Par David Décary-Hétu1,2

1 Professeur adjoint, École de criminologie, Université de Montréal.

2 Chercheur régulier, Centre international de criminologie comparée.

Problématique et aperçu du problème

4X·ont en commun un journal britannique de nouvelles sensationnalistes et un réseau de jeux

vidéos en ligne? Ce sont deux entités qui ont été associées, en 2011, au piratage informatique. Dans le

SUHPLHU ŃMV GHV HPSOR\pV VRQP MŃŃXVpV GH V·rPUH IUMXGXOHXVHPHQP connectés à des boîtes vocales en

devinant les mots de passe ou en se faisant passer pour leur propriétaire légitime. Dans le second cas, des

piUMPHV RQP XPLOLVp OH UpVHMX GH 6RQ\ SRXU V·MSSURSULHU GHV GL]MLQHV GH PLOOLRQV GH QXPpURV GH ŃMUPH GH

crédit. Devant la diversité de tels comportements, il est permis de se demander si le terme ´piratage

informatique´ Q·M SMV pPp VXUXPLOLVp GpQMPXUp HP Yidé de son sens. Ce chapitre tentera de répondre à cette

TXHVPLRQ HP G·RIIULU XQH ŃRPSUpOHQVLRQ JORNMOH HP VPUMPpJLTXH GH ŃH TX·HVP OH SLUMPMJH LQIRUPMPLTXHB

Le point de vue abordé dans ce texte sera très restrictif et limitera notre études aux connexions

sans autorisation à des systèmes informatiquesB 1RXV YHUURQV TX·LO H[LVPH SOXVLHXUV IMoRQV GH ŃOMVVHU OHV

pirates informatiques, VHORQ TXH O·RQ V·LQPpUHVVH j leurs motivations ou encore leurs connaissances

techniques. Ils utilisent en effet trois techniques qui seront définies ci-dessous soit le décryptage, le

SLUMPMJH HP O·LQJpQLHULH VRŃLMOHB %LHQ TXH OHV VPMPLVPLTXHV RIILŃLHOOHV VRLHQP HQŃRUH IUMJPHQPMLUHV ŃH ŃOMSLPUH

GpPRQPUHUM O·LPSMŃP GX SLUMPMJH MX FMQMGM ŃRPPH MLOOHXUV GMQV OH PRQGHB

Afin de mieux illustrer les différentes facettes et la complexité du phénomène du piratage

informatique, nous présenterons aussi trois cas pratiques de pirates informatiques impliqués autant dans

le vol et le recel de numéros de carte de crédit que de pirates cherchant à faire avancer leur agenda

politique. Bien que deux de ces cas soient basés sur les histoires de pirates accusés, nous verrons que les

enquêtes les concernant fRQP IMŃH j G·pQRUPHV obstacles, dont la détection même des attaques ainsi que

OM VRXUŃH HP O·LGentité des pirates. Nous terminerons ce chapitre avec une ouverture VXU O·MYHQLU GHV SLUMPHV

informatiques.

Définitions

I·H[SUHVVLRQ ´piratage informatiqueµ a été utilisée de bien des façons au cours des dernières

années. Dans le milieu universitaire et dans les médias, uQH VpULH GH ŃRQGXLPHV MOOMQP GH O·MŃŃqV VMQV

autorisation G·un ordinateur au téléchargement illégal de contenu HQ SMVVMQP SMU O·XPLOLVMPLRQ GH PRPV GH

SMVVH G·MXPUXL, sont associées au piratage informatique. Pour les besoins de ce chapitre, nous utiliserons

une définition plus simple et OLPLPpH GH ŃH P\SH GH ŃULPLQMOLPp MILQ GH UHVPUHLQGUH QRPUH ŃOMPS G·étude et

ainsi G·arriver à une discussion plus en profondeur sur le sujet. Nous définissons donc le piratage

informatique comme ´le geVPH G·MŃŃpGHU j XQ V\VPqPH LQIRUPMPLTXH VMQV MXPRULVMPLRQµ %UHQQHU 2001B

