SQLpwn
Pour ce deuxième épisode de Noël KeoTien, nous retrouvons ici Melissa, l’héroïne d’une nouvelle de mon recueil Éclats de silicium (« Là, on va passer à une tout autre échelle »), et également de mon roman Conditions Générales d'Usurpation, paru en mars 2021.
Ici, nous sommes environ 4 ans avant les événements racontés…
— Attention, une grenade !
Je lève les yeux trop tard, l’espèce de balle en mousse me touche en plein front. Ça fait pas mal du tout, mais je sursaute. Mauvais plan avec un verre rempli à la main. Le coca s’étale sur les replis de mon sweat. Il y a même quelques gouttes sur l’écran de mon portable.
Putain.
L’éclat de rire prépubère me donne encore plus d’envie de meurtre.
— Oups, c’est pas toi que je visais, Melissa !
Avant que je dise un truc méchant à mon petit frère, Keith lui balance la « grenade » à son tour. Elle rebondit doucement sur son pull, et son smartphone émet un bruit d’explosion.
— Aaarg…
Tommy s’écroule sur le tapis dans une scène de mort dramatique. En manquant rouler dans les jambes de maman au passage.
— Calmez-vous, les enfants…
Comme souvent, j’ai l’impression pénible qu’elle m’inclut dans le lot. Et Keith avec. Genre, à 16 piges, ça change rien, on est toujours au même point. 17, même, pour lui, bientôt.
Enfin, bon, j’ai d’autres préoccupations pour l’instant. Comme la tache collante de soda sur toute la poche de mon sweat.
Je me penche vers Keith pour pas que ma mère entende, sinon elle va encore râler et dire que je suis trop dure avec eux, etc., etc. Surtout aujourd’hui. Esprit de Noël, tout ça…
— Tu parles qu’ils vont se calmer. Fallait surtout leur filer les cadeaux qu’en fin de soirée ou demain. Là, c’est mort.
— Ça va, ils sont gentils tes frangins. Et c’est un truc de ouf leur matos, des flingues et des bombes en réalité augmentée, on aurait surkiffé à l’époque !
Ouais, j’avoue qu’on aurait bien fait les cons aussi. Reste que ça piaille, ça s’agite, ça me fait renverser mon coca, et c’est lourd.
Enfin, bon.
Je soupire :
— J’en étais où ?
— Tu voulais me montrer une vidéo, je crois. Sur un truc de hacking !
— Ah, oui !
Je regarde le chaos de papier cadeau déchiré, de boîtes ouvertes et de jouets éparpillés. Bradley est caché derrière un fauteuil, il tire en direction de Jen, allongée sous la table, pendant que Tommy fait le mort là où la « grenade » l’a « tué ». Des détonations fusent dans tous les sens depuis leurs portables, qui vont finir avec l’écran fissuré avant la fin de la soirée s’ils continuent comme ça.
Ça fait marrer mon oncle, qui est en train de mettre le couvert malgré ce foutoir. Je crois que c’était son idée, ce cadeau.
Je demande à Keith :
— Ça te dit pas qu’on aille au calme, un peu ? On va pas manger avant un moment, papy et mamie sont pas encore arrivés.
Tonton Zach intervient à la place de son fils, comme il fait souvent – et ça énerve Keith :
— Oui, il y a le temps. Ils ont encore dû se planter avec le GPS et prendre l’autre périph.
On se lève du sofa en essayant de ne pas écraser un gadget en plastique quelconque. Traverser le salon est un parcours d’équilibriste, en guettant à chaque instant qu’un Bradley ou une Jen en furie ne déboule pas en travers du chemin.
Le silence relatif fait du bien, quand je referme la porte de ma chambre derrière nous.
Je m’assieds sur le lit, mon smartphone en main, et Josh déambule dans la pièce en trifouillant des trucs du décor. Il demande :
— Alors, cette attaque SQL, t’as la vidéo ?
Une idée me vient.
Mais oui.
Putain.
Je souris :
— En fait, je pourrais carrément te montrer une injection SQL en vrai !
Il se retourne comme si j’avais sorti la révélation du siècle, les chaînes et les trucs de punk accrochés à son jean cliquettent dans tous les sens.
— Sérieux ? Tu fais du hacking alors ?
Ouais, j’avoue, je suis fière du petit effet d’annonce.
— Un peu !
Sourire conspirateur, il plisse les yeux.
— Je m’en doutaaaais ! C’est énorme !
Je chope l’ordi portable posé au bout du lit, le déplie pour le sortir de veille. Josh se laisse tomber à côté de moi. Il regarde l’écran d’accueil Kali Linux et les étoiles de mon mot de passe à 22 caractères comme si j’étais en train de hacker le Pentagone.
