Hacking the box for fun and profit

Samedi, en suivant la formation Koudetat+, j’ai assisté à un cours d’Oussama Ammar sur le Mindset Hacker. Excellent, comme toujours, ses propos ont aussi été l’occasion pour moi de me replonger plus de 10 ans en arrière, à l’époque glorieuse ou être un hacker pouvait vous conduire en prison.

« Hacking » est devenu un terme tendance. Growth Hacking, SEO white hat, Hackers on the runway… Si même la mode s’y met. Pourtant les gens n’ont pas conscience encore aujourd’hui à quel point cette culture underground à façonné de son empreinte la société dans laquelle nous vivons.

En 1972 deux jeunes hackers fabriquent et commercialisent un petit appareil électronique qui permet de téléphoner gratuitement et illégalement dans le monde entier. Cet appareil, une Blue Box, est la première réalisation de ce duo célèbre, qui quelques années plus tard créera une société aujourd’hui mondialement connue qui a révolutionné l’informatique, le baladeur et la téléphonie mobile : Apple.

En 1987, un article du journal Le Monde parle d’un jeune hacker d’une vingtaine d’années qui a piraté l’Elysée. Quelques années plus tard, il créera le groupe Iliad, la maison mère d’une société qui a révolutionné l’accès à Internet et la téléphonie en France : Free. On pourrait aussi parler de l’école 42, de Kima Ventures, de la Halle Freyssinet, ou du rachat du journal Le Monde. Merci Xavier Niel.

En 1987 toujours, en Australie cette fois, un jeune hacker s’illustre en piratant le Pentagone, la NASA, et pas mal d’autre systèmes informatique d’importance. Arrêté, et jugé quelques années plus tard sa peine sera légère en raison de l’absence d’intentions malhonnêtes. Bien qu’il soit à l’origine d’un des premiers fournisseur d’accès internet d’Australie ce n’est pas pour cela qu’il est connu. Son nom, c’est Julian Assange, il est le fondateur de Wikileaks.

Ces exemples ne sont que la partie émergé de l’iceberg. De la scène française, en plus de Xavier, je pourrais vous parler de Neuralien, fondateur de l’ezine culte Noway et qui est à l’origine du premier fournisseur d’accès internet français, ou encore des fondateurs d’Allociné ou de Deezer. Je pourrais aussi vous parler de Facebook bien sur, quand Mark réalise Facemash mais aussi dans la structuration même de son entreprise qui peut être résumé par son ancien motto « Move fast and break things », ou bien encore de Google dans une certaine mesure.


Si le sens du mot hacker a profondément évolué depuis son origine au MIT, il conserve une certaine constance. Hacker un système informatique, c’est y accéder d’une autre manière que celle qui a été prévu. Hacker un objet c’est l’utiliser pour un autre usage (et/ou d’une autre manière) que celui pour lequel il a été conçu. Hacker c’est penser différemment (spécial dédicace Apple), c’est envisager des solutions que personne n’envisage. « Ils ne savaient pas que c’était impossible, alors ils l’ont fait » – Mark Twain. On comprend ainsi pourquoi beaucoup de hackers deviennent des entrepreneurs à succès. Le hacking est au cœur même de tout processus d’innovation.

Les gens en général suivent les lignes, les hackers franchissent les lignes, les hackers font bouger les lignes. La plupart des comportements humains sont basés sur le mimétisme, les gens agissent comme ils le font car ils ont vu d’autres gens agir ainsi. Le hacking est fondamentalement une façon de penser anti mimétique. Si une personne est la première à se rendre quelque part, ceux qui vont au même endroit marcheront dans ses traces. Le hacker c’est celui qui se rend au même endroit, mais qui se demande s’il n’y aurait pas un chemin plus rapide. C’est celui qui sort du groupe et emprunte le premier de nouveaux chemins. Une pensée à l’opposé du « On a toujours fait comme ça et ça marche très bien ainsi, pourquoi essayer autre chose ? ».

Il y a la un lien assez évident avec ce que les psychologues appellent le divergent thinking, une forme de pensée créative liée à l’imaginaire qui se distingue de la pensée purement logique. Un bon hacker doit avoir une pensée logique, ne serais-ce que pour coder ou raisonner efficacement sur des datas, mais il doit aussi faire preuve d’imagination. Il ne suffit pas de se dire qu’il doit exister de meilleurs chemins, il faut aussi être capable de les trouver. A ce propos, j’ai toujours un sourire quand j’entends parler de recettes de growth hacking, c’est presque antinomique. Bien sur, un bon hacker ne réinvente jamais la roue, et il connait idéalement toutes les recettes de ses pairs qu’il sait appliquer quand nécessaire, mais ce qui fait le propre d’un hacker, c’est sa capacité à inventer de nouvelles recettes.

En ce sens, plus large que celui employé au début, le premier singe d’un groupe à fabriquer une paille pour aspirer des fourmis est un hacker, Andrew Wiles qui invente de nouveaux outils pour démontrer le dernier théorème de Fermat est un hacker, Céline Lazorthes qui démarre Leetchi sans voir comme un obstacle la nécessité d’obtenir un agrément bancaire, et qui déploie ensuite la solution MangoPay est une hackeuse, Les fondateurs de TheFamily qui réinventent l’accélération de startup, tout en s’inspirant d’Y Combinator sont des hackers…

Pour finir, je dirais que ce n’est pas qu’une question d’intelligence, ni même d’imagination. C’est aussi une question de courage et de détermination. Hacker, c’est avoir l’idée d’une manière différente de mieux faire les choses, mais c’est aussi souvent prendre un risque. La plupart des gens ont de bonnes idées, la plupart des gens pourraient être des hackers, mais beaucoup n’ont pas le courage d’aller à contre courant du conservatisme, de bousculer la hiérarchie en place, de se battre pour leur idées, de renoncer à leur confort… Prendre le risque de créer une entreprise innovante est par essence un acte de hacking.


