Gravatar couramment utilisé Blog perso de Paul Da Silva

On a tous été jeunes

Posted on | juin 8, 2012 | 11 Comments

On me demande souvent comment j’ai commencé à m’intéresser à la sécurité, je pense que ce jour là a été un des déclencheurs qui ont fait que c’est devenu mon métier. Petit billet d’humeur en ce trolldredi pour vous raconter une anecdote de l’époque bénie où j’étais (inscrit) à l’IUT.

Ce devait être en 2007 ou 2008 (putain le coup de vieux !), à l’IUT de Montreuil lors d’une pause déjeuner. La coutume était souvent la même : les étudiants allaient manger tous en même temps et se retrouvaient ensuite dans les quatre salles info pour jouer ou avancer leur projets… Ouais bon, pour jouer !

Avec un groupe d’amis – bande de pochtrons ! – on a un peu perturbé cette pause là en particulier…

Alors que tous les étudiants se dirigeaient vers la cantine on se dirigeait vers les salles info, une clef USB en main. Munis des logins / mots de passe des comptes de test des salles info (qu’on avait récupéré un peu plus tôt dans un script de génération LDAP qui trainait) on a allumé et loggué toutes les bécanes sur les comptes en question.

Sur la clef USB une simple page en php et une image de fond. Le tout donnait une impression presque crédible de la page de login d’Ubuntu (version de l’époque installée sur les machines), une fois copiés dans le dossier approprié il suffisait d’ouvrir la page en question dans un navigateur et d’appuyer sur F11 pour mettre l’affichage en plein écran. La page se chargeait dès lors d’afficher un message d’erreur et de stocker les données entrées dans un fichier .txt…

Un simple file_put_contents.

Branchés sur le wifi avec nos laptops et / ou téléphones on se positionne à l’étage en dessous, dans une salle de cours non-utilisée et on attend, le doigt sur le F5.

Le résultat fut à la hauteur de nos espérances, et en une après-midi on a ainsi vu défiler les logins et mot de passe de tous les utilisateurs essayant de se connecter… Jusqu’à l’administrateur qui avait été sollicité pour résoudre le problème de login et n’y comprenait pas grand chose de plus que les autres…

La leçon à tirer de cela (au delà du fait que certains souvenirs de l’IUT me resteront à vie) ? Ne pas utiliser le même mot de passe partout, ne pas faire confiance à n’importe quelle machine, une vocation vient souvent d’une connerie, même les responsables font des erreurs, … ne rayez aucune mention inutile.

Don’t try this at home, certains pourraient très mal le prendre 😉

Commentaires

11 Responses to “On a tous été jeunes”

  1. Vincent
    juin 8th, 2012 @ 14 h 05 min

    Ah nostalgie,

    Cette joie de voir les comptes s’afficher sur le bon vieux HTC 😀

    c’était le bon temps !

  2. Paul
    juin 8th, 2012 @ 14 h 07 min

    L’époque où tu venais encore aux soirées… Lâche !

  3. Amine
    juin 8th, 2012 @ 14 h 07 min

    Haha je m’en souviens aussi ! Pauvre Fred … 😉

  4. Vincent
    juin 8th, 2012 @ 14 h 30 min

    Cet hiver je reviens, normalement je ne serais plus dans ma campagne ;D dès que j’achète, je reviens !

  5. Serianox
    juin 8th, 2012 @ 17 h 58 min

    D’où l’intérêt du Trusted Path et du One-Time Password dès que l’on se retrouve en milieu hostile. 🙂

    p.s. laisser sur un réseau local un serveur accessible avec un mot de passe est aussi un excellent honeypot; beaucoup de curieux vont tester tous les mots de passe qu’ils ont sous la main ! 😉

  6. Yannick
    juin 8th, 2012 @ 20 h 05 min

    Parles pas de coup de vieux, pendant mes études, les clés USB et Ubuntu n’existaient même pas!

  7. Olivier
    juin 10th, 2012 @ 21 h 51 min

    Cette méthode fonctionnait déjà en 1987 à l’IUT de Paris 5 où avec 2 copains on a fait la même chose sur des machines sous Unix en écran texte : bilan, le mot de passe root qui a tenu les 2 années de l’IUT.

    Ce sont encore les techniques les plus simples qu i sont le plus efficaces !

  8. Nono’s Vrac 71 « m0le'o'blog
    juin 10th, 2012 @ 23 h 56 min

    […] On a tous été jeune Les années IUT, que des bons souvenirs :p […]

  9. H3
    juin 11th, 2012 @ 0 h 18 min

    Hum, c’est un coup à se faire virer (attention, je ne fais pas la morale, j’ai fait des trucs similaires sinon pire)

    Pas ex. le script bash qui recule l’horloge d’une minute toutes les 3 minutes au boulot (le journée pouvait paraitre trèèèèès longue pour certains…

  10. TiPi Com and Web
    juin 11th, 2012 @ 11 h 12 min

    Comme quoi, ce sont souvent les IUTs qui sont le plus mal chaussés 😉

  11. AlexNogard
    juin 12th, 2012 @ 13 h 56 min

    Ca me rappelle mes années lycées, ces années qui m’ont fait trouvé ma voie,
    Je m’y connaissais déjà plus que « l’informaticienne ».
    J’avais récupéré des centaines de PW grâce à Cain&Abel, je possédais tous les logins/PW des profs, en effet, ils utilisaient un logiciel de remote desktop pour surveiller les élèves (j’ai oublié son nom), chaque poste avait la version cliente, un jour j’ai téléchargé la version serveur … et miracle … j’avais accès à tous les ordinateurs du lycée en remote, à la pause déjeuné, je tapais des blank screen sur les ordinateurs salle des profs, j’installais Cain&Abel, et je dumpais tous les PW :).

    Et le must se fut quand j’ai réussi à m’introduire dans un des PC « master » on va dire, j’ai désactivé anti-virus, installé un keylogger, et en 2 semaines, j’ai eu accès root au serveur :).

    En seconde, j’avais déjà dump le root en … 3s (le PW était thea), mais après ils ont opté pour une plus grosse politique de sécurité, le PW était CGNPDC2007 (conseil général nord pas de calais 2007 ….)

    Voila pour ma petite histoire 😀

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining