Les piratages mis en scène dans la série Mr. Robot sont-ils réalistes ?

Stefanie Smith, 20 septembre 2016

Jean-Baptiste Souvestre, expert chez Avast, revient sur la faisabilité des cyberattaques de la série Mr. Robot dans le monde réel.

Cette série d’un nouveau genre raconte l'histoire d'Elliot, ingénieur en cybersécurité le jour et pirate informatique justicier la nuit. 

Après avoir regardé l'épisode, je me posais beaucoup de questions, notamment si des personnes comme vous et moi pouvaient être aussi victimes de piratages survenant dans la série. Je me suis donc entretenue avec mon collègue l’ingénieur logiciel et expert en sécurité chez Avast Jean-Baptiste Souvestre.

Dès le début de l’épisode, Elliot explique à Rajid, le propriétaire de Ron's Coffee, qu’il a découvert qu’il hébergeait un site web de pédopornographie en interceptant le réseau Wi-Fi de son café.

Stefanie: Quelle est la probabilité d’être piraté lorsqu’on utilise un point d'accès Wi-Fi ouvert ?

Jean-Baptiste : Toute personne ayant simplement quelques connaissances techniques peut télécharger des logiciels gratuits en ligne et observer les activités des utilisateurs sur un Wi-Fi ouvert. Nous sommes allés à San Francisco, New York et Chicago dans le cadre d’une expérience autour de la surveillance des réseaux Wi-Fi et nous nous sommes aperçus qu'un tiers des réseaux étaient ouverts, sans protection par mot de passe. Si vous naviguez sur des sites non protégés, utilisant le protocole HTTP dans un Wi-Fi ouvert, et sans vous connecter à un compte utilisateur hébergé sur ces sites, tout le monde peut voir, par exemple, les articles de Wikipédia que vous lisez, ce que vous recherchez sur Bing et même les produits que vous consultez sur Amazon et eBay.

Stefanie: Impressionnant ! Et un peu effrayant... Dans ces conditions, comment pouvons-nous nous protéger ?

Jean-Baptiste: Vous êtes en sécurité sur n'importe quel réseau Wi-Fi public à partir du moment où vous utilisez un réseau privé virtuel (Virtual Private Network, VPN). Un VPN crée en effet un bouclier virtuel et fait transiter le trafic par un serveur proxy. Celui-ci protège vos données personnelles, empêchant les pirates informatiques d'accéder à vos fichiers et à d'autres informations sensibles stockées sur votre appareil.

Nous avons découvert que huit Français sur dix se connectent à des réseaux Wi-Fi gratuits et ouverts et que parmi eux, 66 % préfèrent les réseaux qui ne demandent pas d'inscription ou de mot de passe pour se connecter. Et pourtant, seuls 4 % utilisent un VPN ou un proxy lorsqu'ils se connectent à un Wi-Fi ouvert.

Nous voyons ensuite Elliot avec sa thérapeute Krista, dont il a également piraté les données (pirater les gens semble clairement être son passe-temps favori ;)

Stefanie: Elliot dit que pirater le système de Krista était facile, parce que son mot de passe était constitué du nom de son artiste favori et de son année de naissance à l'envers. Nous savons qu’il est préférable d’utiliser un mot de passe complexe, avec plus de huit caractères composés de lettres, de chiffres et de symboles, mais la plupart des personnes le font-elles vraiment ? Est-ce que l’utilisation d’un mot de passe trop simple est un risque réel ?

Jean-Baptiste: La plupart des personnes, malheureusement, n'utilisent pas de mots de passe complexes. Nous avons découvert par exemple qu'un tiers des mots de passe de routeurs aux Etats-Unis contenait l’adresse, le nom, le numéro de téléphone, une date significative et le nom de l’enfant ou de l’animal domestique des propriétaires. Et ce n’est pas tout, nous avons également constaté que même la plupart des mots de passe des hackers ne comportaient que 6 caractères et que le terme le plus utilisé était « hack » (piratage).

