Celui qui n’a pas apprécié de se faire pirater
Tsutomu Shimomura devait prendre des vacances bien méritées en ce break de noël. Elles vont tomber à l'eau après un piratage rentré dans l'histoire.
Bonjour,
Bienvenue pour ce nouvel épisode de Pwned. Vous avez certainement dû en entendre parler : il y a un an, Kevin Mitnick est mort. La plupart d’entre vous le connaissent au moins de nom. Ce pirate est en effet devenu une légende de l’informatique après sa traque rocambolesque au milieu des années 1990.
Il y aurait beaucoup de choses à dire sur lui. Il y en a tellement qu’écrire cet épisode me donne depuis longtemps des sueurs froides. Mais l’histoire est tellement croustillante qu’il fallait bien s’y plonger un jour, quitte à faire des impasses. Avant de commencer ce récit, voici tout d’abord le lien pour vous abonner et pour recommander autour de vous la newsletter.
Revenons trente ans en arrière. Nous sommes en plein break de noël, en 1994. Et même les Américains prennent (parfois) des vacances. Cette semaine, c’est le cas de Tsutomu Shimomura. Parce que pour comprendre l'histoire de l’arrestation de Kevin Mitnick, il va falloir s'intéresser à cet autre génie de l'informatique, moins connu du grand public mais qui a joué un rôle majeur dans toute cette affaire.
Née à Nagoya, au Japon, cette grosse tête âgée de 30 ans a grandi à Princeton. C’est dans le New-Jersey, sur la côte Est. Son père, un prix Nobel de chimie, y enseigne. Dans sa biographie, Cybertraque, Tsutomu Shimomura raconte son parcours impressionnant. C’est un hacker au vrai sens du terme : un bidouilleur génial et touche-à-tout, mais aussi parfois un peu casse-pieds.
En quelques années, sans vraiment s’intéresser à ses études, il devient l’un des experts les plus renommés en sécurité informatique du pays. Il a intégré à vingt ans à peine des structures de pointe dans la recherche, après avoir appris tout seul la programmation entre ses dix et quinze ans, excusez du peu.
Ainsi, après être entré à “CalTech”, une université américaine, il se retrouve peu après bombardé chercheur au département de physique théorique d’un laboratoire de Los Alamos pour bosser sur la construction d’un super ordinateur. Le tout sans finalement le moindre diplôme en poche. La téléphonie portable, à l'époque un domaine encore très neuf, n’a également pas de secret pour lui. En 92, il a d'ailleurs témoigné devant le Congrès américain afin de leur expliquer les faiblesses du système de téléphonie cellulaire. Et il sait comment explorer des bases de données, repérer certaines occurrences dans une communication ou l’empreinte d’une voix.
Ce qui explique qu’on lui prête des missions pour la puissante agence technique du renseignement américain, la NSA. Tsutomu Shimomura a “des contacts extraordinaires avec l'armée et les services de renseignement américains”, s’émerveille Jonathan Littman dans son livre, “The Fugitive Game Online”. L’intéressé ne dit pas exactement cela. A l’époque, il explique de manière un peu elliptique attendre une réponse de la NSA concernant une bourse de recherche de 500 000 dollars afin d'explorer de nouveaux aspects de la sécurité informatique, une formule un peu énigmatique.
Lors de ses vacances de Noël 1994, Shimomura a donc prévu de partir en montagne du côté de Truckee en Californie. Accompagné de sa copine, il entend s'adonner à l'une de ses passions : le ski de fond. Mais après un détour par San Francisco, Tsutomu Shimomura reçoit un message inquiétant d’un de ses proches, Andrew. Ce dernier l’avertit d’un truc bizarre : ses “résumés” sont de plus en plus courts. De quoi s’agit-il exactement?
Assez parano, l’expert en sécurité informatique a programmé ses ordinateurs chez lui, à San Diego, pour qu’ils envoient quatre fois par jour un sommaire de ses logs de connexion vers une machine surveillée par Andrew. Ce sont les fameux “résumés” que surveille Andrew et dont les dernières versions l'inquiètent. En temps normal, ceux-ci ne devraient pas raccourcir : il s'agit d'opérations de routines programmées sur la machine, et en l'absence du propriétaire, leur longueur ne devrait pas varier.
