Page 1 sur 1

Le Hack, parlons-en !

MessagePosté: Jeu 1 Sep 2011 17:05
par Siegfried
Bonjour, j'ouvre ce topic pour parler de vos diverses expériences par rapport au piratage de compte.

Venez raconter comment ça vous est arrivé, comment vous vous protégez ...

Naturellement, il est interdit de donner des moyens de pirater ou voler des choses sous peine de sanctions.

Mais tout cela dans le respect des autres, la courtoisie avant tout ^^

merci

Re: Le Hack, parlons-en !

MessagePosté: Jeu 1 Sep 2011 20:59
par Le Bashar
Guide des problèmes de hack pour les nuls

Il faut bien rappeler qu'au départ, internet n'est qu'un système de poste. Quand on envoie en truc sur le réseau, c'est comme si on envoyait une carte postale sans enveloppe : n'importe qui peut lire ce qui est écris dessus.

Ensuite il faut différencier le hack du vol. La plupart des gens se font voler leur mot de passe, soit de manière active (ils l'ont donné à quelqu'un, peu importe la manière dont le voleur s'y est pris), soit de manière passive (le voleur a accédé à l'information à l'insu du propriétaire, soit physiquement, par ex un mot de passe sur un post-it sur l'ordi, soit numériquement, lecture du mot de passe dans un fichier de l'ordi).

Le hack au contraire implique d'avoir modifié un programme (d'où le terme hack, "tailler") au profit du hacker. Un exemple très simple et très courant consiste à fabriquer un programme espion qui va infiltrer un ordinateur comme un virus, et rechercher dans cet ordi les informations de type login/mot de passe. Ensuite ce programme fait un paquet et envoie tout ça au hacker. Dans ce cas c'est toujours un vol, mais qui a nécessité un programme de hack. On pourrait se dire que ce n'est pas grave car tout le monde ne peut pas écrire un tel programme : exact. En revanche tout le monde peut en utiliser un. Il faut être serrurier pour fabriquer une clef, mais n'importe quel abruti peut utiliser une clef une fois qu'il l'a trouvée.

Le cas le plus répandu sont des programmes qui utilisent des portes ouvertes dans le système d'exploitation (windows) par des sortes de caisses à outils que plusieurs programmes utilisent (des bibliothèques). Ces choses sont par définition peu sécurisées puisqu'elles doivent servir à de nombreux programmes différents. Elles contiennent toutes sortes de failles de sécurité, soit involontaires (tous les programmeurs ne sont pas des génies, et tous ne sont pas très bien payés...), soit volontaires (par ex des portes de service utilisées pendant la création du programme par les programmeurs pour faire leur travail, et laissées là ensuite). Le hacker va chercher ces failles, et quand en il trouve une faire un programme qui l'exploite. Souvent le hacker n'a pas besoin de chercher d'ailleurs, il lui suffit de trouver le plan des portes de service directement auprès des programmeurs d'origine... (voire carrément, le hacker fait partie des programmeur d'origine ! :_12: )
Et c'est là que ça devient génant, c'est qu'il peut ensuite diffuser son programme sur le web, et le rendre disponible à n'importe qui comme par ex, un gosse de 15 ans appaté par un site qui lui promet monts et merveilles pour épater ses potes comme un vrai as de l'informatique. En général le programme ainsi diffusé contient lui même un virus qui pompe les infos sur l'ordi de l'apprenti-hackeur lui-même ( :_3: fallait pas jouer dans la cour des grands, petit !).

C'est ainsi qu'on peut trouver un ado totalement ignare en matière de hack, être capable de pénétrer dans la base de donnée d'un forum comme celui-ci, y trouver des mot de passe de messagerie email, comptes de jeu ou voire bancaires (!) et autres que des utilisateurs peu avertis auront immanquablement laissé dans leur messagerie, et effacer tout ça en laissant un bandeau "je suis trop fort je vous ai hack bande de loosers !"
En principe, les vendeurs des logiciels proposent régulièrement des patchs pour corriger les failles de sécurité (fermer toutes ces portes de services qui trainent un peu partout). Mais ce n'est pas toujours le cas, notamment par ex pour des logiciels qui ne sont plus développés. Et de toute façon, certaines portes de services sont nécessaire pour la maintenance du programme lui-même.
Continuer à utiliser un truc ancien qui n'est plus mis à jour est donc de plus en plus risqué au fur et à mesure que le temps passe.

Ces quelques bases étant posée, comment se protège-t-on ?

