Tech

L’ado qui a hacké 150.000 imprimantes pour prouver que l’Internet des objets est à chier

Samedi 4 février, un “lycéen anglais énervé“, comme il se décrit lui-même, était assis devant son ordinateur, écoutant Yung Lean et codant un rootkit, un outil permettant à un utilisateur non reconnu de prendre le contrôle d’un système informatique. Puis il a repensé à des histoires qu’il avait lues récemment sur des sites d’information, concernant des individus qui avaient hacké des imprimantes ; il s’est alors mis à coder un programme très simple sur C.

En quelques heures, pas moins de 150.000 imprimantes connectées à travers le monde se sont mises à cracher des oeuvres d’art en ASCII et des messages informant leurs propriétaires que leurs machines faisaient désormais “partie d’un super botnet.” Le hacker signait son oeuvre, du nom de “Stackoverflowin.”

Videos by VICE

Tout au long de la soirée, et jusqu’au dimanche, des gens ont raconté sur Internet avoir eu affaire aux impressions mystérieuses. Beaucoup d’imprimantes affectées par “l’attaque” appartenaient à des restaurants, ce qui a beaucoup inquiété des employés très étonnés de voir des robots en ASCII jaillir lorsqu’ils tentaient d’imprimer les additions des clients.

 

L’année a déjà été riche en piratages d’imprimantes. Les imprimantes connectées d’au moins trois universités américaines – Stanford, Vanderbilt et Berkeley – ont été piratées et utilisées pour imprimer des tracts antisémites. La même semaine, des chercheurs de l’université de Bochum, en Allemagne, ont publié un article traitant des failles de sécurité sur les imprimantes, tout en lançant simultanément un wiki pour cataloguer toutes les attaques de ce type. Quelques jours plus tard, Stackoverflowin agissait pour attirer l’attention sur ce problème.

Intrigué, j’ai contacté Stackoverflowin via Ricochet, une application de messagerie instantanée anonyme. On a discuté de l’Internet des objets, des backdoors existant sur les biens produits en Chine, et de son mépris pour les “skids”, les gens qui utilisent des scripts ou des programmes pour attaquer des ordinateurs mais manquent des connaissances nécessaires pour créer leurs propres programmes.

Motherboard : Tu as déjà dit que tu avais fait ça pour attirer l’attention sur les failles de sécurité – comment as-tu fait, et comment les utilisateurs peuvent-ils se protéger ?

Stackoverflowin : J’ai envoyé des images sur les imprimantes via le protocole LPD (port 515), l’IPP (port 631), et le port 9100. En plus de ça, j’ai utilisé un RCE (“remote code execution”, une commande permettant au hacker d’installer un code arbitraire sur la machine ciblée), ce qui a affecté le panneau de commandes de Xerox. Je pouvais créer des images et utiliser mon propre PostScript à ma guise. Honnêtement, il faut que les gens déconnectent leur imprimante de l’Internet public s’ils n’en ont pas vraiment besoin. Et si vraiment ils ne peuvent pas faire autrement, il faudrait qu’ils utilisent un VPN pour se connecter au réseau local.

Et tu as automatisé le processus, j’imagine ?

Oui, j’ai créé un petit programme avec C pour faire ça.

bot

Certains des messages que Stackoverflowin a envoyé à des imprimantes dans le monde entier.

Dans les messages, tu disais aux gens que leurs machines faisaient partie d’un botnet, alors que c’était faux. Pourquoi ce choix ?

C’est le premier truc qui m’est venu à l’esprit, et avec toutes les inquiétudes qu’il y a actuellement autour de la sécurité de l’Internet des objets, j’ai pensé que c’était plutôt approprié.


Pourquoi s’attaquer spécifiquement aux imprimantes ? Est-ce l’article de l’université de Bochum qui a attiré ton attention, ou es-tu simplement intéressé par les questions liées à l’Internet des objets ?

Ouais, ça m’intéresse. Je m’étais déjà intéressé aux imprimantes (y’a quelques mois) et je m’étais amusé un peu, mais j’y suis revenu quand j’ai vu des articles sur le sujet. J’essaie de nettoyer un peu toute la merde qui entoure l’Internet des objets depuis début 2015, en gros.

C’est devenu vraiment intéressant quand le botnet Mirai est apparu, et que les gens ont commencé à prendre conscience du problème. Mais je ne m’en suis pas trop mêlé, vu que d’un coup tout le monde s’y intéressait. Franchement, je ne suis pas sûr que les gens réalisent vraiment ce que c’est que l’Internet des objets. Et les médias exagèrent un peu. Les gens se mettent à croire que leurs toasters se font pirater quotidiennement.

Ouais, ils ont peur que quelqu’un s’attaque à leur frigo connecté et que leur lait tourne.

En soi, il y a tout le potentiel pour que les choses tournent mal. La plupart des appareils utilisés dans les attaques sont vendus par une entreprise, mais produits par une autre – souvent par des développeurs chinois qui manquent de rigueur et de compétence. Je dis ça sans racisme. Leur code fait souvent peur, et beaucoup de ces appareils possèdent plusieurs backdoors.

It’s got a massive potential for fucking up. Most of the devices that are used in attacks are sold by one company but manufactured by another—often by sketchy Chinese developers. No racism intended here. Their code is shocking and there are multiple backdoors in a load of internet enabled devices.

“Je n’ai jamais pensé que ce serait aussi énorme, pour être honnête.”