Types de piratage

La définition du piratage informatique tel que présenté dans par Brenner (2001) est

volontairement restrictive SXLVTX·HOOH OLPLPH OHV ŃRPSRUPHPHQPV ŃRQVLGpUpV ŃRPPH GHV MŃPHV GH SLUMPMJH

au fait de V·LQPURGXLUH VMQV MXPRULVMPLRQ VXU XQ V\VPqPH LQIRUPMPLTXHB Dans la littérature, nous avons

LGHQPLILp PURLV ŃMPpJRULHV G·attaques permettant GH IMŃLOLPHU O·MQMO\VH GX Shénomène : le décryptage (Gold,

2011; Murakami et al., 2010), le piratage (Estehghari & Desmedt, 2010; Razvan, 2009) HP O·LQJpQLHULH VRŃLMOH

(Mann, 2010; Workman, 2008)B FOMŃXQH G·HQPUH HOOHV VHUM SUpVHQPpH succinctement dans cette section.

La famille du décryptage inclut toutes les tentatives de deviner les mots de passe permettant

G·MŃŃpGHU j XQ V\VPqPH LQIRUPMPLTXH 5RRMQ 200EB 3RXU ŃH IMLUH OHV SLUMPHV SHXYHQP ŃRPSPHU VXU

SOXVLHXUV RXPLOV GH GpŃU\SPMJH MŃŃHVVLNOHV JUMPXLPHPHQP HP IMŃLOHV G·XPLOLVation (ex. : John The Ripper;

L0phtcrack). Ceux-ci adoptent généralement deux approches : celle du dictionnaire et/ou celle de la force

brute (Rowan, 2009).

Dans le cas du dictionnaire, le logiciel utilise une liste des mots de passe les plus courants et des mots

communs du dictionnaire afin de deviner les mots de passe les plus vulnérables. Les utilisateurs ont en

effet tendance à utiliser des mots de passe très simples du style ´1234µ RX HQŃRUH ´SMVVRRUGµ (Florencio &

Herley, 2007). En se limitant à une liste de quelques milliers de mots, il est possible de deviner rapidement

une bonne proportion des mots de passe.

Dans le cas de la force brute, le criminel essaie tous les mots de passe possibles en commençant par ´Mµ

´Nµ L¬@ ´MMµ, ´aNµ HP MLQVL GH VXLPH ÓXVTX·j ŃH TX·LO GpŃRXYUH OH PRP GH SMVVH XPLOLVpB FH SURŃHVVXV QpŃHVVLPH

une grande dose de patience, car un jeu de caractères très large prendra des millénaires à décrypter.

Les attaques de type dictionnaire ou de force brute peuvent être réalisées en ligne ou hors-ligne

(Yazdi, 2011). Dans le premier cas, le pirate se connecte par un réseau à sa cible et tente tour à tour des

mots de passe en espérant arriver à se connecter. Nous pourrions penser ici à un pirate qui essaierait un à

un tous les mots de passe possibles pour un compte de courriel Google. Dans la mesure où O·MPPMTXMQP QH

connait habituellement ni la longueur ni le jeu de caractères utilisé (minuscule et/ou majuscule, chiffres,

OHPPUHV ŃMUMŃPqUHV VSpŃLMX[ ŃH PUMYMLO GRLP VH IMLUH j O·MYHXJOH et peut prendre de quelques secondes à

quelques millénaires selon la complexité et de la longueur du mot de passe visé3B GMQV OH ŃMV G·XQH

MPPMTXH ORUV OLJQH O·MPPMTXMQP possède une copie des mots de passe encryptés. Son travail consiste donc

à tenter de deviner quelle série de caractères, une fois encryptée, se cache dans cette liste de mots de

passe. Une attaque hors ligne sera toujours beaucoup plus rapide, ŃMU O·MPPMTXMQP Q·HVP SMV OLPLPp SMU OM

connexion LQPHUQHP TXL OH VpSMUH GH VM ŃLNOHB %LHQ TX·XQ VHUYHXU QH SUHQQH VRXYHQP TXH TXHOTXHV

millisecondes pour répondre à une requête, des millions de demandes engendreront de longs délais dans

le décryptage de mots de passe. Les attaques hors ligne peuvent aussi rPUH MŃŃpOpUpHV SMU O·XPLOLVMPLRQ GH

rainbow tables, des bases de données qui contiennent une vaste quantité de mots de passe ainsi que leur

équivalent encrypté (Theocharoulis & al., 2010)B HO VXIILP G·\ UHŃOHUŃOHU XQ PRP GH SMVVH HQŃU\SPp SRXU

avoir accès à son texte non HQŃU\SPpB FH P\SH G·RXPLO HVP PUqV utile, mais nécessite souvent des téraoctets

de données limitant ainsi sa circulation.