Utiliser un mot de passe simple qui est un mot du dictionnaire ou qui comporte des informations personnelles peut vous faire courir un risque. Quand on y pense, des fragments de nos vies privées sont éparpillés sur internet. Il est facile de faire une rapide recherche Google, de consulter quelques-uns de vos réseaux sociaux et, avec un peu de temps et de patience, de deviner votre mot de passe simple. Pire encore, si vous utilisez le même mot de passe sur plusieurs sites, il devient vraiment facile pour les pirates informatiques de s'emparer de tous vos comptes.

Quelque temps après, Angela, l'amie et collègue d'Elliot, l'appelle à l'aide parce que leur client E Corp, un conglomérat multinational, est l'objet d'une attaque DDoS.

Stefanie: Qu'est-ce qu'une attaque DDoS ? Est-ce qu’un « utilisateur lambda » peut être affecté ?

Jean-Baptiste: DDoS est une attaque par « déni de service distribué » et cette technique est utilisée pour rendre un service indisponible. Nous découvrons par la suite que l'attaque contre E Corp était en fait basée sur des rootkits qui avaient compromis un type de serveurs, mais contentons-nous d’expliquer ce qu’est une attaque DDoS.

Ces attaques peuvent être effectuées par deux personnes ou plus, mais plus généralement par une armée de « robots informatique », appelée également botnet. Ces bots envoient tellement de requêtes à un serveur qu'il ne peut plus fournir son service en raison de la surcharge. Les attaques DDoS ciblant les grandes entreprises, l'utilisateur ordinaire n'est généralement pas affecté, à moins que le service qu'il veut utiliser ne soit pas disponible parce qu'il fait justement l'objet d'une attaque DDoS.

Cependant, l'utilisateur peut aider à effectuer ces attaques, sans le savoir. Nous avons étudié les routeurs domestiques et découvert que des millions d'entre eux étaient vulnérables. Connectés à internet 24 h/24 et 7 j/7, ils peuvent être facilement exploités et utilisés en tant que bot dans le cadre d’une attaque DDoS. Un exemple connu est le piratage de Sony Playstation Network et d'Xbox Live à Noël dernier ; le groupe de pirates informatiques a déclaré avoir utilisé un botnet de routeurs pour effectuer l'attaque.

Pour empêcher cela d'arriver, les utilisateurs doivent faire en sorte que le micrologiciel – ou firmware – de leur routeur soit toujours à jour et lancer régulièrement une analyse du routeur pour vérifier s'il est vulnérable.

Plus tard, Elliot essaye de pirater les informations du nouveau petit ami de sa thérapeute Krista, Michael. Il l’appelle en prétendant appartenir au service anti-fraude de sa banque, confirmant ainsi son adresse et lui posant des questions de sécurité pour vérifier son compte : son équipe de baseball préférée, le nom de son animal domestique... C’est grâce aux informations recueillies et à une attaque par dictionnaire et par force brute, il tente de découvrir le mot de passe de Michael.

Stefanie: Qu'est-ce qu'une attaque par force brute ? Cela peut-il arriver à un utilisateur ordinaire ?

Jean-Baptiste: Dans ce type d‘attaque, il s'agit de deviner le mot de passe en vérifiant toutes les combinaisons possibles jusqu'à ce que le mot de passe correct soit identifié. On peut l'imaginer comme une machine armée d'un énorme dictionnaire de mots de passe qui les tape les uns après les autres dans un compte pour le déverrouiller.

L'attaque par force brute a probablement été l'une des techniques utilisées dans le piratage des comptes iCloud entraînant la diffusion sur internet de photos dénudées de stars comme Jennifer Lawrence et Kirsten Dunst. Mais ce type d'attaque n'est pas utilisé exclusivement contre des célébrités. Les hackers peuvent les utiliser pour pirater le compte de n'importe quel utilisateur, du moment qu’ils disposent des adresses email. Généralement, ils ciblent des comptes qui contiennent des informations bancaires et financières qu'ils peuvent exploiter pour récupérer de l’argent. C'est pourquoi, je le répète, il est crucial d'utiliser des mots de passe complexes pour tous vos comptes.

Stefanie : Merci pour ces explications Jean-Baptiste. J'ai hâte de parler du prochain épisode de Mr. Robot !

(Source de l'image : Peter Kramer/USA Network)

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

Articles liés