4©|D-3®®0® Vault

Mon premier contact avec le monde Internet était via les terminaux monochromes connectés à la station VAX centrale de l'école. A l'époque, on surfait via Lynx en mode textuel. C'était Fascinant, car ça rappelait vaguement le film "wargames" des années 80. Mon intérêt réel pour le monde de la sécurité informatique et de l'underground est né le jour ou j'ai suivi un séminaire fait par une personne qui appartenait au gouvernement français. Le thème était "Les risques d'Internet : Les hackers". Le monde Underground m'a permis par la suite d'apprendre et d'écouter ceux qui sont plus forts que moi et faire des rencontres avec des personnes de très hauts niveaux. Je pense à Tarik Fdil de Linux Maroc qui a su guider toute une génération de hackers au Maroc et Dr Abder pour les techniques de Phreaking et de tests intrusion sur les PABX.
Hacktiviste, hacker, pirate, faut-il vraiment les différencier aujourd'hui ?
Depuis l'invention de la net-economie, la guerre à la recherche informationnelle est déclarée. Du coup, des systèmes informatiques sont quotidiennement sous la menace d'attaques attribuées la plupart à ce que les gens ont maintenant coutume d'appeler "Hackers". Cependant, il existe des catégories de personnes malveillantes sur le réseau Internet. Certainement, pas tous animés par les mêmes convictions (politique, religion, appartenance ethnique....). Chaque individu (ou groupe) revendique ou répand des idéaux.

Vous agissez dans le but d'aider ceux qui sont faillibles à un problème de sécurité informatique, pourquoi ?

On a décidé d'anticiper aux problèmes crées par l'ignorance de certains administrateurs vis-à-vis de règles primordiales de la sécurité. Le but étant d'une part de faire sortir les bons hackers marocains de l'anonymat et de les faire travailler dans le bon sens tout en focalisant leur énergie positive et d'autre part pour contrer les agissements des gamins kiddies. On a ras le bol de voir ces messages obscènes sur nos sites au Maroc (dernièrement des sites de gouvernements ont été hacké)
L'idée de départ était de créer un "Observatoire Marocain de Sécurité Informatique", le ccc.ma véhiculera nos convictions. On a cependant garder dans nos têtes, le manifeste du C.C.C de Berlin. Par ailleurs, on ne détournera pas de l'argent pour attirer l'attention sur nous. On préfère éviter les intrusions sans contrats. Quand on est sur Internet, il n'y a plus de frontières.
Depuis quand le Maroc s'est réellement ouvert sur le monde Internet ?
Je me suis souviens toujours des cartes perforées et des longs listings Cobol/Assembleur que mon père ramenait le soir à la maison. L'informatique a toujours existé au Maroc depuis les années 60 [BULL, IBM…]. Bref, vers les années 90 , c'est un nouveau départ qui a été lancé. Celui d'Internet. Le Maroc a eu un temps très lent pour percuter. Les sociétés étaient timides. Personnes n'osaient se lancer dans l'aventure. De coup, " l'internisation " du Maroc a pris un sacré retard, énormément de retard. De nos jours, les choses commencent à bouger avec de nouvelles start-up, l'introduction du monde libre, comme linux-maroc.org .
Et dans une optique de rattraper le temps perdu, Le réseau TCP/IP au Maroc a connu une montée en charge ces dernières années. Un nombre incroyable de sites e-business, bancaires et autres ont été mis on-line. Le seul HIC dans cette croissance c'est le manque de la 'culture sécurité'. Suite à mes discussions avec des responsables ou autres administrateurs marocains, peu de gens auditent leur système d'information régulièrement. Du coup, nos réseaux marocains sont un terrain d'entraînement pour les scripts kiddies du monde entier. Et ça nous révolte au CCCM !!!

Qu'elles sont vos découvertes les plus "importantes" sur le web.

Vous savez le web est plein de mystères. Je me souviens d'avoir trouvé avec un hacker français "froggy3s" (Auteur de whitepapers sur les techniques d'intrusion depuis les réseaux locaux, et différents outils de tests d'intrusion, ndlr), des informations bancaires sur des personnes et ce sans avoir exploité AUCUNE faille connue. Juste en s'amusant avec les moteurs de recherche. J'ai été aussi très stupéfait quand j'ai eu l'accès direct au backup du fichier /etc/passwd d'une université très connu, le MIT. Le nom du célèbre Simson Garfinkel (Auteur de Practical Unix and Internet Security, ndlr) y était. C'était complètement paradoxal !! En parlant de sites marocains, j'ai vu en temps réel un combat de defacement entre deux groupes de kiddies. Le site était défacé une vingtaine de fois par jour. C'était grotesque.
Que pensez-vous des divers législations qui protègent les utilisateurs d'informatiques des pirates ?
Je pense qu'il faut des lois pour se prémunir des crackers et autres organismes criminels utilisant les fraudes Internet. Cependant, elles ne sont pas toutes faites pareilles c'est à dire qu'aucune référence (ou base) n'est étudiée. Quand on voit que les hackers et pirates en Angleterre et aux états unis sont assimilés à des cyber-terroristes ou en chine, ils sont carrément exécutés en public. Ca donne froid dans le dos. C'est aussi à chacun de prendre ses responsabilités dont l'utilisateur qui applique très mal la politique de sécurité et la charte de son organisme et qui divulgue du coup des informations sensibles (soit par le biais de sa messagerie ou via une attaque Social Engineering).