Sauf si quelqu’un a pénétré son système informatique et qu’il cherche à masquer ses traces! Il n’y a pas de temps à perdre. Au lieu d’aller au restaurant, Tsutomu Shimomura s’installe dans un grand placard chez un ami, Mark, pour faire une première inspection à distance. Il se connecte à son réseau personnel, qui rassemble des ordinateurs du Supercomputer center de San Diego et les siens, chez lui.
Rapidement, il remarque plusieurs traces laissées par l’intrus. Comme par exemple le passage furtif d’une archive dénommée Oki, visiblement en référence à un modèle de téléphone mobile sur lequel Tsutomu Shimomura a travaillé. L’ordinateur qui sert d’interface avec Internet, “Ariel”, est donc mis en hibernation en attendant d’en savoir plus. Se faire pirater, ce n’est jamais agréable. Mais quand vous êtes un expert en sécurité informatique qui manipule des données sensibles à des fins de recherche, c’est la catastrophe.
Ce piratage est au départ très intriguant. Mais quelques jours plus tard, il le devient encore plus. Le 27 décembre, il reçoit en effet un drôle de message téléphonique, entré dans la postérité de la sécurité informatique. On semble entendre deux voix distinctes. “Damn you, my technique is the best. (...) My style is much better. Hey boss, your kung fu's really good. That's right, my style is the best.”
L’intention est claire. Une personne visiblement bien malveillante lui lance un défi. Tsutomu Shimomura laisse en plan ses projets de vacances au ski et retourne aussitôt à San Diego pour voir ce qu’il peut sauver. Le programme des jours qui suivent est chargé : il s’agit de comprendre comment ce piratage a été effectué, quels dégâts ont été causés et comment éviter que cela ne se reproduise.
Ces analyses sont particulièrement intéressantes et vont faire rentrer ce piratage informatique dans l'histoire de la discipline. C’est en effet la première fois qu’on documente précisément la technique employée par l'attaquant. Grosso modo, il s’agit d’une usurpation d’adresse IP (Internet protocol, l’adresse d’une machine sur le réseau), un IP Spoofing en anglais, une faille de sécurité encore assez mal connue à l'époque.
Pour le pirate, il s’agit de s’immiscer dans la connexion entre deux machines pour se faire passer pour l’une d’entre elles et ainsi pouvoir agir à sa guise. Comme le rappelle la page Wikipedia dédiée, plusieurs étapes ont été nécessaires pour toucher au but. Il faut tout d’abord déterminer l’adresse IP de la machine de confiance, celle que l’on va usurper.
Il s’agit alors de comprendre les caractéristiques échangées entre les deux machines via une série de tentatives de connexions avortées. L’attaquant cherche à en savoir plus sur les numéros de séquence, ce chiffre qui résume à la machine interlocutrice le nombre de données censées avoir été reçues.
En réussissant, après ces tentatives de connexion, à prédire les numéros de séquence futurs, il va pouvoir prendre le contrôle de la session TCP - le nom du protocole pour échanger des données - entre les deux machines et ainsi se faire passer pour la machine cible. Le but final de la manœuvre est d'envoyer des commandes vers l'autre et en profiter pour ouvrir un accès réutilisable par la suite.
Oui, c’est un peu compliqué à expliquer. Mais retenez qu’il s’agit de faire en sorte que l’ordinateur du pirate réponde comme attendu par l’ordinateur cible, ici la machine de Shimomura dénommée Osiris. La technique de l’IP-spoofing identifiée, reste à comprendre d’où venait l’attaque. Et là, bon courage. Après tout, il existe des milliers de pirates qui pourraient chercher à en vouloir à Tsutomu Shimomura, un expert en vue qui fait de lui une cible de premier choix.
On en reparle la semaine prochaine,
Bonne journée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Cybertraque. La chasse au pirate informatique le plus célèbre des Etats-Unis