1·LPSRUPH TXHO PRP GH SMVVH SHXP rPUH GpŃU\SPp LO V·MJLP VLPSOHPHQP G·\ investir le temps

QpŃHVVMLUHB $ILQ G·pYLPHU G·MPPHQGUH LQPHUPLQMNOHPHQP OH UpVXOPMP GH ŃHPPH RSpUMPLRQ OHV SLUMPHV SHXYHQP

plutôt tenter de pirater les systèmes informatiques pour y avoir accès. Ce processus est souvent illustré

3 IH *LNVRQ 5HVHMUŃO FRUSRUMPLRQ RIIUH XQ RXPLO HQ OLJQH TXL SHUPHP G·HVPLPHU OH PHPSV QpŃHVVMLUH SRXU GHYLQHU XQ PRP GH SMVVH en

tenant compte de sa complexité et de son jeu de caractères (https://www.grc.com/haystack.htm). 4

dans la culture populaire par un pirate qui tape frénétiquement sur un clavier pendant quelques secondes

ÓXVTX·j ŃH TXH OM PHQPLRQ ´accès autorisé´ MSSMUMLVVH j O·pŃUMQB

Dans la réalité, le piratage est un peu plus complexe et cherche à abuser des mauvaises

configurations (Wood & Pereira, 2011) ou des erreurs des programmeurs (Abadeh et al., 2007). Dans le

SUHPLHU ŃMV OH SLUMPH MUULYH j MŃŃpGHU MX[ UHVVRXUŃHV G·XQ V\VPqPH informatique qui sont mal protégées.

3RXOVHQ 2011 LOOXVPUH ŃH P\SH G·MPPMTXH HQ présentant le modus operandi de Max Vision, un pirate

informatique arrêté et incarcéré dans les années 2000. Ce dernier avait en effet découvert que certains

serveurs responsables du traitement des cartes de crédit de restaurants demandaient systématiquement

MX[ SHUVRQQHV V·\ ŃRQQHŃPMQP OH QLYHMX GH VpŃXULPp TX·elleV GpVLUMLHQP XPLOLVHUB HO Q·MYMLP MORUV TX·j UpSRQGUH

´aucune´ pour avoir accès aux systèmes. La mauvaise configuration des serveurs exposait donc à tous les

internautes certaines fonctionnalités qui auraient dû être privées.

Par ailleurs, lHV VHUYHXUV ŃRQILJXUpV VHORQ OHV UqJOHV GH O·MUP QH VRQP SMV QpŃHVVMLUHPHQP j O·MNUL GHV

actes de piratage. Les pirates peuvent en effet profiter des erreurs de programmation qui se glissent dans

la production de logiciels pour obtenir illégalement un accès à des systèmes informatiques. Celles-ci

SHUPHPPHQP MX[ SLUMPHV G·MNXVHU Ge systèmes en contournant ou manipulant le processus

G·MXPOHQPLILŃMPLRQ. Certains logiciels G·MPPMTXH ª clé en main »(ex. : Metasploit) facilitent grandement ces

attaques en prenant en charge le côté technique du piratage. Les vendeurs de logiciels ont relativement

SHX GH UMLVRQV GH V·LQTXLpPHU GH OM VpŃXULPp GHV ORJLŃLHOV TX·LOV YHQGHQPB HO HVP YUML TX·XQH MPPMTXH ŃRQPUH

leurs produits peut ternir leur image, mais ce sont leurs clients et non eux qui subiront le gros de l·LPSact

des attaques (Byung et al., 2010). Par ailleurs, valider la sécurité des logiciels coûte excessivement cher

(Wright & Zia, 2010). Les compagnies préfèrent donc régler les vulnérabilités signalées par des tierces

SMUPLHV TXH GH GpSHQVHU GH YMVPHV VRPPHV G·MUJHQP j UHŃOHUŃOHr de possibles menaces. Comme la

VpŃXULPp Q·HVP SMV XQH priorité, en général, pour les producteurs de logiciels, il existe un nombre important

GH YXOQpUMNLOLPpV TXL SHXYHQP rPUH XPLOLVpHV SMU OHV SLUMPHV SRXU ŃRQPRXUQHU O·MXPOHQPLILŃMPLRQ GHV V\VPqPHV

informatiques (Symantec, 2011).

