DEF CON est la convention hacker la plus connue à travers le monde. Elle est tenue chaque année à Las Vegas, Nevada aux États-Unis. La première convention DEF CON s’est déroulée en juin 1993.
Le public de cette convention est pour la plupart composé de professionnels de la sécurité des systèmes d’information, de crackers, hackers, journalistes, avocats et employés du gouvernement fédéral.
Iintéressés par la programmation, l’architecture le phreaking, la modification de matériel informatique et tout ce qui peut être hacké. L’événement consiste en de multiples discours à propos de sujets liés aux ordinateurs ou au piratage informatique.
DEF CON est aussi constitué d’événements sociaux et de concours tels que de créer le plus long réseau wifi, craquer des systèmes informatiques ou même rafraîchir le plus efficacement une bière avec la chaleur importante du Nevada.
D’autres concours ont pour thème le crochetage de serrures, les robots, l’art, les slogans, le café, les jeux de piste, la capture du drapeau.
Capture le drapeau (CTF de l’anglais « Capture The Flag ») est probablement le concours le plus connu.
C’est une compétition de piratage informatique où des équipes tentent d’attaquer ou de défendre des réseaux avec l’aide de certains logiciels et de structures de réseaux.
CTF a également été émulé à l’occasion d’autres conférences sur la sécurité informatique, et dans le cadre académique et militaire.
Les Conférences Black Hat
Black Hat est une société fondée en 1997 par Jeff Moss, réputée pour organiser un réseau de conférences fournissant des points de vue nouveaux et exclusifs sur la sécurité de l’information.
Les Conférences Black Hat (ou Black Hat Briefings) sont un événement unique qui rassemble officiellement des experts des agences gouvernementales américaines et des industries, américaines ou non, avec les hackers les plus respectés de l’« underground ».
Ces forums sont régulièrement organisés à Las Vegas (Black Hat USA), Amsterdam (Black Hat Europe), Tokyo (Black Hat Japan), et Singapour (Black Hat Asia).
Un événement est spécialement organisé pour les agences fédérales américaines à Washington (Black Hat Federal), et un autre sur la sécurité sur les systèmes d’exploitation Microsoft Windows (Black Hat Windows Security).
L’événement à Las Vegas se déroule juste avant la DEF CON, un autre événement majeur en sécurité de l’information.
En 2005, Jeff Moss vend Black Hat à CMP Media, une filiale de United Business Media basée en Grande-Bretagne, pour 14 millions de dollars américains. Il continue toutefois à organiser la conférence. DEF CON n’était pas inclus dans la transaction.
Le hacker est « quelqu’un qui hack », ou « construit un hack». Le terme apparaît en 1959 dans le jargon du Tech Model Railroad Club (TMRC), une association d’étudiants du Massachusetts Institute of Technology (MIT).
En 1996, la Request for comments définit un hackercomme une personne qui se délecte de la compréhension approfondie du fonctionnement interne d’un système, en particulier des ordinateurs et réseaux informatiques.
Cette dernière définition fait écho à celle utilisée depuis les années 1950 par les radio-amateurs pour qui le hacking est un bricolage créatif visant à améliorer le fonctionnement d’un système.
Communauté
Ce sont des hackers qui ont créé l’Internet
Il existe une communauté, une culture partagée, de programmeurs expérimentés et de spécialistes des réseaux, dont l’histoire remonte aux premiers mini-ordinateurs multi-utilisateurs, il y a quelques dizaines d’années, et aux premières expériences de l’ARPAnet, le réseau connu aujourd’hui sous le nom d’Internet, NDT.
Les membres de cette culture ont créé le mot « hacker ». Ce sont des hackers qui ont créé l’Internet.
Ce sont des hackers qui ont fait du système d’exploitation Unix ce qu’il est de nos jours. Ce sont des hackers qui font tourner les newsgroups, Usenet et le World Wide Web.
Eric Raymond
Manifeste du hacker
The Mentor
Le Manifeste du hacker (titré en anglais) The Hacker Manifesto, ou The Conscience of a Hacker, « la conscience d’un hacker » est un petit article écrit le 8 janvier 1986, par le hacker Loyd Blankenship après son arrestation, sous le pseudonyme de « The Mentor ».
Publié pour la première fois dans le magazine électronique underground Phrack (Volume 1, Numéro 7, Phile 3 de 10), on peut de nos jours le trouver sur de nombreux sites web.
Le manifeste est considéré comme la pierre angulaire de la contre-culture, et donne un aperçu de la psychologie des premiers hackers. Il affirme que les hackers choisissent cette activité parce que c’est un moyen pour eux d’apprendre, et à cause du sentiment fréquent de frustration causé par leur ennui à l’école.
Il exprime aussi l’éveil d’un hacker réalisant son potentiel dans le domaine des ordinateurs.
Ce qui suit a été écrit peu de temps après mon arrestation…
Un autre s’est fait prendre aujourd’hui, c’est partout dans les journaux. « Scandale : Un adolescent arrêté pour crime informatique », « Arrestation d’un hacker après le piratage d’une banque »… Satanés gosses, tous les mêmes.
Mais vous, dans votre psychologie de costume trois pièces et votre conscience technologique des années 50, avez-vous un jour pensé à regarder le monde avec les yeux d’un hacker ? Ne vous êtes-vous jamais demandé ce qui l’avait fait agir et quelles forces l’avaient animé ? Je suis un hacker, entrez dans mon monde… Mon monde, il commence avec l’école… Je suis plus éveillé que la plupart des autres enfants et les nullités qu’on nous enseigne m’ennuient… Satanés gamins, ce sont tous les mêmes.
