V2F - Un hacker montre exactement comment il pirate
V2F nous explique de l'informatique
autre vidéo
crédit: V2F
autre vidéo
crédit: V2F
Transcript
00:00Ça, c'est une entreprise. On veut la hacker. Comment ?
00:03Le hack est surtout une question d'observation. C'est comme corbrioler une maison.
00:07Tu pourrais foncer sans réfléchir et t'attaquer à la porte d'entrée blindée
00:10conçue spécialement pour être impénétrable.
00:12Ouais, ça marchera pas.
00:14Mais tu peux aussi utiliser ton cerveau et commencer à chercher le maillon faible.
00:18Une fenêtre ouverte, le proprio qui claque simplement la porte quand il va chercher son pain,
00:22la clé cachée sous le tapis.
00:24En informatique, c'est pareil. Trouver le point faible et l'exploiter.
00:28Et le point faible qui est présent dans absolument toutes les entreprises, c'est nous.
00:32C'est l'humain.
00:34De nos jours, trouver un employé d'une boîte, c'est un jeu d'enfant.
00:37Il s'agit à présent de sélectionner le bon.
00:39Quelqu'un de plutôt jeune, avec un emploi pas très technique et...
00:44Bingo.
00:45Chantal.
00:46Et regardez-moi ça. On a déjà un mail.
00:48Ce qui nous permet de tenter une première approche.
00:51Il arrive souvent que la base de données des utilisateurs d'un site web
00:54soit volée par un hacker et qu'elle se retrouve en vente dans le dark web.
00:58Et ça, ça arrive beaucoup plus souvent que tu ne le crois.
01:01Tu peux facilement vérifier si tu as été touché par un leak sur certains sites
01:04et je suis sûr que tu seras surpris de voir que ton mot de passe a été compromis.
01:09Mais pas de panique.
01:10Un site web ne met pas ton mot de passe en clair dans sa base de données.
01:13Enfin, sauf si c'est vraiment un mauvais site.
01:15Normalement, quand tu t'inscris, ton mot de passe est stocké sous la forme d'un H.
01:19C'est-à-dire qu'on y a appliqué un algorithme qui va le crypter en une chaîne de caractères.
01:23Et on ne peut qu'aller dans ce sens.
01:24Ton mot de passe donnera toujours ce H,
01:26mais impossible de retrouver ton mot de passe à partir du H.
01:29Quand tu te connectes, le site hache le mot de passe que tu as entré
01:32et regarde s'il correspond au H de sa base de données.
01:35Donc dans le leak d'une base de données volée, il y a des H, pas des mots de passe.
01:38Mais les hackers ont un outil pour contrer ça, la Rainbow Table.
01:41Une base de données gigantesque avec tous les H les plus communs.
01:45D'où l'importance d'avoir un mot de passe complexe.
01:47Parce que si c'est juste pomme, tu peux être sûr qu'il est dans la Rainbow Table
01:51et que ton mot de passe est craqué.
01:52Même s'il est haché.
01:53Mais de nos jours, la plupart des sites web utilisent ce qu'on appelle le Salting
01:57pour protéger leurs clients.
01:58Ça consiste à ajouter une valeur aléatoire assez complexe à ton mot de passe
02:02avant de le hacher.
02:03Ce qui rend la Rainbow Table inutile.
02:05Bon, pour Chantal, pas de chance.
02:07Aucune fuite détectée.
02:08Faut s'y prendre autrement.
02:10Elle a un tas de réseaux sociaux et on peut apprendre tellement de choses sur elle.
02:14Suffisamment pour faire une attaque de phishing.
02:17Vraiment Victor, tu vas lui dire qu'elle a gagné au loto
02:19et tu crois qu'elle va tomber dans le panneau ?
02:21Non, non, non, non.
02:22Ça, c'est du phishing classique qui marche uniquement sur Pépé Mémé.
02:25Ce qu'on va faire, c'est du Spear Phishing.
02:28Et ça, ça peut marcher sur n'importe qui.
02:31Avec les informations qu'on a stockées sur ses réseaux sociaux,
02:34on va créer un scénario crédible pour elle
02:36qui lui fera baisser sa garde suffisamment pour se faire avoir.
02:39Il semblerait qu'elle ait parlé dans une conférence la semaine dernière,
02:42si on en croit ce post Insta.
02:43Alors je vais coder un petit site web qui ressemble à celui de ce séminaire.
