• Catégories
    • Toutes les catégories
    • Planète Warez
      Présentations
      Aide & Commentaires
      Réglement & Annonces
      Tutoriels
    • IPTV
      Généraliste
      Box
      Applications
      VPN
    • Torrent & P2P
    • Direct Download et Streaming
    • Autour du Warez
    • High-tech : Support IT
      Windows, Linux, MacOS & autres OS
      Matériel & Hardware
      Logiciel & Software
      Smartphones & Tablettes
      Graphismes
      Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
      Tutoriels informatiques
    • Culture
      Actualités High-Tech
      Cinéma & Séries
      Sciences
      Musique
      Jeux Vidéo
    • Humour & Insolite
    • Discussions générales
    • Espace détente
    • Les cas désespérés
  • Récent
  • Populaire
  • Résolu
  • Non résolu
Réduire

Planète Warez
,
  • Politique
  • Règlement
  • À propos
  • Annonces
  • Faire un don
  • Feedback
  • Team
  • Tutoriels
  • Bug Report
  • Wiki
    • Light
    • Default
    • Ubuntu
    • Lightsaber
    • R2d2
    • Padawan
    • Dim
    • FlatDark
    • Invaders
    • Metallic
    • Millennium
    • Leia
    • Dark
    • DeathStar
    • Starfighter
    • X-Wing
    • Sith Order
    • Galactic
ko-fi

[Dossier] Dan Kaminsky: Le hacker aux rollers qui a sauvé Internet

Planifier Épinglé Verrouillé Déplacé Discussions générales
dan kaminskyhacking
2 Messages 2 Publieurs 43 Vues
    • Du plus ancien au plus récent
    • Du plus récent au plus ancien
    • Les plus votés
Répondre
  • Répondre à l'aide d'un nouveau sujet
Se connecter pour répondre
Ce sujet a été supprimé. Seuls les utilisateurs avec les droits d'administration peuvent le voir.
  • Violenceundefined Hors-ligne
    Violenceundefined Hors-ligne
    Violence Admin
    écrit dernière édition par Violence
    #1

    Aujourd’hui les mais, je vais vous raconter l’histoire du mec qui a littéralement sauvé Internet. Non, c’est pas une hyperbole, c’est la réalité [censored]. En 2008, Dan Kaminsky a découvert une faille tellement énorme qu’elle aurait pu transformer le web en Cyber Far West. Mais au lieu de se faire des millions avec, il a choisi de sauver le monde. Vous allez voir, c’est incroyable !


    – Dan Kaminsky - Le génie au plus grand sourire de l’infosec

    Si vous avez bien suivi mes articles précédents, vous devez savoir que les vrais hackers ne sont pas forcément comme les méchants qu’on voit dans les films. Dan Kaminsky, né le 7 février 1979 à San Francisco, c’était l’incarnation parfaite du hacker éthique. À 4 ans, oui, QUATRE ans, son père lui offre un ordinateur RadioShack TRS-80 et à 5 ans, le petit Dan codait déjà ! Pendant que les autres gamins de maternelle apprenaient à lacer leurs chaussures, lui maîtrisait déjà le BASIC.

    Sa mère, Trudy Maurer, aimait dire qu’il était déjà ce qu’il allait devenir à cet age. Ça donne une idée du niveau du bonhomme mais la meilleure histoire de son enfance, c’est ce qui s’est passé quand il avait 11 ans. Accrochez-vous bien : le petit Dan s’amusait à explorer des sites militaires américains. Pour le fun quoi !


    – Le RadioShack TRS-80 - Le premier ordinateur de Dan à 4 ans (source)

    Un jour, sa mère reçoit un coup de fil complètement bizarre. C’est un admin réseau furax qui lui explique que son fils “fouine dans des endroits où il ne devrait pas fouiner”. Le type menaçait de couper Internet à toute la famille pour punir le gamin et la réponse de sa mère fût légendaire : “Si vous faites ça, je prends une pleine page dans le San Francisco Chronicle pour expliquer qu’un gamin de 11 ans peut casser la sécurité militaire américaine.” Résultat des courses, une négociation d’un “timeout” Internet de 3 jours pour la forme.

    Cette histoire, c’est du pur WarGames en vrai !

    Toutefois, le plus dingue dans cette histoire, c’est qu’en 2008, après que Dan ait découvert sa faille monumentale, ce même administrateur est venu le voir à Black Hat pour le remercier et a demandé à rencontrer sa mère ^^.