Ma main frôle la tache poisseuse sur le devant de ma poche ventrale. Je grimace.
— Merde, tiens-moi ça…
Je colle l’ordi sur les genoux de Josh, enlève mon sweat crados et le balance dans le tas de fringues sales qui traîne.
— Eh, c’est dans Mr. Robot, ça, non ?
Sur mon t-shirt, le gros slogan FSOCIETY s’étire sous le visage moustachu du masque du gang hacktiviste. Je souris :
— Ouais ! T’as regardé la série, ça y est ?
— Pas encore… J’les ai pas chopés…
J’oublie toujours que le niveau de compétence geek de mon cousin se limite à allumer un PC et se connecter à son profil Sparkles Links. Vaut mieux pas qu’il cherche des sites de trucs warez, en fait, il cliquerait sur tous les liens infectés possibles.
— Faut que je te passe les épisodes, rappelle-le-moi tout à l’heure !
Je reprends le PC. Parmi mon tas de terminaux de commandes déjà ouverts, je vérifie que le VPN est bien activé.
Tout en craquant mes phalanges (ouais, d’accord, je frime un peu), je demande à Josh :
— Tu veux qu’on attaque quoi ?
— Ben euh… je sais pas, ça marche comment ?
— Dis ce que tu veux, on verra ce que je peux faire !
Il masse son menton où des poils de barbe se battent en duel. Ça fait bizarre, avec les cheveux courts et maintenant qu’il a besoin de se raser, on se ressemble moins qu’avant. C’est logique pour la barbe, ouais, mais bon.
Je devine à son regard qu’il a une idée un peu dingue.
— Un truc du gouvernement ?
Je cille.
— Wow, eh, je suis pas encore Elliot Alderson, non plus, hein !
Je réfléchis quand même à ce qu’on pourrait dégoter…
— Ah mais je sais, par contre !
Josh incline la tête, attentif.
— Ouais ?
— Y’a des forums et des sites pas liés directs aux fédéraux mais qui sont dédiés pour eux, enfin, de façon informelle quoi. Ils discutent de trucs autour du boulot, des concours, des admissions, et tout.
Il hausse les sourcils.
— D’où tu connais ce genre de trucs, toi ?
Est-ce que je vais avouer à l’anarchopunk que j’ai cherché « comment entrer à la NSA » ? Mouais.
— Comme ça… Mais donc ouais, ce genre de sites, ils sont pas gérés par le gouvernement donc la sécurité sera pas forcément terrible.
— J’suis sûr qu’ils ont une sécurité de merde, les fédéraux, aussi.
— Faut pas exagérer non plus, ils font des conneries comme tout le monde sur internet, mais ils ont quand même des pointes qui bossent dessus.
Je cherche quelques combinaisons de termes, ouvre le premier forum que je vois passer. L’interface est basique, sobre, classique d’un truc géré direct à partir d’un schéma tout prêt par un fournisseur de service. Et donc, d’un administrateur pas super au point techniquement.
Parfait !
Je montre la barre d’adresse.
— Tu vois, là, je vais tester un truc, voir si ça va pouvoir le faire.
Je supprime la fin de l’URL et remplace par une des requêtes classiques. Entrée.
Ça charge.
Et bam !
La page d’une exception SQL apparaît, avec toute les infos d’identification de l’erreur et le résultat verbose ligne par ligne.
Je dois avoir un rictus de méchante clichée. J’imagine. Josh a juste l’air largué.
— Et c’est quoi tout ça ?
— C’est qu’on va pouvoir s’amuser un peu !
J’ouvre un terminal de plus, lance le petit programme chopé il y a quelques jours. L’interface de SQLpwn apparaît en affichage graphique. Je copie-colle l’URL du forum dans le champ « cible ». Quelques clics, je liste les tables de la base de données.
Utilisateurs.
Clic.
Je lance l’extraction des colonnes.
Des lignes se mettent à défiler, adresse e-mail, nom d’utilisateur, mot de passe qui ont l’air « protégés » avec un vieux hachage pourri.
Là, Josh est scotché.
— Wow, putain… C’est… c’est tous les gens inscrits sur le forum, ça ?
— Eh ouais.
— Mais c’est complètement ouf, ton truc !
J’avoue que j’ai bien envie de savourer l’admiration, je vais pas lui dire tout de suite que c’est tout con, en fait. J’en rajoute même une couche :
— Et là tu vois, ces trucs là, c’est les mots de passe. Ils sont chiffrés par un algorithme pour les sécuriser mais c’est un système de merde qu’ils ont utilisé. On pourrait les cracker super facilement si on voulait !