02:47On fera croire que ce faux site permettrait de récupérer les photos de l'événement.
02:51Pour les obtenir, il suffirait simplement de se connecter avec un mail et un mot de passe.
02:55Évidemment, ça marchera pas.
02:57Et on dira simplement qu'il y a une erreur technique qui sera résolue dans les prochains jours.
03:01Mais en vrai, on aura juste récupéré les infos qu'on voulait.
03:04Allez, on envoie ça sur le mail de Chantal,
03:06en y mettant les formes, évidemment,
03:08et en lui indiquant qu'il y a des belles photos d'elle,
03:10qui ne seraient pas assez narcissiques pour vouloir les voir.
03:13Il y a un site web qui ressemble au vrai,
03:14le scénario est tout à fait crédible,
03:16elle ne se doutera de rien.
03:18Et quelques heures plus tard, on a son mot de passe.
03:21On le répète souvent, il faut un mot de passe par site web.
03:24Comme ça, si un mot de passe est compromis,
03:26le hacker ne peut pas se connecter aux autres sites.
03:28Mais évidemment, comme la plupart des gens,
03:30Chantal utilise un seul mot de passe partout.
03:33Et on peut maintenant se connecter à son compte sur le site de son entreprise.
03:37Bon ça, c'était pour la faille humaine.
03:39Il est temps de parler des failles techniques.
03:41Pour vous montrer ça, on va hacker un vrai site internet.
03:45Non, non, non, non, non, non, non, non.
03:47Pas de panique, c'est légal, c'est fait pour.
03:49Il y a des sites qui existent,
03:51qui sont spécialement conçus pour être hackés.
03:53C'est des sites qu'on appelle CTF.
03:55Et il y en a un petit paquet.
03:56Le but, c'est de trouver des failles de sécurité,
03:58les exploiter,
03:59et récupérer une petite phrase secrète
04:01pour prouver que t'as réussi.
04:02Ce qu'on est en train de faire,
04:03ça parait beaucoup au métier de pen tester,
04:05qui dans ma tier liste des meilleurs métiers,
04:07est un S tier évident.
04:08Je veux dire, tu hackes des entreprises,
04:10mais c'est légal, et t'es payé.
04:12L'idée de cette vidéo, c'est de te montrer un peu
04:13à quoi ressemble l'univers de la cybersécurité.
04:15Si tu veux en faire ton métier,
04:16commencez avec ce genre de challenge.
04:17C'est top,
04:18mais il faudra aller un petit peu plus loin.
04:20Déjà, il y a pas mal de théories à apprendre.
04:22Ensuite, avoir des bases solides en anglais.
04:24On n'y pense pas forcément,
04:25mais pour moi, en informatique, c'est primordial.
04:27Dès que tu traînes un peu sur GitHub,
04:28ça va te parler en anglais.
04:29Acquérir de l'expérience.
04:30On va pas t'embaucher
04:31s'il n'y a pas de preuves que t'es compétent.
04:33Avoir une certification reconnue
04:34aide aussi beaucoup pour cela.
04:36Mais comment je fais pour avoir tout ça ?
04:38Avec une école spécialisée,
04:39comme la DSDI,
04:40qui sponsorise cette vidéo.
04:41Leur programme cyber te donne un titre
04:43RNCP de niveau 7 reconnu par l'Etat,
04:45ainsi que des certifications industrielles.
04:47Donc ce point-là, il est coché.
04:49C'est un programme 100% en anglais
04:51avec des étudiants
04:52qui ont plus de 95 nationalités différentes.
04:54Donc l'anglais, c'est dans la poche.
04:56Ça se fait en alternance,
04:57donc t'es payé
04:58et tu acquiers de l'expérience en entreprise.
05:00Évidemment, ça t'apprend tout ce qu'il faut savoir
05:02à l'aide d'un comité d'experts
05:03qui pilote ce programme.
05:05En plus, à Paris ou sur la Côte d'Azur,
05:07on a vu Pierre comme lieu d'étude
05:08et en plus, le salaire à la sortie,
05:10il est pas dégueu.
05:11Alors si ça t'intéresse
05:12que tu veux en faire ton métier
05:13ou que tu veux te reconvertir,
05:14il est jamais trop tard,
05:15je te mets un lien dans la description
05:17pour en apprendre plus.
05:18Et à noter qu'ils font pas que de la cyber.
05:20Ils ont également un programme bachelor,
05:22accessible post-bac
05:23et des master data.