    Mais parlons maintenant du fameux moment où Dan est devenu une légende absolue : la découverte de LA faille DNS de 2008, connue sous le nom de CVE-2008-1447. Pour comprendre l’ampleur du bordel, faut que je vous explique ce qu’est le DNS. C’est l’annuaire téléphonique d’Internet, quoi. Quand vous tapez “youtube.com”, c’est le DNS qui traduit ça en adresse IP (genre 172.217.18.46) pour que votre navigateur sache où aller chercher les vidéos de chats.


    – DNS Cache Poisoning - Comment empoisonner l’annuaire d’Internet (source)

    Dan a découvert qu’on pouvait empoisonner cet annuaire. En gros, faire croire à votre ordi que google.com, c’est en fait l’adresse d’un site pirate. En gros, vous croyez aller sur le site de votre banque, mais en fait vous êtes sur un site de hackers qui vole vos identifiants. Et ça marchait sur TOUS les serveurs DNS de la planète. Y’a pas une seule machine qui était épargnée !

    Techniquement, le truc exploitait une faiblesse dans la façon dont les serveurs DNS gèrent les requêtes. Avant le patch de Dan, les serveurs utilisaient seulement les ports sources pour valider les réponses. Mais si un attaquant arrivait à deviner le port (y’avait que 65 536 possibilités), il pouvait injecter de fausses réponses DNS. Dan a alors montré comment prédire ces ports avec une précision terrifiante en utilisant des techniques de “birthday attack”.

    Mais alors, la façon dont il a géré cette découverte, c’est du Dan Kaminsky tout craché car au lieu de vendre l’info au marché noir (il aurait pu se faire des millions, sérieusement…), il a contacté Paul Vixie, une légende du DNS chez Internet Systems Consortium, qui par la suite a décrit la gravité du problème en disant que : “Tout dans l’univers numérique va devoir être patché.” Ils ont donc organisé un sommet d’urgence chez Microsoft le 25 juin 2008 avec tous les grands pontes : Microsoft, Cisco, Sun, BIND…


    – Le sommet secret s’est tenu chez Microsoft - Tous les géants de l’IT réunis pour sauver Internet (source)

    Et c’est le 8 juillet 2008 à 18h UTC, que se produit un événement historique : TOUS les vendeurs sortent des patchs simultanément ! Microsoft, Cisco, Sun, Red Hat, Apple… tout le monde en même temps. C’était du jamais vu ! Un effort coordonné planétaire pour empêcher la cyber apocalypse. Bon, bien sûr, y’a toujours des retardataires qui patchent pas, mais l’essentiel était sauvé.

    Ouf !

    Et puis y’a eu LA présentation à Black Hat 2008. Cette présentation, mes amis, c’était du grand spectacle. Dan s’est pointé… en rollers. Oui, en ROLLERS ! Avec un costume-cravate. La salle était tellement bondée que les gens étaient assis par terre, dans les allées, accrochés aux lustres (bon OK, pas aux lustres, mais presque). C’était clairement un danger pour la sécurité incendie, mais tout le monde voulait voir LE Dan Kaminsky expliquer comment il avait failli casser Internet.

    Quand un journaliste lui a demandé pourquoi il n’avait pas utilisé cette faille pour s’enrichir, sa réponse a été vraiment mignonne : il trouvait ça moralement incorrect, et il ne voulait pas que sa mère vienne lui rendre visite en prison…. Cette phrase résume parfaitement qui était Dan, un génie avec une boussole morale inébranlable.

    Alors oui, je sais ce que vous vous dites : “Bon Korben, c’est cool pour le DNS, mais il a fait quoi d’autre ?” Et bien accrochez-vous bien, parce que Dan, c’était pas que le DNS ! En 2005, pendant le scandale du rootkit Sony (vous vous souvenez, quand Sony installait des logiciels espions sur les PC des gens qui achetaient leurs CD ? Non ???), Dan a utilisé une technique appelée “DNS cache snooping” pour mesurer l’ampleur de l’infection.

    Le principe de cette technique, c’était d’interroger les serveurs DNS pour voir s’ils avaient déjà résolu certaines adresses liées au rootkit. Résultat, au moins 568 000 réseaux étaient infectés ! Pendant que les execs de Sony minimisaient le problème en disant “c’est pas grave, c’est juste un petit logiciel”, Dan, lui, apportait des preuves concrètes que c’était un désastre planétaire !