J’allais refermer SQLpwn sans enregistrer quoi que ce soit, mais Josh lance :
— Attends ! Tu vas tout supprimer ?
— Bah, ouais ?
— Tu veux pas les cracker justement ?
Je fronce un peu les sourcils.
— Pour quoi faire ?
— Je sais pas, c’est toi qui t’y connais ! On peut faire quoi avec des trucs récupérés comme ça, des mots de passe, des noms d’utilisateurs, des e-mails ?
— Eh ben, ça peut servir à essayer d’accéder à d’autres comptes, les gens utilisent souvent le même mot de passe partout, donc avec un programme on peut faire tester les combos des deux sur plein d’autres sites…
On dirait que Josh a une illumination. Il m’attrape par l’épaule comme s’il allait me dévoiler le sens de la vie, de la mort, de la réponse 42.
— Meuf. C’est des fédéraux sur ce forum, non ?
Il se penche vers l’écran, fait défiler la liste des entrées de la base de données.
— Là ! Regarde.
Oh putain.
L’adresse qu’il me montre.
« @fbi.gov »
Je crois deviner ce qu’il va dire.
— On prend son adresse e-mail, à ce mec, et on se connecte sur genre, je sais pas, l’intranet du FBI ou quoi.
Eh ouais. Il l’a dit.
Un silence.
Je dis juste :
— Wow.
Mon cerveau tourne à fond. Est-ce qu’un agent du FBI peut avoir été assez con pour utiliser le même mot de passe entre son boulot et un forum mal foutu niveau sécurité ? Et si ouais, si ça marche ? Il va se passer quoi ?
J’ai un VPN. Un proxy derrière avec un serveur… emprunté, à une entreprise pas très prudente qui avait laissé un accès bien ouvert.
Ça suffit ?
Ma gorge serre un peu quand j’avale ma salive. Josh est survolté :
— Vas-y, imagine, on peut avoir accès à leurs documents en interne et tout ? C’est énorme !
Putain, c’est vrai que…
Faire comme dans Mr. Robot, ça en jette quand même.
Je tente un coup de John the Ripper sur le hachage du mot de passe. Il faut pas longtemps pour le casser en clair.
Il est vraiment pourri, et du genre construit avec des trucs faciles à retenir.
! 86juliet2012
Une année de naissance, le prénom de sa gau et l’année de leur rencontre ? Et le point d’exclamation au début, comme quand les règles de sécurité d’un site empêchent de mettre le caractère spécial à la fin. Précisément car les sysadmins ont bien deviné que tout le monde allait se dépêcher de foutre des « ? » et des « ! », parce que c’est facile, forcément.
Avec son adresse e-mail, on devrait pouvoir trouver si d’autres mots de passe ont déjà fuité. C’est le cas pour beaucoup de gens.
Mais on pourrait commencer par tester celui-là.
J’ai l’impression de flotter dans un nuage bizarre quand je tape dans la barre du moteur de recherche :
fbi.gov
Puis toutes les combos de mots-clés qui me passent en tête pour trouver…
Accès intranet.
Putain.
J’ai cliqué.
L’URL est clairement pas celle d’un site dédié au public.
Une fenêtre sobre, avec juste une demande de connexion.
Identifiant.
Mot de passe.
Je copie-colle les deux.
Mon doigt se crispe au-dessus de la touche fatidique.
Avec Josh, on se regarde. J’ai l’impression que même lui, il commence à douter un peu.
J’avale encore ma salive. Ça passe pas très bien.
Je demande, et ma voix est vraiment toute petite :
— On fait quoi ?
Il allait dire un truc, mais la porte de ma chambre s’ouvre d’un coup.
Je sursaute. Ferme le navigateur d’un clic, par réflexe.
On est tous les deux plantés, assis sur le lit avec l’ordi ouvert sur mon fond d’écran. Mon oncle nous regarde, un peu perplexe. Il a l’air fin avec son bonnet de Noël. Ils vont nous faire porter ça pour la traditionnelle photo de famille, à tous les coups.
— À table, les jeunes !
Et il nous laisse là.
Le nœud de tension se desserre de mon ventre, ma gorge, mon dos. Je ferme le PC. Josh se lève d’un petit bond. J’ai l’impression qu’il joue la nonchalance. Il tape doucement dans ses mains.
— On verra après ?
Je déglutis à nouveau.
— T’avais pas un nouveau jeu sur ta Switch, sinon, tu disais ?
Annotations
Versions