A Paris, un centre de formation dispense des cours sur les méthodes de piratage informatique. Pour en finir avec les idées reçues sur le monde du  « hacking ».

A deux pas du métro Goncourt, en plein coeur du XIème arrondissement de Paris, se trouve la première école de  hackers  au monde, Zi Hackademy. Ouverte en octobre dernier, c'est une émanation directe du mensuel Hackerz Voice,  « La Voix du pirate informatique « , créé il y a deux ans par un franc-tireur de l'édition, Olivier Spinelli: «  Le lancement de Hackerz Voice » relevait à la fois de la provocation et d'un désir d'informer. Donner une visibilité à l'univers du " hacking " et mettre les informations détenues par les hackers dans la rue.

Fin 2001, Zi Hackademy retient l'attention des médias quand le groupe Lagardère demande l'interdiction de parution du mensuel Hackerz Voice. Il reproche au magazine d'avoir dénoncé certaines failles de sécurité de ses sites Web, celles qui permettaient notamment d'accéder aux données des abonnés à Club-Internet. Zi Hackademy serait-elle un vivier de délinquants informatiques ? Pas vraiment: l'école a été reconnue officiellement comme organisme de formation professionnelle. Quant aux 700 apprentis hackers qui sont passés sur ses bancs, sans compter ceux qui suivent ses cours par correspondance, il s'agit en priorité d'informaticiens ou de professionnels désireux de se faire ou de parfaire une culture sur la sécurité informatique. « Je viens pour comprendre et connaître les méthodes et techniques utilisées par les pirates », explique Alain, ingénieur informatique de 35 ans, chef de projet indépendant. Afin d'assurer la sécurité des systèmes qu'il installe dans les entreprises, il veut pouvoir simuler les méthodes d'attaque et effectuer des tests d'intrusion.   « Apprendre à pirater, c'est tout d'abord apprendre à connaître les failles des systèmes informatiques, commente Bibi, 40 ans, technicien réseau, C'est un moyen de devenir un meilleur administrateur. La formation m'apporte vraiment énormément. On touche à un univers mystérieux, avec des gens très pointus ... »

Cofondateur d'Intrinsec, une société spécialisée depuis 1994 dans la sécurité informatique des secteurs bancaire, militaire et stratégique, Laurent Genier fut l'un des premiers à pratiquer des tests d'intrusion pour éprouver la sécurité des systèmes d'information de ses clients. Sur le principe, il juge intéressante la formation dispensée à Zi Hackademy.  « C'est un bon moyen de sensibiliser les gens, confie-t-il, D'autant que savoir attaquer les systèmes, cela revient à savoir les protéger. Mais je ne pense pas que cet enseignement doive s'adresser au commun des mortels. S'ils ne possèdent pas un réel esprit de curiosité, les étudiants apprennent des techniques, mais cela reste seulement du bachotage. »

"Savoir attaquer les systèmes pour mieux les protéger"

Avec sa queue-de-cheval, Manu, 32 ans, est le seul parmi les  étudiants à afficher le look  « pirate ». C'est aussi le seul à avoir abordé dès le départ l'informatique avec un esprit de  hacker. Spécialiste du PHP, un langage de scripts très utilisé pour la gestion dynamique des contenus de nombre de sites Web - parmi lesquels celui de Yahoo! -, c'est un autodidacte.  « Ce qui m'intéresse surtout, c'est de partager l'information, explique-t-il, Je rencontre beaucoup de failles de sécurité dans le PHP. C'est un langage très riche, qui permet de simuler un grand nombre de techniques utilisées par les hackers. »

"Hackers actifs, banques et institutions passives"

Ingénieur en physique de formation, autodidacte en informatique et hacker accompli. Fozzy cumule à 23 ans les fonctions de directeur de la rédaction de Hackerz Voice et de responsable pédagogique de ZI Hackademy, « Je ne suis pas un pirate informatique, avoue t-il. Les seules choses que j’ai piratées, ce sont des systèmes dont les responsables m'ont demandé de tester la vulnérabilité. Je suis passionné par l'informatique depuis tout petit, en particulier par les problèmes de sécurité. C'est à la fois plus ludique plus efficace d'aborder cette question sous l'angle: Comment contourner les protections en place ? Et puis, l'enseignement classique en la matière ne correspond pas aux attaques d'aujourd'hui. Les hackers on une attitude active, ils s'intéressent de prés aux dernières méthodes d'intrusion. Tandis que les responsables de la sécurité informatique ont une attitude passive : ils mettent en place des protections et ce contentent de surveiller. C’est seulement quand il se passe quelque chose qu'ils cherchent à comprendre. »

Zi Hackademy propose plusieurs formules, dont un cycle complet de vingt-quatre heures de cours pour 240Euro, qui permet de passer du niveau Newbie (débutant) au niveau Wild. Mais ne devient pas pirate qui veut en l’espace de quelques heures. Cette formation nécessite beaucoup de travail personnel, commente Fozzy. Il faut bosser chez soi, faire des recherches sur le Web, acquérir un minimum de compétences sur l'environnement Linux ou encore le langage C.