    – Capture d’écran du lecteur CD audio de Sony vérolé, diffusant le cinquième album studio de Switchfoot, Nothing Is Sound (source).

    Et dans une communauté connue pour son discours parfois un peu… comment dire… râleur et parfois misogyne sur Twitter, Dan se distinguait par son empathie totale. Il payait régulièrement les hôtels ou les billets d’avion pour des gens qui voulaient aller à Black Hat mais n’en avaient pas les moyens. Et une fois, il a même payé un billet d’avion à une amie après sa rupture pour qu’elle puisse aller voir son ex et ils se sont mariés plus tard ! Romance level : expert.

    Et puis y’a tous ses projets perso complètement dingue. Par exemple, quand un ami daltonien n’arrivait pas à voir les nuances de vert sur la peau d’un personnage dans Star Trek (ouais, c’est un détail, mais important pour un fan !), Dan a développé DanKam, une app de réalité augmentée pour les daltoniens. L’app accentue les couleurs captées par la caméra du smartphone pour les rendre plus distinctes.

    Et les retours des utilisateurs étaient bouleversants :

    Si j’avais eu cette app y’a 15 ans, j’aurais pu être pilote aujourd’hui,

    Dan, j’ai du mal à voir ton message parce que je suis en larmes de joie.

    Des trucs qui vous retournent le cœur quoi. C’était pas juste une app, c’était un miracle pour ces gens-là.

    Et quand sa grand-mère a eu des problèmes d’audition, au lieu de juste acheter un appareil auditif classique ou de la foutre en EHPAD, il s’est mis à bosser sur des technologies d’appareils auditifs révolutionnaires. Et sa grand-mère était devenue une célébrité à la Black Hat car elle venait régulièrement avec des assiettes de cookies faits maison qu’elle distribuait à tout le monde. Faut imagine la scène avec des hackers en t-shirt noir qui mangent des cookies de mamie entre deux présentations sur l’exploitation d’un buffer overflow. C’est ça, la famille Kaminsky !

    Et quand sa tante dermatologue lui a dit qu’elle ne pouvait plus traiter efficacement les patients atteints du SIDA en Afrique subsaharienne et dans les camps de réfugiés Rohingyas à cause de la distance, Dan a développé des outils de télémédecine pour le National Institutes of Health et AMPATH. Ces outils permettaient de diagnostiquer à distance des problèmes de peau avec juste un smartphone.

    Comme disait sa mère :

    Il faisait les choses parce que c’était la bonne chose à faire, pas pour le gain financier.

    Et surtout, Dan était l’un des sept détenteurs des “clés d’Internet”. Non, c’est pas une blague de geek, c’est du sérieux ! Suite à sa découverte de 2008, le système DNSSEC a été mis en place pour sécuriser le DNS et Dan a été choisi comme l’un des sept “gardiens” ayant une clé physique cryptographique.

    Comme ça, en cas de catastrophe majeure (genre attaque nucléaire, invasion aliens, ou Skynet qui se réveille), au moins 5 d’entre eux devraient se réunir physiquement pour “redémarrer” Internet avec leurs clés. C’est dire le niveau de confiance que la communauté mondiale avait en lui.


    – Les 7 gardiens des clés DNSSEC - Source de la cérémonie

    Ses présentations à Black Hat et DEF CON étaient absolument légendaires à chaque fois, toujours bondées, avec des gens debout au fond, dans les couloirs, partout…etc. Jeff Moss (le fondateur de DEF CON) disait que les keynotes de Dan étaient celles qui attiraient le plus de monde car il avait ce don magique pour expliquer des concepts techniques ultra-complexes de manière élégante et accessible. Et toujours avec le sourire. “Le plus grand sourire de l’infosec”, comme l’a dit quelqu’un après sa mort.

    Car oui, et c’est là que ça devient triste, Dan nous a quittés bien trop tôt. Le 23 avril 2021, à seulement 42 ans, il est mort des complications du diabète de type 1, plus précisément d’une acidocétose diabétique. Sa famille a dû préciser la cause du décès parce que des complotistes avaient commencé à dire que c’était le vaccin COVID. C’est toujours les mêmes connards… même dans la mort, Dan devait se défendre contre la connerie humaine !