Sont-elles suffisamment réfléchies ?

Non, les lois ne sont pas du tout bien réfléchies ou à la rigueur pas encore matures. Soit elles sont trop rigides soit elles sont complètement débiles. Il faut certainement intégrer les niveaux d'attaques (un defacement ne veut pas dire cyber-terrorisme, Faut se calme un peu ). Un scanning via nmap ne doit pas être assimilé à une intrusion par la biais d'un exploit RPC. Il faut cependant définir les degrés et les sanctions pour chaque catégorie. A notre avis, une base commune doit être réfléchie puisqu'il y a pas de frontières sur Internet. Et pour une fois, le monde sera d'accord sur quelques choses.

Qu'est ce qu'une bonne sécurité informatique d'après vous ?

" La sécurité informatique est tout un processus " disait Bruce Schneier (Le fondateur de counterpane, ndlr). J'ai eu l'occasion d'effectuer des centaines d'audits de sécurité 'fonctionnels et techniques' et à l'issu le client se croyait à l'abri des attaques éternellement. Sachant que la validité d'un test d'intrusion ne dépasse pas 3 mois, en fonction du niveau des vulnérabilités pendant cette période. Afin de garder un très bon de niveau de sécurité, il faut des contrôles réguliers (audits / tests intrusion), des règles respectées (politiques de sécurité) et des solutions intelligemment déployées (Firewalls applicatifs, Proxies, Honeypots), une organisation rodée (RSSI / administrateurs) et un personnel compétent et réactif (connaissance en sécurité, systèmes, veille technologique…). Le tout fait que la sécurité converge vers des niveaux satisfaits mais jamais parfaits. Si une composante s'affaiblit c'est tout le processus qui est en danger.

N'est ce pas la faute au media de faire croire que l'on peut devenir un "grand" hacker ?

Oui, je le pense sérieusement. Les média ont fait de certains pirates des mythes éternels. Quand un gamin en plein croissance intellectuelle, découvre qu'un certain Vladimir Levin (Voir sur zataz.com, ndlr) a détourné une somme faramineuse via des techniques de hacking de la Citibank, c'est sur que devenir une légende vivante doit faire rêver. Par conséquent, ce que les média oublient aussi de mettre en avant c'est le revers de la médaille. Les sanctions qu'encourent ces mêmes hackers, des peines de prisons très lourdes. Ca pourrait calmer pas mal d'esprits rebelles et anarchistes. Le rêve de devenir hacker s'évapore. [you will still be here tomorrow But your dreams may not -- Father and Son, Cat Stevens, ndlr]. Par contre, oubliez les 'haxorz' à deux balles dans les films comme 'Matrix', 'hackers' ou 'BlowFish Sword', ce n'est qu'illusion. Celui qui pénètre un site illégalement finira toujours payer le prix très cher.

D'après vous, Al Qaeda, ou autres terroristes, utilisent-ils vraiment internet ?

Affirmatif. Toute personne qui s'implique dans la guerre a au moins lu une fois dans sa vie 'L'Art de la Guerre' de Sun Tsu. Le réseau Internet pourrait être assimilé à un "Terrain" (en référence a sun Tsu, ndlr). Donc, Al Qaeda ou autres réseaux terroristes sont en position de force, ils peuvent attaquer via n'importe quel point du monde en changeant a l'infini les stratégies et les techniques. Internet demeure alors le Terrain le plus facilement accessible. J'ai pu lire aussi que le chef présumé d'Al Qaeda avait organise a plusieurs reprises des camps d'entraînement à la cryptographie. Vous savez tout est possible. L'ennemi peut surgir de n'importe ou ! Et si c'est l'attaque des deux tours sont réellement due à Al Qaeda, je suis presque sur qu'Internet a été utilise pour coordonner les différentes équipes.

Avez-vous déjà été approchés pour agir pour la cause "musulmane" sur internet ?

Je suis personnellement berbère. Et les berbères ont longtemps cohabiter avec les juifs, chrétiens et musulmans. Donc, ma réponse est non. Je ne peux pas lutter ni pour la cause judaïque ni pour la musulmane. Mes ancêtres étaient judeo-berberes et berbero-musulmans. En revanche, je suis pour la paix dans le monde. Je refuse catégoriquement de m'impliquer dans les cyber-guerres ethniques. Le jour ou toutes les races de la terre embaucheront (ou tamponneront) des hackers pour lutter sur Internet , le destin d'Internet sera alors : le Chaos Numérique !

www.zataz.com