Parle-moi du moment précis du hack. J’essaie de me représenter la scène. On est samedi, et tu t’ennuies chez toi avec ton café, et tu décides de faire un truc marrant ?

Je n’ai jamais pensé que ce serait aussi énorme, pour être honnête. Quand j’ai vu que 158.000 appareils répondaient, j’ai halluciné. Et je ne pensais pas non plus qu’on en parlerait autant. Oui, c’était samedi et j’étais posé chez moi à écouter Yung Lean et à boire du café avec deux sucres. Je crois que je bossais un peu sur Linux, ou alors sur mon kit LD_PRELOAD [un type de rootkit]. C’était juste un soir où je m’ennuyais, franchement.

Certaines des impressions sont signées Michael Jensch, et ton compte Twitter dit que tu es un chercheur de 23 ans qui vit en Allemagne. Mais tu as dit à d’autres que tu étais au lycée en Angleterre.

Oh, Michael c’est mon pote. Il m’a demandé de faire ça. Mais ouais, je suis anglais. Je suis au lycée. Un lycéen énervé qui a foutu en l’air son avenir dans l’informatique.

Franchement j’en doute, vu que personne ne sait qui tu es.

Non, je veux dire dans la vraie vie. Je n’ai pas eu les notes que j’espérais. J’imagine que je vais continuer à faire ce genre de trucs toute ma vie.

À ton avis, pourquoi tu n’as pas eu les notes que tu voulais ? Que penseraient tes profs s’ils savaient ce que tu fais le week-end ?

Je suis obsédé par la programmation. Je faisais ça 14 heures par jour à ce moment-là. Donc ouais, ça a un peu niqué mes résultats. Mon problème, c’est que personne ne remarque ce dont je suis capable. Tous ceux que je connais qui ont mon âge et mes compétences sont soit des hackers malveillants, soit dépressifs. Il n’y a rien pour nous.

Ce serait quoi ton job de rêve ?

J’espère être mon propre patron un jour, et lancer une sorte de startup. Mon job de rêve, ce serait sans doute d’être programmeur, ou consultant en sécurité.

confused

Beaucoup de propriétaires d’imprimantes se sont précipités sur Internet pour tenter de comprendre, comme ici sur un forum Hewlett-Packard.

Tu penses aller à l’université ?

Non, je n’ai pas eu des notes suffisantes pour faire ce que je veux. Maintenant je vais devoir suivre une formation naze que je n’ai pas du tout envie de faire. Enfin, c’est quand même la fac, mais c’est loin de ce que je voudrais faire. J’aimerais vraiment qu’on propose des choses intéressantes aux gens de mon âge qui ont ce type de compétences. Y’a rien de bien, mec. En France, ils ont des écoles de code et tout (comme 42, Epitech, etc.)

Vous n’avez pas de cursus d’informatique au Royaume-Uni ?

Si, ouais, il y en a, mais ils sont affreux. Par exemple, ma filière actuelle s’appelle officiellement “informatique” – mais aucun de mes camarades de classe n’est capable de programmer quoi que ce soit, et aucun n’a l’air très intéressé par le sujet. Il s’agit juste de voir qui peut recopier ce qui est écrit dans le manuel le plus vote. Et ils trouvent ça dur. Il n’y a pas de hackathons, de conférences ou de CTF [Capture the Flags]. Mes compétences en programmation ne me servent à rien. Et ouais, je suis franchement en avance sur les autres à ce niveau-là.

Je vois. J’ai l’impression que ce que tu décris est assez répandu chez les hackers – c’est grâce à la curiosité et au goût des défis qu’on en arrive là, et tout le monde n’a pas ces qualités-là. Pourquoi ne lancerais-tu pas toi-même un truc qui t’intéresserait ?

Je ne connais pas assez de gens. Je ne parle pas de tout ça avec mes amis. Ça n’intéresse personne. Et les profs m’ont déjà assez emmerdé avec l’informatique.

Par exemple ?

Je me suis déjà fait engueuler pour avoir signalé des vulnérabilités, des défaillances. Je faisais ça en dehors de l’école, mais l’école s’en est servi contre moi. J’ai eu BEAUCOUP de problèmes à cause de ça. Même si j’avais fait mon rapport de mon côté, en privé, proprement. J’ai fait ce qu’il fallait faire, mais ça m’a causé des soucis et ils m’ont dit de “ne pas m’en mêler“, alors que le système en question contenait beaucoup d’informations sensibles concernant des étudiants. Mais c’est juste un exemple. Il y a plein de problèmes dans ce genre. On ne s’en sort pas.

Et si tu trouvais d’autres moyens de satisfaire ta curiosité et d’exercer tes talents, tu penses que tu continuerais à hacker des imprimantes ?

Non, je ne ferais plus ça. À moins que… Je ne sais pas vraiment. C’est aussi une histoire de personnalité. Je pense que je ne le referai plus. Je veux passer à autre chose. On en a beaucoup parlé pour de mauvaises raisons, en plus. Aux autres jeunes hackers, je conseillerais de s’entourer d’autres personnes qui pensent pareil et ont les mêmes centres d’intérêt. C’est la meilleure façon de mûrir quand on aime ce genre de choses, parce que ça peut être très solitaire. Et ne soyez pas arrogants. Les gens détestent ça, mais ce n’est pas très compliqué. Ne faites rien de stupide, non plus. Ça finit toujours mal. Et ça inclut le fait d’exposer à Internet des appareils qui n’en ont pas besoin.