Dans le dernier numéro de HackerZ Voice, ce hacker-formateur-journaliste dénonce le faible niveau de sécurité des services en ligne proposés par les Banques, expliquant comment un groupe de hackers doté d'un minimum de moyens techniques pourrait accéder aux comptes clients. Les banques se fichent pas mal du niveau de sécurité de leurs services. L'important pour elles, c'est d'être sur Internet et d’offrir toute une panoplie de services, martèle Olivier Spinelli. Des propos tempérés par l'expert en sécurité Laurent Genier: « Dans le secteur bancaire, les systèmes internes sont extrêmement sécurisés. Les banques ont une obligation morale à cet égard. Leurs services Web, ont, c'est vrai, le même niveau de sécurité que les autres. Il y a plusieurs degrés de risque: un particulier victime d'un accès frauduleux à son compte via le réseau va s'en apercevoir et sera dédommagé. Mais lorsqu'il s'agit d'une intrusion dans le système d'information d'une entreprise qui se fait voler son fichier clients par des méthodes originales qu'on ne trouve pas sur le Web, les conséquences sont beaucoup plus dramatiques. »

Ces  méthodes originales  ne sont pas forcément au programme de Zi Hackademy, et restent l'apanage de la petite communauté de vrais hackers en France. « Des jeunes entre 17 et 23 ans, surdoués de l'informatique et souvent encore étudiants.  Ce sont des gens trés pointus, et beaucoup collaborent à Hackerz Voice, confie Fozzy, le formateur. Et de conclure: Nous voulons permettre la diffusion de ces connaissances au plus grand nombre alors que le cette "underground" va à l'encontre de cette démarche. »

QUATRE HEURES DE COURS A ZI Hackademy

Samedi, 16 heures. Cours Newbie + (débutants tout juste initiés). Kantor, étudiant en informatique, 20 ans à peine, commence par détailler les techniques de programmation utilisées par les auteurs de virus informatiques. Je ne me mets à saliver qu'à l'évocation des failles de sécurité du langage de scripts PHP, susceptibles d'ouvrir bien des portes. Parfois, il suffit de rajouter quelques paramètres vicieux à la fin de l'URL (adresse d'une page Web) pour exécuter un programme sur le serveur d'un site développé avec ce langage et prendre son contrôle à distance. Kantor enchaîne sur un autre langage de scripts quelque peu  bogué du point de vue sécurité, le !java script!. Là, les failles sont sur le poste client, car le !java script! présent dans une page Web s'exécute sur l'ordinateur de l'internaute qui la consulte.

Puis, invitation à la pratique sur le site Try2Hack.com (ou .net), qui propose de chercher les failles permettant de passer plusieurs niveaux de contrôle, avec nom d'utilisateur et mot de passe obligatoires.

• Au premier niveau, c'est le code source de la page Web qui fournit la solution: le code du script s'affiche en clair et contient le nom d'utilisateur et le mot de passe requis, facilement repérables sans connaître le langage.

• Au deuxième niveau, le script fournit l'adresse du niveau suivant. On l'atteint sans identification. Un jeu d'enfant!

• Au troisième niveau, c'est un fichier Flash (une animation) auquel fait appel le code de la page qui divulgue le sésame pour passer au niveau supérieur. A condition - il fallait y penser - d'ouvrir ledit fichier Flash avec un éditeur de texte.

• Au quatrième niveau, le formulaire d'identification est une petite applet Java qui crée un fichier texte temporaire dans un répertoire de Windows, C'est lui qui ouvrira les portes du cinquième niveau. Même si c'est Kantor qui a fourni les indices, être parvenu à atteindre le niveau 5 avant la fin du cours, c'est plutôt gratifiant

VOILA ... J'espère que cet article vous a plu ... Essayez ce site ... http://www.Try2Hack.com ou http://www.try2hack.nl si vous avez une âme de pirate ...