05:24N'hésite pas à jeter un coup d'œil.
05:26Ok, on reprend la hack.
05:27Déjà, on veut pas être sous Windows,
05:29mais sous Kali Linux,
05:30un OS spécialement conçu
05:32pour faire du pentest
05:33avec plus de 600 outils préinstallés
05:35pour hacker ou défendre des hacks.
05:37Tu peux mettre ça sur une clé USB
05:39et ensuite hacker depuis n'importe quel PC
05:41en boutant dessus.
05:42Une fois que t'as tout ça,
05:43bah c'est parti.
05:44On va commencer avec un classique,
05:46les injections SQL.
05:48Quand tu veux te connecter à un site,
05:49ce dernier va simplement vérifier
05:51que ton mail et ton mot de passe,
05:53en version hachée,
05:54matchent bien avec ce qu'il a
05:55dans sa base de données des utilisateurs.
05:57Pour ça, on peut utiliser le SQL
05:59qui nous permet de sélectionner
06:00dans une base de données
06:01un utilisateur qui a ce mail
06:03et ce mot de passe.
06:04Ces deux éléments sont fournis
06:06par l'utilisateur,
06:07donc ça peut être n'importe quoi
06:08et notamment du code SQL.
06:10Qui va donc injecter au milieu
06:12du code utilisé par le site.
06:14Et maintenant,
06:15la requête demande de trouver
06:16soit l'utilisateur qui a un mail bidon
06:18ou pour lequel l'affirmation
06:201 égale 1 est correcte.
06:22Et cette affirmation,
06:23elle est toujours correcte.
06:24On rajoute deux tirées
06:25pour commenter le reste de la requête
06:27et ignorer ainsi la partie
06:28sur le mot de passe.
06:29Cette requête renvoie
06:30tous les utilisateurs
06:31de la base de données
06:32et vu qu'il en faut qu'un seul,
06:33le site va sans doute sélectionner
06:35le premier utilisateur
06:36qui a été créé,
06:37c'est-à-dire l'admin.
06:38Et nous voilà connectés
06:39en tant qu'admin.
06:40OK, cas pratique,
06:41on est sur un vrai site
06:42pour qu'on a le droit de hacker.
06:43On va se connecter.
06:44Pour ce faire,
06:45on envoie la requête,
06:46mais on va l'intercepter
06:47avec un outil qui s'appelle Burp.
06:49Voilà, ça,
06:50c'est notre requête de connexion.
06:51Et à la place du mail,
06:52on ajoute notre injection SQL.
06:55On laisse ensuite la requête repartir
06:57et comme par magie,
06:58on est connectés.
06:59Alors c'est cool,
07:00mais si une injection SQL
07:01fonctionne dans la vraie vie,
07:02c'est vraiment que vous êtes
07:03sur un site mal codé.
07:05La règle numéro 1 de cybersécurité,
07:07ne jamais faire confiance à l'utilisateur,
07:09qui est à qui que ce soit en fait.
07:11Une autre faille assez courante
07:12est une attaque XSS.
07:14C'est un peu la même idée.
07:15On va introduire du code
07:17là où il ne devrait pas être.
07:18Par exemple,
07:19quand tu postes un avis sur un produit,
07:20rien ne t'empêche
07:21d'y écrire du code JavaScript.
07:22Le code qui,
07:23si le site est mal codé,
07:24s'exécutera pour tous les utilisateurs
07:26qui iront sur la page
07:27pour consulter les avis.
07:29On peut tester ça
07:30sur le même site que tout à l'heure
07:31avec la recherche.
07:32Regarde,
07:33si on met du code JavaScript
07:34là où est censé être une recherche,
07:35le code est exécuté.
07:37Mais le problème de ce genre de technique,
07:38c'est qu'elles sont hyper connues
07:40et donc les développeurs s'en protègent.
07:42Et ça résume tout ça.
07:43Les hackers trouvent une faille,
07:44les devs la fixent,
07:45et ainsi de suite.
07:46Donc en fait,
07:47il faut observer quand tu hacks.
07:48Voir ce que les devs ont pu oublier
07:50et généralement,
07:51c'est assez subtil.
07:52Prenons un exemple plus compliqué
07:53avec ce challenge CTF
07:55tiré de MrRobot.
07:57On nous donne juste une IP d'un serveur
07:59et c'est tout.
08:00La première chose à faire,
08:01c'est d'utiliser Nmap,
08:02qui va nous permettre
08:03de trouver tous les ports
08:04utilisables de ce serveur
08:05avec cette IP.