Alors que le décryptage et OH SLUMPMJH XPLOLVHQP GHV PR\HQV PHŃOQRORJLTXHV SRXU V·MPPMTXHU j OHXUV

ŃLNOHV O·LQJpQLHULH VRŃLMOH VH ŃRQŃHQPUH VXU OH IMŃPHXU OXPMLQ SRXU RNPHQLU IUMXGXOHXVHPHQP XQ MŃŃqV j XQ

système informatique. I·LQJpQLHULH VRŃLMOH HVP ainsi considérée comme ´O·XPLOLVMPLRQ G·XQH LQPHUMŃPLRQ

VRŃLMOH GMQV OH NXP G·RNPHQLU XQH LQIRUPMPLRQ VXU OH V\VPqPH LQIRUPMPLTXH GH OM YLŃPLPH´ (Winkler & Dealy,

1995).

.HYLQ 0LPQLŃN IXP O·XQ GHV SUHPLHUV j PHPPUH HQ pYLGHQŃH OH SRXYRLU GH O·LQJpQLHULH VRŃLMOH et a écrit

plusieurs ouvrages sur le sujet depuis sa sortie de prison (Mitnick et coll., 2003; Mitnick & Simon, 2005;

Mitnick et coll., 2012). $X OLHX GH IRUŃHU VRQ HQPUpH VXU XQ V\VPqPH OH SLUMPH TXL XPLOLVH O·LQJpQLHULH VRŃLMOH

tente de convaincre sa cible de lui ouvrir elle-PrPH OHV SRUPHV GHV V\VPqPHVB HO V·MJLP LŃL GH ÓRXHU VXU OHV

pPRPLRQV HP OHV VHQPLPHQPV GHV LQGLYLGXV MILQ TX·LOV coopèrent avec le pirate (Workman, 2008). Cela peut

rPUH IMLP HQ ŃRPPXQLTXMQP XQ VHQPLPHQP G·XUJHQŃH RX HQŃRUH HQ ÓRXMQP VXU OHV SHXUV GHV JHQs par

exemple. IH VXŃŃqV GH O·RSpUMPLRQ GpSHQG HQ JUMQGH SMUPLH GX SUpPH[PH OH VŃpQMULR XPLOLVp SRXU NHUQHU OM

cible. 6RXYHQP OHV OLVPRLUHV OHV SOXV VLPSOHV VRQP OHV SOXV HIILŃMŃHVB 3RXU V·LQPURGXLUH GMQV OHV NXUHMX[

G·XQH ŃRPSMJQLH GH PpOpŃRPPXQLŃMPLRQV, Mitnick et coll. (2012) racontent TX·LO V·HVP SUpVHQPp PMUG GMQV OM

VRLUpH j OM JXpULPH GH VpŃXULPp HP M VLPSOHPHQP GHPMQGp MX JMUGH V·LO SRXYMLP IMLUH YLVLPHU VHV ORŃMX[ GH

travail à un ami. Quelques minutes plus tard, Mitnick et ses complices se promenaient librement dans les

locaux de la compagnie et mettaient la main sur une liste de mots de passe ainsi que des manuels

techniques. Une ingénierie sociale réussie nécessite habituellement une bonne connaissance de la cible

viséHB GMQV O·H[HPSOH ŃL-GHVVXV 0LPQLŃN ŃRQQMLVVMLP GpÓj OH QXPpUR GX ORŃMO RZ VH PURXYMLP O·LQIRUPMPLRQ

recherchée, réduisant ainsi le temps nécessaire pour trouver les mots de passe et les chances de

détection. IHV SRVVLNLOLPpV TX·offre O·LQJpQLHULH VRŃLMOH sont illustrées dans le dernier rapport des

