Ghost in the wire
Quoi de plus normal que de commencer cette section de site web par le livre de la personne qui m’a fait découvrir et pousser à m’intéresser à l’infosec. La première fois que j’ai entendu parler de Kevin Mitnik c’était en regardant Takedwon [0], bien que le film avait dressé un mauvais portrait de Mitnik. Beacoup de fausses informations et allégations ont été raconté dans ce film, vous en trouverez les raisons en lisant le livre (ou en regardant le documentaire réalisé par 2600).
Dans Ghost in the wire: My Adventures as the World’s Most Wanted Hacker [1], Kevin Mitnik raconte sa version des faits en commençant ses premiers faits d’armes dans le phreaking [2] alors qu’il était encore un jeune lycéen. À l’age de 17 ans il est arrêté pour la première fois, pour avoir “voler” des manuels des compagnies téléphoniques. On y constate aussi à quel point les bureaucrates sont largués dès qu’il s’agit d’informatique et infosec plus précisément. Le passage de Mitnik devant un tribunal où le procureur demande au juge de refuser la liberté provisoire à Kevin sous prétexte que ce dernier est capable de pirater Norad [3] et de lancer des missiles nucléaires rien qu’en sifflant dans un téléphone en est un parfait exemple !
Avant de lire ce livre, je savais que Kevin Mitnik était un des plus grands social engineering [4], mais en lisant j’ai su pourquoi il l’était (et sans doute le plus grand S.E). Sa capacité à manipuler les gens pour obtenir d’eux ce qu’il veut (informations, mots de passe…) est stupéfiante, effrayante même. Ceux qui ne le connaissent pas ou ne l’ont pas vu à l’œuvre pourront se demander s’il n’exagère pas ses exploits et je peux les comprendre, le lire à plusieurs reprises raconter comment il a réussi à avoir des droits administrateur sur les machines des entreprises rien qu’avec un appel téléphonique, ça peut rendre suspicieux. Détrompez vous, il en est bien capable !
Ce qui m’a le plus plu dans ce livre c’est que non seulement j’ai appris plein de nouvelles techniques de social engineering, mais j’ai aussi pris un immense plaisir à le lire et à le relire (je crois que je l’ai 3 ou 4 fois ces trois dernières années). On peut lire ce livre comme un récit de mémoires mais aussi comme roman où on suit les aventures de ce dernières, notamment la partie où il raconte sa fuite et sa traque par le FBI qui a duré plus de deux ans.
Fin bref, si vous l’avez pas encore lu faites le, vous ne le regretterez pas.
Liens
[0]: http://www.imdb.com/title/tt0159784/
[1]: http://www.goodreads.com/book/show/10256723-ghost-in-the-wires
[2]: https://en.wikipedia.org/wiki/Phreaking
[3]: https://en.wikipedia.org/wiki/Norad
[4]: https://en.wikipedia.org/wiki/Social_engineering_(security)
Sur le même sujet
- Microsoft et les mots de passe, toute une histoire
- Un petit script pour récupérer les URLs des sites web hébergés sur la même adresse IP
- Windows Credential Guard et Mimikatz
- Deux points qui me tracassent à propos de meltdown et spectre
- Full Disclosure : Des emails et mots de passe de la compagnie aérienne Etihad Airways dans l'air
- Comment j'ai pu gagner un accès administrateur sur un serveur Windows 2012 grâce à Google
Si vous avez aimé ce billet, vous pouvez vous inscrire au flux RSS !