Je suis au collège ou au lycée. J’ai écouté les professeurs expliquer pour la quinzième fois comment réduire une fraction. J’ai bien compris. « Non Mme Dubois, je n’ai pas montré mon travail. Je l’ai fait dans ma tête ».
Satané gosse. Il a certainement copié. Ce sont tous les mêmes.
J’ai fait une découverte aujourd’hui. J’ai trouvé un ordinateur. Attends une minute, c’est cool. Ça fait ce que je veux. Si ça fait une erreur, c’est parce que je me suis planté. Pas parce qu’il ne m’aime pas… Ni parce qu’il se sent menacé par moi… Ni parce qu’il pense que je suis un petit malin… Ni parce qu’il n’aime pas enseigner et qu’il ne devrait pas être là… Satané gosse. Tout ce qu’il fait c’est jouer. Ce sont tous les mêmes.
Et c’est alors que ça arrive. Une porte s’ouvre… Les impulsions électroniques déferlent sur la ligne téléphonique comme l’héroïne dans les veines d’un drogué. Pour trouver dans un Forum le refuge contre la stupidité quotidienne. « C’est ça… C’est ici que je dois être… »
Ici, je connais tout le monde… Même si je n’ai jamais rencontré personne. Je ne leur ai jamais parlé, et je n’entendrai peut-être plus parler d’eux un jour… Je vous connais tous. Satané gosse. Encore pendu au téléphone. Ce sont tous les mêmes.
A l’école, on nous a donné des pots de bébé alors qu’on avait les crocs pour un steak… Les morceaux de viande que vous avez bien voulu nous tendre étaient pré-mâchés et sans goût. On a été dominé par des sadiques ou ignoré par des apathiques. Les seuls qui avaient des choses à nous apprendre trouvèrent en nous des élèves de bonne volonté, mais ceux-ci étaient comme des gouttes d’eau dans le désert.
C’est notre monde maintenant… Le monde de l’électron et des commutateurs, la beauté du baud. Nous utilisons un service déjà existant, sans payer ce qui pourrait être bon marché si ce n’était pas géré par des profiteurs avides, et c’est nous que vous appelez criminels. Nous explorons… et vous nous appelez criminels. Nous recherchons la connaissance… et vous nous appelez criminels. Nous existons sans couleur de peau, sans nationalité, sans dogme religieux… et vous nous appelez criminels. Vous construisez des bombes atomiques, vous financez les guerres, vous assassinez et trichez, vous manipulez et vous nous mentez en essayant de nous faire croire que c’est pour notre propre bien… et pourtant c’est nous qui sommes les criminels.
Oui, je suis un criminel. Mon crime est celui de la curiosité. Mon crime est celui de juger les gens selon ce qu’ils pensent et disent, pas selon leur apparence.
Mon crime est d’être plus malin que vous, quelque chose que vous ne me pardonnerez jamais.
Je suis un hacker, et ceci est mon manifeste. Vous pouvez arrêter un individu, mais vous ne pouvez pas tous nous arrêter… Après tout, nous sommes tous les mêmes.
The Mentor
« Oui, je suis un criminel. Mon crime est celui de la curiosité. »
Une fille mignonne recueillir robot arduino et le programmer sur l’ordinateur. Les cartes et les microcontrôleurs sont sur la table. STEM et STEAM éducation. Programmation. Mathématiques. La science. Technologie.
Un test d’intrusion « penetration test » ou « pentest », en anglais est une méthode d’évaluation « audit », en anglais, de la sécurité d’un système d’information ou d’un réseau informatique ; il est réalisé par un testeur « pentester », en anglais.
La méthode consiste généralement à analyser l’infrastructure d’un réseau informatique,
afin de simuler l’attaque d’un utilisateur mal intentionné, voire d’un logiciel malveillant « malware ».
Le consultant (« pentester ») analyse alors les risques potentiels dus à une mauvaise configuration d’un système d’information, d’un défaut de configuration, de programmation informatique ou encore d’une vulnérabilité liée à la solution testée (par exemple : WannaCry, en 2017).
Lors d’un test d’intrusion, le pentester adopte la position de l’attaquant potentiel (hacker). Le principal but de cette manœuvre est de trouver des vulnérabilités exploitables en vue de proposer un plan d’actions permettant d’améliorer la sécurité du système d’information plus élaboré que le précédent, afin notamment d’empêcher des pirates informatiques de compromettre les infrastructures internes d’une entreprise.
La différence avec un simple audit de sécurité est la motivation pour la personne à aller jusqu’à exploiter les failles, montrant ainsi la vulnérabilité. L’exploitation n’a bien sûr pas pour but de détruire ou endommager le système, mais elle permettra de situer le degré du risque lui étant associé.
L’analyse peut se réaliser selon trois cas, qui peuvent varier selon les attentes de l’entreprise :
le testeur se met dans la peau d’un attaquant potentiel, et ne possède aucune information ;
le testeur possède un nombre limité d’informations (ex. : un compte) ;
le testeur possède les informations dont il a besoin.
« En réalité, une personne malveillante peut mettre à mal la sécurité d’une entreprise simplement en se procurant certains renseignements ou documents. «