1- 90% des gens utilisent comme mot de passe un vrai mot. Il est très facile pour un robot (un programme) de casser un tel mot de passe en testant tous les mots du dictionnaire. Et comme 90% des gens utilisent moins de 50 mots différents, en plus ça va vraiment très vite de tout tester !
->solution : n'utilisez pas un vrai mot comme mot de passe
1bis - idem avec des dates, notamment de naissance
1ter - idem avec des noms propres
=>un bon mot de passe est une suite de nombre et de lettres qui n'a de sens que pour vous-même, que vous n'écrivez pas sur un mémo, et que vous ne donnez à personne sous aucun prétexte, jamais.

2- pour pouvoir changer un mot de passe oublié, sur internet, n'ayant aucun moyen de savoir qui est qui, il existe le système de la question secrète. Par exemple, "quel étais le nom de jeune fille de votre mère" et autres questions du même genre. Ne prenez jamais une question personnelle dont la réponse peut être trouvée facilement. Le nom de jeune fille de votre mère par ex, avec toutes les infos personnelles qui trainent sur les blogs, facebook et autre réseaux sociaux, un robot le trouvera. Idem pour vos livres, couleurs ou film préférés et autres. La meilleure solution consiste donc à écrire votre propre question personnelle, mais ce n'est pas toujours possible. Si ça ne l'est pas, prenez n'importe quelle question, mais inscrivez comme réponse quelque chose qui n'y répond pas. Si possible, inscrivez comme réponse un mot qui n'existe pas. Comme pour le mot de passe, l'objectif c'est qu'un programme informatique automatique ne puisse pas trouver votre réponse à votre question secrète. C'est quand même con qu'un "hacker" se fasse envoyer votre mot de passe par un service technique, juste parce qu'un programme automatique a trouvé votre réponse, sans même avoir eu besoin de vous la voler, non ? :_6:

Avec ça vous avez évité les 2/3 des problèmes

3- Mettez à jour votre système d'exploitation régulièrement, de même que votre navigateur internet et votre antivirus.

4- N'utilisez pas plusieurs programmes d'échange de données en même temps (par ex, un MMORPG, une messagerie instantanée msn messenger ou autre, un client peertopeer et un navigateur html). Si un seul de ces programmes contient une faille et se retrouve infecté, un programme espion pourrait l'utiliser pour corrompre l'ensemble.

5- Ne naviguez par n'importe où sur le web, certains site tentent de télécharger un virus dès leur page d'accueil, ils ne servent qu'à ça. Ne téléchargez pas non plus n'importe quel programme (tous ces super machins de thème bureau ou autre barres de raccourcis bidules ... qui ne servent à rien, vont vous pourrir la vie et ralentir votre ordi).

5bis- en cas d'ordinateur familial dans une famille avec des enfants, évitez d'utiliser le même ordi pour le surf "naïf" et les jeux des enfants et la gestion des comptes bancaires des parents, par ex.

Utilisateur lambda, vous ne pouvez rien faire de plus, et ça ne vous protégera pas d'un hacker qui vous ciblerai vous spécifiquement. Mais pourquoi vous en voudrait-on à vous ? Les attaques plus précises réclament des moyens qui impliquent qu'il y ai des choses de grande valeur en jeu.

6- Utilisez un ordinateur dont le système d'exploitation n'est pas windows. La plupart des programmes sont écris pour windows, virus et espions compris, et le simple fait de ne pas utiliser ce système vous protège d'office. Par ailleurs, windows est un système bâtard, partiellement verrouillé, partiellement ouvert, qui contient des portes un peu partout et que vous, utilisateurs, n'avez aucun moyen de fermer. Sur un linux au contraire, vous pouvez tout paramétrer pour que tout soit fermé (ou ouvert). Mais il faut avoir les connaissances requises.