Je n’avais jamais écrit depuis 2004 sur la scène hack française. Glorieux souvenirs. Les nuits passées sur IRC, la lecture de Noway et Noroute, l’assembleur et mes premiers shellcodes, ADM, Cryptel, FrHack, RTC, DevHell, le magazine Phrack, les articles dans Hackerz Voice, la fondation du forum Satbidouille, les serveurs en Israël, en Chine, en Europe de l’est, l’arrestation par le BEFTI d’une partie de la team. J’ai quitté la scène à ce moment la, le bac en poche, j’ai passé les années suivantes à jouer à Magic the gathering en gagnant ma vie grâce au poker, mais ça, c’est une autre histoire.


Notes
[1] – le titre de cet article (Hacking the box for fun and profit) est une référence à l’article Smashing the stack for fun and profit d’Aleph One. Cet article a popularisé la technique d’exploitation de vulnérabilité par débordement de tampon.

[2] – Box, c’est ici la boite, l’entreprise, avec un clin d’œil pour la Blue Box qui a été au phreaking ce que les buffer overflow sont au hacking.

[3] – Fun, car tout acte de hacking, toute entreprise doit être une source d’amusement. Profit, car une entreprise doit générer du profit. Pour autant, je ne pense pas que la finalité d’une entreprise soit de générer du profit. A mes yeux, la finalité d’une entreprise est de rendre le monde meilleur en apportant des produits ou des services qui améliorent la vie des gens. Le profit n’est qu’un moyen de mesurer l’impact d’une entreprise sur le monde, et de lui fournir des ressources suffisantes pour vivre, innover et continuer à proposer de nouvelles choses. Apple et Google sont les premières capitalisations boursières au monde car se sont les deux entreprises qui contribuent le plus à changer le monde. Les entreprises pétrolières ont aussi une capitalisation élevée, car l’essence et les voitures sont utiles aux gens et en ce sens rendent le monde meilleur. Bien sur on peut discuter de la captation des ressources naturelles par ces compagnies et de leur rente, mais c’est un autre sujet qui démontre juste que le système n’est pas assez efficient, et qu’il doit être hacké.

[4] – The Conscience of a Hacker – The Hacker manifesto

[5] – On parle aujourd’hui de white hat hacker et de black hat hacker pour différencier les bons des mauvais hackers (sous entendu, mal intentionnés). C’est un sens dérivé du sens original, une déformation de journaliste parmis tant d’autres. A l’origine, c’était principalement une question de disclosure. Doit-on rendre publique ou non une faille de sécurité découverte ? Oui pour les white hat (avec le risque de voir la faille massivement exploité avant d’être patchée), non pour les black hat (avec le risque de ne jamais voir la faille corrigé et/ou patchée). La bonne pratique de base était évidement de contacter l’éditeur du programme vulnérable. La question du disclosure vient après et est beaucoup plus complexe qu’une simple vision manichéenne du type bon ou mauvais hacker.

[6] – Le pseudo « Aleph One », l’auteur (entre autres choses) de « Smashing the stack for fun and profit » vient du cardinal du même nom de la théorie des ensembles. C’est le premier cardinal indénombrable. En 1891, Greg Cantor a démontré à l’aide de l’argument diagonal que l’ensemble des nombres réels n’est pas dénombrable. En d’autres termes il n’existe pas de bijection possible entre les entiers et les réels, tous les ensembles infinis n’ont pas la même taille. C’est un « hack » magnifique qui sera ensuite réutilisé par Turing pour résoudre le problème de l’arrêt puis par Gödel dans son célèbre théorème d’incomplétude.

[7] – Utilisation de l’argument diagonal pour démontrer que les nombres réels sont indénombrables : Considérons une liste infini de nombres entre 0 et 1. La question étant, cette liste peut-elle contenir tout les réels ? La réponse étant évidement non.
En effet, raisonnons par l’absurde, et supposons que oui. Notons A(n) le n-iéme nombre, et Φn(m) la m-iéme décimale de A(n). Soit β le nombre dont la n-iéme décimale soit égale à 1 – Φn(n). Si ce nombre était dans la liste il existerait un entier K tel que quel que soit n, 1 – Φn(n) = Φk(n). En prenant n = K, on obtient 1 = 2Φk(K), donc 1 est un nombre pair. Ce qui est absurde. Donc ce nombre ne peut être dans la liste.

[8] – Turing est le père de l’informatique. On lui doit entre autre chose le concept de machine de Turing qui préfigure le fonctionnement de l’ordinateur moderne. Condamné en 1952 à la castration chimique en raison de son homosexualité, il se suicidera 2 ans plus tard en croquant dans une pomme imbibée de cyanure. Une image qui n’est pas sans rappeler le logo d’une célèbre marque, bien que ce ne soit ici qu’une coïncidence.

[9] – Il y a un peu plus d’un an déjà, Aaron Swartz qui a participé entre autre à l’élaboration du RSS et de Markdown s’est donné la mort. Il était poursuivi par la justice américaine pour avoir téléchargé et mis à disposition des articles scientifique. Il encourait une peine d’emprisonnement de 35 ans, et 1 million de dollars d’amende. RIP.

1 Comment Hacking the box for fun and profit

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *