Entretien avec Kevin Mitnick en 2008 : “Nous devons renforcer le ‘pare-feu humain'”

C’est difficile à croire – Kevin Mitnick, l’ancien “Most Wanted” du cyberespace, ressemble lui-même au directeur de banque dont il aime maintenant tester la sécurité informatique pour détecter les faiblesses, et le paie royalement. Costume bleu foncé, cravate, chaussures cirées, c’est ainsi que le redoutable hacker vedette des années 80 et 90 s’est présenté à ses collègues lors d’une réunion de l’industrie du fournisseur de sécurité informatique phion dans les Alpes tyroliennes. MIT Technology Review a parlé à Mitnick de son passé – et de son avenir.

Publicité

Le spécialiste de la sécurité Kevin Mitnick est décédé le 16 juillet à Las Vegas des complications d’un cancer du pancréas. À ce stade, nous republions une interview avec lui. L’auteur Tom Sperlich l’a présenté en 2008.

Publicité

M. Mitnick, comment votre vie s’est-elle réellement déroulée après votre sortie de prison au début de 2000 après environ cinq ans de punition ?

Peu de temps après ma sortie de prison, le gouvernement américain m’a demandé d’aider à protéger leurs systèmes informatiques. Divers sénateurs comme Lieberman et Thompson m’ont demandé de témoigner devant un comité du Congrès à Washington. Eh bien, maintenant que j’ai cinq ans de plus et que je suis plus sage, j’ai décidé de mettre mes talents à profit. Je suis passé d’un hacker contraire à l’éthique à un hacker éthique – une chose intéressante, car quel autre acte criminel, qui est le piratage, après tout, pouvez-vous faire de manière éthique ?

J’ai également écrit deux livres et créé ma propre société de conseil en sécurité informatique. En principe, je fais la même chose que je fais depuis des années, mais maintenant avec l’autorisation de le faire. C’est aussi une sorte de carrière.

Bien que, pour le souligner à nouveau, par le passé, un pirate informatique n’était pas nécessairement considéré comme un criminel malveillant. Mais plus comme quelqu’un qui voulait constamment apprendre comment fonctionnent les systèmes informatiques et de télécommunications et comment leurs mesures de sécurité pouvaient être contournées. Moi, par exemple, je l’ai fait strictement pour ma propre gratification intellectuelle et par curiosité.

Cette prémisse ne semble pas être si courante aujourd’hui. Cela a-t-il sensiblement changé ?

Oui oui. D’une certaine manière, j’étais encore quelqu’un de la “vieille école” des hackers. À l’époque, il s’agissait plutôt de s’amuser, d’avancer avec ses amis, d’explorer la technologie, de la pousser à ses limites. Aujourd’hui, les pirates maléfiques ne cherchent qu’à gagner de l’argent, à faire du profit. Je conseillais récemment un ami qui dirige une petite entreprise de commerce électronique. Son nom de domaine a été “piraté” au bureau d’enregistrement de domaine et on m’a demandé si je pouvais faire quelque chose à ce sujet.

Compte tenu de l’effort et de mes honoraires, cependant, il s’est avéré que le moyen le plus simple et le plus rapide était de payer au pirate informatique, une personne d’Iran nommée Omid, une sorte de rançon, comme je l’ai alors recherché. C’était une entreprise audacieuse, mais en lui payant 3 000 $ pour que le domaine soit débloqué à la fin. J’espère qu’il va en rester là maintenant. Quand j’ai regardé, j’ai découvert que cet Omid semble faire ça tout le temps, est connecté à une sorte de réseau mondial et continue de le faire – probablement parce que l’Iran est un vide juridique pour cela.

Dans vos activités de conseil aux entreprises, vous vous spécialisez principalement dans le domaine de « l’ingénierie sociale ». Qu’y a-t-il de si spécial ou de si dangereux ?

L’ingénierie sociale existait bien avant l’apparition des ordinateurs. C’est en fait une sorte de jeu d’acteur. Il y a par exemple les tentatives d’escroquerie de ces gangs nigérians, qui fonctionnaient déjà sans internet ni ordinateurs. Il s’agit de manipuler les gens pour obtenir des mots de passe ou d’autres informations importantes. Mais si les ruses des gangs nigérians sont connues depuis longtemps, les gens craquent toujours pour eux. C’est pourquoi je considère que ma mission est d’éduquer les gens sur l’ingénierie sociale et son fonctionnement, alors j’espère que la prochaine fois, ils y penseront et ne seront pas dupes.

Parce que les gens sont le maillon faible de la chaîne. Nous devons renforcer le “pare-feu humain”, c’est pourquoi je suis toujours sur la route pour faire le travail éducatif nécessaire. Étonnamment, la majorité des entreprises ne se soucient pas du tout de l’ingénierie sociale. Pas même les grandes organisations gouvernementales. Il y a quelque temps, l’Internal Revenue Service (IRS) des États-Unis a mené un audit de sécurité. 100 responsables de l’IRS ont été appelés et se sont fait passer pour des informaticiens à l’IRS. Et 35 des managers ont ouvertement donné leur mot de passe et leur nom d’utilisateur au téléphone.

Comme vous pouvez le constater, il s’agit d’une menace importante. Une entreprise peut dépenser beaucoup d’argent et acheter toutes sortes de matériel et de logiciels de sécurité informatique, mais si un attaquant ne trouve qu’une seule personne dans cette entreprise qui “joue le jeu” qu’il peut tromper pour enfin entrer dans le système, alors tout ce bon argent pour les technologies ne sert à rien. Tout ce que vous avez à faire est d’amener les employés à cliquer sur un site Web préparé et cela peut signifier qu’un code malveillant se niche sur leurs ordinateurs. Cela signifie que le pirate est déjà dans le réseau. Vous devez accepter cela et combler les lacunes de la chaîne en conséquence.