7- Utilisez un ordinateur passerelle pour vous connecter au réseau. C'est à dire, un ordinateur sous linux par ex, qui est connecté à votre accès réseau. Cet ordinateur sert de serveur pour votre vrai ordi qui est connecté dessus, et non pas directement sur la box. L'ensemble fonctionne comme un pare-feu matériel (ou plus imagé, un poste de douane pour lequel les gardiens des deux côtés parleraient une langue différente), bien configuré, il sera impossible pour un programme d'accéder au second ordi sans que quelqu'un vienne physiquement ouvrir les accès lui-même, chez vous. En revanche, si un hacker vous en veut personnellement, il lui sera toujours possible de tracer systématiquement le débit entrant et sortant de votre machine, et donc de récupérer tous les mots de passe que vous y taperiez en clair. Dans le menu de chargement de rappelz par ex, il faut écrire son mot de passe via le clavier. Un programme peut enregistrer ça. (ce n'est pas si évident parce qu'il faut trouver le mot de passe dans le flot des données, donc il faut savoir quel ordi cibler, et quel genre de mot de passe on cherche. ça ne se fait pas au hasard. Quelqu'un peut cibler votre accès réseau personnel, mais il lui faudrait une bonne raison, ou alors cibler un serveur entier, comme ceux de rappelz, ce qui est beaucoup plus simple mais demande une sacré ressource pour traiter l'ensemble des données.). Par contre si vous prenez le mot de passe d'une banque, vous verrez qu'on doit y "saisir" l'ensemble en passant juste sa souris sur un clavier virtuel, sans cliquer, et que la position des chiffres du clavier change à chaque connexion. Là, impossible de récupérer votre mot de passe, tout ce que peut enregistrer le programme espion c'est les coordonnées x et y de votre souris.
De même pour rappelz, vous pouvez constater que pour poster dans le forum officiel ou accéder à la boutique, le login et le mot de passe sont les mêmes que pour le jeu, et qu'il est possible de les "retenir" via votre navigateur. Soyez malins, ne demandez jamais à votre navigateur de retenir un mot de passe pour vous (surtout si vous utilisez une vieille version de internet explorer). Sur un bon programme cette infos sera cryptée. Sur un mauvais, elle sera écrite en clair dans un cookie nommé "programme.bidule" facile à trouver dans les répertoires de windows, avec de beaux titres dans le fichier "login : votrelogin" et "mot de passe : votremotdepasse" que n'importe qui peut lire avec notepad.

8- Doublez votre ordinateur passerelle par un second ordinateur qui enregistre toutes les données entrantes et sortantes. Si quelqu'un pirate le serveur, il effacera ses actions après son passage pour ne pas que son infraction soit repérée. La différence entre les log des deux serveur vous permettra de savoir qu'il y a eu violation quand même, de savoir quand, et ce qui a été fait par le hacker.

Dernière chance vous êtes un gros parano

9- Ne surfez pas sur le web avec l'ordinateur qui contient vos données importantes. Ce qui revient à : ne soyez pas relié au réseau, utilisez un ordinateur qui ne contient pas les composants électroniques nécessaire pour échanger des données à distance, de type wifi, carte réseau, antenne etc. Même a priori désactivé, un programme peut les faire fonctionner à votre insu. Verrouillez l'accès à cette machine dans un coffre-fort qui interdit un accès physique.

Mais il n'y a rien dans votre ordinateur qui aie une telle valeur qui vous ayez besoin de la protéger comme ça, n'est-ce pas ? ;)

Re: Le Hack, parlons-en !

MessagePosté: Sam 8 Oct 2011 21:23
par Extrelia
Whaou ça c'est un pavé avec TOUT ce qu'il faut pour se proteger! Aprés c'est vrai qu'avec un peu de bon sens on peut eviter pas mal de soucis.
Mais moi,par exemple dans Rappelz j'ai fait plusieurs comptes,avec log in et mots de passes différents,adresses mail différentes et n'ayant pas de back up de sécurité vers mes autres adresses mails servant pour le portail gpotato. En faite je me dis que meme dans le cas ou, quelqu'un m'en voudrai personellement, (se mettre a dos un hacker faut le faire quand meme...) et bien il pourra pirater le compte qu'il connait et pas ceux dont il ignore l'existance! Bien entendu j'ai fait un compte qui me sert seulement de coffre pour mes choses de valeur,sur ce compte là je ne me connecte jamais avec le même ordinateur qu'avec lequel je joue.

L'autre bon sens c'est par exemple de ne pas se promener en ville en exibant son Tyran et son Dragon Blanc stadé, moi dés que je suis en ville je désinvoque, j'ai remarquée qu'a chaque fois qu'on voyait mon HF les gens étaient curieux...un peu trop...donc je me balade seule ou avec mon poulet :_3: . Et puis vous faites un DP avec des gens,n'allez pas leur raconter que vous avez tout un Pokedex en banque et des batons colo +20! Il se peut que quelqu'un soit trop curieux. Rappelz n'est pas un jeu de Hackers mais plutot d'arnaqueurs

Mais la plupart des arnaques dont j'ai entendu parler c'est le plus souvent un ami, un cousin ou un frangin qui a connaissance du mot de passe irl et qui va pirater le compte,donc dans la mesure du possible si vous donnez un jour votre mot de passe a un "cousin" car il était venu chez vous et vous vouliez lui montrer le jeu,assurez vous de changer ce mot de passe dés qu'il part!

Mais aprés si un vrai pro du Hacking vous en veut...et bien je ne crois pas qu'on puisse lui echapper,heureusement ce genre de personnes ne court pas les rues non plus.