    Sa nièce Sarah a répondu avec classe : “Dan aurait ri à l’idée que des théoriciens du complot utilisent sa mort pour propager de la désinformation sur un vaccin en lequel il avait totalement confiance.” Parce que oui, Dan était pro-science, pro-vaccin, pro-tout ce qui peut aider l’humanité.


    – Black Hat 2021 - Hommage émouvant au plus grand sourire de l’infosec

    Les hommages qui ont suivi étaient bouleversants. Matt Devost a dit un truc magnifique : “Aucune des personnes qui connaissait bien Dan ne parle du DNS aujourd’hui. Ils parlent tous de gentillesse, d’énergie débordante, de positivité, d’aventures spontanées, et de comment il travaillait dur pour élever les autres.” DEF CON a même tweeté : “La passion de Dan, sa créativité, son désir d’apprendre et d’enseigner ont vraiment influencé DEF CON et Black Hat dans les premières années. Il est devenu une icône de toutes les manières positives.”

    Jeff Moss travaille maintenant sur un prix “Dan Kaminsky Memorial” pour les chercheurs en sécurité qui incarnent les idéaux de Dan : brillance technique + éthique irréprochable + humanité. Parce que Dan représentait ce qu’il y a de meilleur dans la communauté hacker à savoir la curiosité infinie, l’intelligence [censored], mais surtout l’humanité et l’éthique.

    D’ailleurs, une anecdote que peu de gens connaissent… Dan avait développé en secret un système pour détecter les attaques DDoS avant qu’elles se produisent en analysant les patterns de trafic DNS. Il bossait avec plusieurs fournisseurs d’accès Internet pour implémenter ce système quand il est décédé et le projet est resté dans les tiroirs, mais ses notes techniques continuent d’inspirer les chercheurs aujourd’hui.

    Il avait aussi créé un projet open source appelé Phreebird qui permettait de contourner la censure Internet dans les pays autoritaires en utilisant des techniques de DNS tunneling. Pas mal pour un mec qui voulait juste aider les gens à accéder librement à l’information !

    Ainsi, aujourd’hui, quand je pense à Dan Kaminsky, je ne pense pas qu’au génie qui a sauvé Internet en 2008 mais aussi à ce type absolument rigolard qui débarquait en rollers pour parler de vulnérabilités critiques, qui développait des apps pour aider ses amis daltoniens ou sa grand-mère malentendante, qui payait des chambres d’hôtel pour que des jeunes hackers fauchés puissent assister à Black Hat, et surtout je pense à celui qui a choisi de sauver le monde plutôt que de s’enrichir !

    – Source :

    https://korben.info/dan-kaminsky-legende-securite-internet.html

    V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
    ╚═ Admin, Dev et auteur de la plupart des bugs de PW…

    ░░░▒▒▒▓▒▒▒░░░
    ░░░░░░▓░░░░░░
    ▒▒▒▒▓▓▓▓▓▒▒▒▒
    ░░░░░░▓░░░░░░

    1 réponse Dernière réponse
    :amen:
    2
  • Psyckofoxundefined Hors-ligne
    Psyckofoxundefined Hors-ligne
    Psyckofox
    écrit dernière édition par
    #2

    Encore merci l’ami pour ces sujets très intéressant à lire (et on n’en apprend tous les jours 😁).

    1 réponse Dernière réponse
    :bisou:
    1






©2025 planete-warez.net
L'actualité Warez & underground en continu
Icône café Faire un don
Politique   RGPD  @dev  Sudonix
    • Se connecter
    • Vous n'avez pas de compte ? S'inscrire
    • Connectez-vous ou inscrivez-vous pour faire une recherche.
    • Premier message
      Dernier message
    0
    • Catégories
      • Toutes les catégories
      • Planète Warez
        Présentations
        Aide & Commentaires
        Réglement & Annonces
        Tutoriels
      • IPTV
        Généraliste
        Box
        Applications
        VPN
      • Torrent & P2P
      • Direct Download et Streaming
      • Autour du Warez
      • High-tech : Support IT
        Windows, Linux, MacOS & autres OS
        Matériel & Hardware
        Logiciel & Software
        Smartphones & Tablettes
        Graphismes
        Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
        Tutoriels informatiques
      • Culture
        Actualités High-Tech
        Cinéma & Séries
        Sciences
        Musique
        Jeux Vidéo
      • Humour & Insolite
      • Discussions générales
      • Espace détente
      • Les cas désespérés
    • Récent
    • Populaire
    • Résolu
    • Non résolu