RUJMQLVMPHXUV GH OM ŃRPSpPLPLRQ G·LQJpQLHULH VRŃLMOH TXL M HX OLHX j OM ŃRQIpUHQŃH GH SLUMPHV LQIRUPMPLTXHV

Defcon en 2010 (Hadnagy et al., 2010). On y découvre que sur les 15 compagnies testées lors de

O·H[HUŃLŃH 14 RQP OMLVVp ILOPUHU GH O·LQIRUPMPLRQ soit un taux de succès de plus de 93%. Bien que

O·LQIRUPMPLRQ RNPHQXH ORUV GX ŃRQŃRXUV QH VRLP SMV QpŃHVVMLUHPHQP GH QMPXUH ŃRQILGHQPLHOOH cet exercice

démontre O·HIILŃMŃLPp GH OM PHŃOQLTXH Gans cet environnement contrôlé.

Types de pirates informatiques

GH SMU OM QMPXUH PrPH GH O·LQPHUQHP LO HVP H[PUrPHPHQP GLIILŃLOH G·LGHQPLILHU OHV ŃMUMŃPpULVPLTXHV

sociodémographiques des internautes HP HQŃRUH SOXV OHV SLUMPHV TXL V·\ ŃMŃOHQP. Les recherches

V·HQPHQGHQP cependant sur quelques caractéristiques communes à une grande proportion de pirates.

Ceux-ci sont, dans une écrasante majorité, de sexe masculin (Goldman, 2005; Jordan & Taylor, 1998;

Turgeman-Goldschmidt, 2011). Ils sont caucasiens (Turgeman-Goldschmidt, 2011) et plus jeunes que

vieux (Yar, 2005; Goldman, 2005). Les autres caractéristiques sociodémographiques des pirates telles que

leur profil scolaire SURIHVVLRQQHO RX VRŃLMO YMULHQP JUMQGHPHQP G·pŃOMQPLOORQ HQ pŃOMQPLOORQ *ROGPMQ

2005).

Pour différencier les pirates les uns des autres, la littérature définit deux axes : la motivation et les

capacités techniques. Les typologies motivationnelles tentent de classifier les pirates informatiques en

fonction des motivations qui les poussent à agir. Baillargeon-Audet (2010) présente une recension

LQPpUHVVMQPH GHV P\SRORJLHV SURSRVpHV RZ LO HVP SRVVLNOH G·LGHQPLILHU cinq motivations principales : la

reconnaissance; O·MUJHQP OHV GpILV PHŃOQLTXHV O·LGpRORJLH HP OM ŃXULRVLPpB Nos propres recherches nous ont

SHUPLV G·MÓRXPHU j ŃHPPH OLVPH XQH VL[LqPH PRPLYMPLRQ O·MOPUXLVPHB

Les pirates altruistes cherchent avant tout à aider les autres en testant leurs systèmes pour

détecter des failles de sécurité et ensuite avertir plus ou moins discrètement les administrateurs de

système (Leeson & Coyne, 2005). Ceux-ŃL Q·RQP M SULRUL pas la permission de commettre ces attaques et

V·H[SRVHQP GRQŃ j GHV UHSUpVMLOOHV OpJMOHV VpULHXVHVB IM UHŃRQQMLVVMQŃH HVP MXVVL XQ NHVRLQ TXH OHV SLUMPHV

cherchent à combler à travers leurs piratages (Rehn, 2003; Jordan & Taylor, 1998). Ceux-ci ont tendance à

IRUPHU GHV MOOLMQŃHV SOXV RX PRLQV VROLGHV HP PHQPHQP GH V·LPSUHVVLRQQHU PXPXHOOHPHQP MILQ GH VH YMORULVHU

aux yeux de cette communauté (Rehn, 2003). Alors que la quête de reconnaissance est présente dans le

monde des pirates depuis sa conception, la recherche de gains financiers est, quant à elle, beaucoup plus

UpŃHQPHB FHPPH PRPLYMPLRQ SUHQG GH SOXV HQ SOXV G·LPSRUPMQŃH HP OHV UHŃOHUŃOHV UpŃHQPHV RQP SHUPLs de

PHPPUH HQ pYLGHQŃH O·LPSRUPMQŃH GHV VRPPHV YROpHV régulièrement par les pirates (Krebs, 2011; Leeson &

quotesdbs_dbs4.pdfusesText_7

[PDF] Par David Décary-Hétu1,2