Le monde interlope du hacking

Après avoir acquis un bon socle de connaissances techniques en matière d'exploitation des failles diverses et variées en se classant dans le Top 100 de Root Me, pourquoi ne pas continuer cette exploration de l'univers du hacking par une série de lectures sur ceux qui le peuplent, à commencer par ceux qui sont présentés ou qui se présentent comme des hackers ? Après tout, il est toujours bon d'en savoir sur là où l'on met les pieds.
Quelques recherches sur le Ouèbe permettent d'identifier rapidement nombre de livres, d'articles, de podcasts et autres vidéos recommandés pour acquérir quelques repères, et même une vraie connaissance de ce monde-là. Reste à faire le tri pour savoir à quoi il convient de consacrer un temps précieux... La sélection suivante résulte de ces lectures, écoutes et visionnages durant deux mois d'été. Elle sera enrichie au fil des découvertes faites par la suite.
Livres sur le hacking
S'agissant d'une sélection, je me contente de préciser sur quoi porte la source que je recommande, sans préciser pourquoi je la recommande : si elle a été sélectionnée, c'est qu'elle est recommandée ! Et qu'on ne se méprenne pas, aucune de ces sources n'est exclusive d'une autre. Autrement dit, il faut les lire, écouter et regarder toutes !
Mise à jour du 02/03/2023 : Lecture faite de Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers et Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency d'Andy Greenberg - un journaliste, mais un vrai, donc pas français -, dont je n'ai pas encore fait ici la revue, je recommanderais plutôt la lecture de ces deux excellents ouvrages que celui de Nicole Perlroth, qui m'avait bien plu avant que je ne les découvre, mais qui m'apparaît rétrospectivement comme trop emprunter au premier ainsi qu'à l'ouvrage de Fred Kaplan, dont j'ai fait ici la revue, sans apporter grand-chose de nouveau...
Mise à jour du 07/09/2022 : Ajout d'une présentation de Dark Territory: The Secret History of Cyber War par Fred Kaplan (2016).
Continuer la lecture de "Le monde interlope du hacking"
Le monde interlope du hacking

U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 2)

Pour la Saint Valentin 2021, l'U.S. Cyber Command propose dans un tweet de résoudre une douzaine de puzzles de cryptographie. Cliquez ici pour les récupérer. Une excellente initiative qui suscitera peut-être des vocations...
Pourquoi ne pas s'y essayer ? Nous verrons bien où cela nous mène... Je publierai sur ce site les solutions auxquelles je serai parvenu, sous la forme des notes prises chemin faisant, rendant donc compte d'éventuels errements, ce qui sera plus vivant.
Aujourd'hui, la solution du puzzle 2.
Continuer la lecture de "U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 2)"
U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 2)

U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 3)

Pour la Saint Valentin 2021, l'U.S. Cyber Command propose dans un tweet de résoudre une douzaine de puzzles de cryptographie. Cliquez ici pour les récupérer. Une excellente initiative qui suscitera peut-être des vocations...
Pourquoi ne pas s'y essayer ? Nous verrons bien où cela nous mène... Je publierai sur ce site les solutions auxquelles je serai parvenu, sous la forme des notes prises chemin faisant, rendant donc compte d'éventuels errements, ce qui sera plus vivant.
Aujourd'hui, la solution du puzzle 3.
Continuer la lecture de "U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 3)"
U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 3)

U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 5)

Pour la Saint Valentin 2021, l'U.S. Cyber Command propose dans un tweet de résoudre une douzaine de puzzles de cryptographie. Cliquez ici pour les récupérer. Une excellente initiative qui suscitera peut-être des vocations...
Pourquoi ne pas s'y essayer ? Nous verrons bien où cela nous mène... Je publierai sur ce site les solutions auxquelles je serai parvenu, sous la forme des notes prises chemin faisant, rendant donc compte d'éventuels errements, ce qui sera plus vivant.
Aujourd'hui, la solution du puzzle 5.
Continuer la lecture de "U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 5)"
U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 5)

U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge

Pour la Saint Valentin 2021, l'U.S. Cyber Command propose dans un tweet de résoudre une douzaine de puzzles de cryptographie. Cliquez ici pour les récupérer. Une excellente initiative qui suscitera peut-être des vocations...
Pourquoi ne pas s'y essayer ? Nous verrons bien où cela nous mène... Je publierai sur ce site les solutions auxquelles je serai parvenu, sous la forme des notes prises chemin faisant, rendant donc compte d'éventuels errements, ce qui sera plus vivant.
Après avoir consacré pas mal de temps à ces puzzles, je n'en ai résolu que deux : le puzzle 7 et le puzzle 9. Pour les autres, j'ai dégagé des pistes. Comme je dois m'arrêter là pour passer à autre chose, voici ces pistes. Cela aidera peut-être ceux qui sont en galère, et qui voudront pousser plus loin que moi. Je ne fournis pas tout le code que j'ai écrit pour tester de nombreuses solutions...
Bien entendu, le jeu est de parvenir à trouver les solutions tout seul. Je m'y emploierai de nouveau à l'occasion, et je publierai les solutions si j'en trouve...
Continuer la lecture de "U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge"
U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge

U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 9)

Pour la Saint Valentin 2021, l'U.S. Cyber Command propose dans un tweet de résoudre une douzaine de puzzles de cryptographie. Cliquez ici pour les récupérer. Une excellente initiative qui suscitera peut-être des vocations...
Pourquoi ne pas s'y essayer ? Nous verrons bien où cela nous mène... Je publierai sur ce site les solutions auxquelles je serai parvenu, sous la forme des notes prises chemin faisant, rendant donc compte d'éventuels errements, ce qui sera plus vivant.
Aujourd'hui, la solution du puzzle 9.
Continuer la lecture de "U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 9)"
U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 9)