08:06Un port,
08:07c'est simplement une sorte d'adresse
08:08dédiée à un service précis
08:09à laquelle on peut,
08:10ou pas,
08:11accéder sur un serveur.
08:12Par exemple,
08:13ici,
08:14avec Nmap,
08:15on voit que le port HTTP
08:16est ouvert.
08:17C'est-à-dire que le serveur
08:18avec cette IP
08:19a un site web
08:20sur lequel on peut aller.
08:21Bah donc,
08:22on va y aller
08:23avec notre navigateur.
08:24Et on a bien une page web
08:25avec des easter eggs,
08:26mais rien de très intéressant.
08:28Voyons si on peut pas trouver
08:29des pages web cachées.
08:30Car oui,
08:31il y en a qui sont souvent
08:32accessibles par tout le monde,
08:33mais juste pas mises
08:34dans la navigation du site.
08:36L'outil GoBuster
08:37va nous permettre
08:38de trouver ces pages cachées.
08:39Et on en a deux
08:40qui semblent intéressantes
08:42à regarder.
08:43robots.txt
08:44et wp-login.
08:46WP,
08:47pour WordPress.
08:48Donc c'est un site WordPress,
08:50ce qui est intéressant.
08:51On pourrait vérifier
08:52si c'est une vieille version
08:53de WordPress
08:54pour laquelle il existerait
08:55des failles connues.
08:56Mais là,
08:57c'est pas le cas.
08:58Commençons par robots.txt.
08:59Et si tu veux savoir
09:00à quoi sert cette page
09:01assez austère au premier abord,
09:02regarde ma vidéo sur Google
09:03juste après celle-ci
09:04et tant qu'il y est,
09:05abonne-toi.
09:06En tout cas,
09:07sur cette page,
09:08on voit qu'on peut télécharger
09:09un fichier dictionnaire
09:10avec une liste de mots.
09:11Ce genre de fichiers
09:12sont utilisés
09:13pour faire des attaques brute force.
09:14Donc c'est sûrement
09:15ce qu'on devra faire
09:16sur la page wp-login.
09:18D'ailleurs,
09:19quand on va dessus,
09:20on a une page de connexion,
09:21comme attendu.
09:22On va utiliser l'outil Hydra
09:23pour faire l'attaque brute force
09:24sur l'username,
09:25puis le mot de passe.
09:26Et nous voilà connectés
09:27à la page admin du WordPress.
09:29OK, le WordPress,
09:30c'est cool,
09:31mais on veut avoir accès
09:32à la machine,
09:33au serveur
09:34sur lequel la page web
09:35est hébergée.
09:36On n'y est pas encore tout à fait,
09:37mais on remarque
09:38qu'on peut éditer
09:39des fichiers PHP
09:40via la page d'édition
09:41de WordPress.
09:42Le code PHP,
09:43c'est un code
09:44qui va être exécuté
09:45sur le serveur
09:46auquel on veut accéder.
09:47On peut donc exploiter ça
09:48et exécuter le code
09:49qu'on veut sur la machine
09:50qu'on a envie de pénétrer.
09:52On peut notamment exécuter
09:53un code spécialement conçu
09:54pour pouvoir en prendre possession.
09:56Ça s'appelle un reverse shell.
09:58Nous voilà maintenant
09:59connectés à la machine.
10:00Et de là,
10:01on peut faire ce qu'on veut.
10:02Jusque là,
10:03on s'est surtout concentrés
10:04sur l'aspect web
10:05de la cybersécurité.
10:06On aurait pu parler de virus,
10:07de malware
10:08ou encore de pentests
10:09qui se font IRL.
10:10C'est-à-dire qu'il y a des gens
10:11qui ont comme métier
10:12de tester la sécurité
10:14des bureaux des entreprises
10:15avec tout un tas de gadgets.
10:17On se croirait dans James Bond.
10:18Ce sera peut-être
10:19pour une prochaine vidéo.
10:20Personnellement,
10:21je ne suis pas très bon en hack,
10:22mais j'espère que
10:23vous montrer un petit peu les bases,
10:24ça vous inspirera
10:25et peut-être qu'il y en a certains
10:26qui s'entraîneront
10:27et qui deviendront des cracks.
10:31Soyez pas un enfoiré,
10:32il y en a déjà assez
10:33comme ça dans le monde.
10:34Allez, ciao !