si on travaille sur un compte à droits réduits certains logiciels présentent des failles permettant d'utiliser cette technique. Un programme infectieux peut s'installer en utilisant cette faille et à partir de là s'en servir pour s'attribuer les droits d'administrateur. Donc faire n'importe quoi sur l'ordinateur.

[legojuju]

super
mercis pour toutes vos réponses par contre il se trouve que j'ai peu de nom pour expliquer , de plus certaine technique que vous m'avez cité sont d'un niveau de compétence en informatique extrêmement élevée , j'aimerai savoir qui sont les gens qui font du hackage
merci encore

[JPL]

Il n'a y a aucune technique de bas niveau. Je ne sais pas si ça se fait encore (je ne me suis plus intéressé à ces questions) mais on trouvait sur le net des packages de scripts permettant de faire certaines choses illicites sans trop s'y connaître (du moins pour attaquer des serveurs mal protégés, ce qui doit être de plus en plus rare actuellement). On parlait de script kiddies pour désigner les amateurs incompétents qui les utilisaient, qu'on imagine être souvent des adolescents boutonneux (d'où le surnom donné par dérision en France de Jean-Kevin du hacking).

Par contre on trouve paraît-il sans problème des programmes permettant de cracker en quelques minutes le mot de passe d'une connexion wifi protégée uniquement par une clé WEP, et même sans doute pour la protection WPA TKIP (à condition bien entendu d'être dans la zone de réception). D'où l'importance d'utiliser WPA2 PSK en cryptage AES.

[legojuju]

j'ai entendue parlé d'un logiciel john the ripper c'est quoi ?

[JPL]

Fais une recherche avec Google (ou autre). Ne joue pas à ça toutefois.

[legojuju]

oui j'ai fais une recherche mais c'est vraiment peu concluant d'après se que j'ai compris on attaque un code par la force brute
personnellement je trouve sa stupide quoi que je suis contre le piratage et autre forme de vol le but du hackage c'est de pendre possession d'un code sans pour autant tous les essayer
merci pour vos réponse par juste pour m'informer j'ai télécharger john et je peu vous assuré que c'est juste un fichier vide
merci pour vos réponse

[JPL]

Fichier vide ? Là tu me fais peur car ce pourrait être un fichier qui installe sournoisement une infection. Je ne peux pas l'affirmer mais tu as intérêt à vérifier ton ordinateur avec un bon antivirus puis avec Malwarebyte's Antimalware (après voir fait une mise à jour de sa base de données).
http://www.malwarebytes.org/mbam.php

[ProgVal]

le but du hackage c'est de pendre possession d'un code

tss tss tss

[legojuju]

bon j'ai fait quelque recherche en plus et je me suis laissé dire que en réalité la principal faille dans les escroqueries est ... les gens , il est plus facile de tromper quelqu'un que une machine donc en réalité je pense aussi tourner mon sujet vers une partie psycho sur la manipulation
s'y la dessus quelqu'un a quelque connaissance elles sont les bien venues

[ProgVal]

C'est ce dont te parlait erik, au début du fil : le "social engineering".

[JPL]

Ou encore l'expression classique : la faille principale se trouve entre le clavier et la chaise.