U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 7)

Pour la Saint Valentin 2021, l'U.S. Cyber Command propose dans un tweet de résoudre une douzaine de puzzles de cryptographie. Cliquez ici pour les récupérer. Une excellente initiative qui suscitera peut-être des vocations...
Pourquoi ne pas s'y essayer ? Nous verrons bien où cela nous mène... Je publierai sur ce site les solutions auxquelles je serai parvenu, sous la forme des notes prises chemin faisant, rendant donc compte d'éventuels errements, ce qui sera plus vivant.
Aujourd'hui, la solution du puzzle 7.
Continuer la lecture de "U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 7)"
U.S. Cyber Command Valentine’s Day 2021 Crypto Challenge (Puzzle 7)

Hackflash #5 : Ecrire un shellcode

Un shellcode est un petit programme dont il faut déclencher l'exécution, généralement en écrasant l'adresse de retour d'un programme dans la pile (la valeur de EIP empilée par le CALL du programme appelant) au moyen d'un buffer overflow.
Ecrire un shellcode
Qu'est-il attendu d'un shellcode, et quelles sont les contraintes qui imposent son écriture en assembleur ?
Continuer la lecture de "Hackflash #5 : Ecrire un shellcode"
Hackflash #5 : Ecrire un shellcode

Hackflash #4 : Déboguer avec GDB : un bref didacticiel

Qui veut en apprendre plus sur le shell coding ne peut faire l'économie de se mettre à l'assembleur et d'apprendre à déboguer des programmes écrits en C ou C++ avec le très fameux GNU Project Debuger, "GDB" pour les intimes.
Bien évidemment, les didacticiels pour apprendre à utiliser GDB sont légion. Toutefois, pourquoi ne pas apporter une pierre de plus à l'édifice en présentant aussi succinctement que possible les principales commandes afin de faciliter une première prise en main, qui permet d'approcher le monstre avant de rentrer dans les entrailles de sa documentation ?
Dans ce petit didacticiel, il s'agira donc de déboguer un programme C des plus élémentaires compilé avec GNU Compiler Collection, "GCC" pour les intimes, dans Kali Linux.
Continuer la lecture de "Hackflash #4 : Déboguer avec GDB : un bref didacticiel"
Hackflash #4 : Déboguer avec GDB : un bref didacticiel

Root Me : racine-moi, si tu l’oses !

Lorsque je me suis intéressé à la sécurité informatique, je n'ai pas bien su pas où attaquer la chose. Finalement, je me suis décidé à l'attaquer à sa racine, Root Me étant là pour ça.
Le site de Root Me, avec son trop cool de logo
La sécurité informatique est un vaste domaine, c'est le moins que l'on puisse dire, d'autant plus que certains s'emploient à l'étendre joyeusement. Sans doute, dans la vie professionnelle, il faut savoir ravaler son domaine d'expertise pour l'accorder aux couleurs du temps, quitte à forcer un peu sur la peinture. Reste que cela ne va pas sans générer une certaine confusion. Pourquoi pas un "Grenelle du cul", avait proposé Roselyne Bachelot, lassée que l'on promette un Grenelle sur tout. On voit l'idée.
Pour y mettre un pied – dans la sécurité informatique, pas au cul –, j'ai déterminé que je partirai de la base, c'est-à-dire de la technique, et qu'après avoir acquis un vernis, je ferai des choix. Toutefois, passé un certain temps à lire quelques documents et regardé quelques vidéos portant essentiellement sur les techniques d'intrusion analysées par des pentesteurs, il m'est apparu impossible de vraiment assimiler des connaissances sans m'adonner à une pratique assez intense, les sujets, même à ce niveau et dans cette spécialité, étant trop divers.
Pirater le réseau WiFi du voisin étant exclu, les MOOC m'ont semblé tout indiqués. Reste qu'après en avoir tâté un peu, je n'ai pas trouvé la motivation pour m'y investir plus que quelques heures. Le problème, c'est que ce n'était pas le challenge. On était loin de l'ambiance demoparty, "elite rulez", ou "l337 rUl32" comme on dit maintenant, et tout ce qui tire vers le haut parce que c'est compliqué, et parce que c'est reconnu. Sorti de l'arène, le gladiateur s'ennuie.
Le salut devait venir d'ailleurs. Au hasard d'une rencontre – enfin, c'était une réunion traitant de cyberdéfense, donc le caractère fortuit est somme toute très relatif –, j'ai eu l'occasion de rencontrer quelqu'un pratiquant quelque chose de tout à fait passionnant, le forensics. Le gaillard, à qui j'ai exposé mon problème, m'a alors renvoyé sur Root Me.
Mise à jour du 31/08/2022 : C'est un peu Hacker's Quest: So You Want To Be A Hacker en plusieurs chapitres désormais. Après l'acquisition du socle technique, celle du socle culturel ici.
Mise à jour du 03/07/2022 : Pour finir, car tout fait son temps, classé au Top 100. Un conseil ? Aussi difficile que cela puisse être : n'abandonnez jamais.
Mise à jour du 30/01/2020 : Cet article a été rédigé il y a quelques mois, et n'est publié que maintenant sur ce blog pour être synchrone avec sa publication dans Programmez! Depuis, l'eau a coulé sous les ponts, m'étant adonné à bien d'autres challenges sur Root Me. Cryptanalyse, Web-client, Web-serveur et stéganographie pour l'heure : je confirme qu'ils sont tout aussi instructifs et prenants !
Continuer la lecture de "Root Me : racine-moi, si tu l’oses !"
Root Me : racine-moi, si tu l’oses !