On me demande souvent comment j’ai commencé à m’intéresser à la sécurité, je pense que ce jour là a été un des déclencheurs qui ont fait que c’est devenu mon métier. Petit billet d’humeur en ce trolldredi pour vous raconter une anecdote de l’époque bénie où j’étais (inscrit) à l’IUT.

Ce devait être en 2007 ou 2008 (putain le coup de vieux !), à l’IUT de Montreuil lors d’une pause déjeuner. La coutume était souvent la même : les étudiants allaient manger tous en même temps et se retrouvaient ensuite dans les quatre salles info pour jouer ou avancer leur projets… Ouais bon, pour jouer !

Avec un groupe d’amis – bande de pochtrons ! – on a un peu perturbé cette pause là en particulier…

Alors que tous les étudiants se dirigeaient vers la cantine on se dirigeait vers les salles info, une clef USB en main. Munis des logins / mots de passe des comptes de test des salles info (qu’on avait récupéré un peu plus tôt dans un script de génération LDAP qui trainait) on a allumé et loggué toutes les bécanes sur les comptes en question.

Sur la clef USB une simple page en php et une image de fond. Le tout donnait une impression presque crédible de la page de login d’Ubuntu (version de l’époque installée sur les machines), une fois copiés dans le dossier approprié il suffisait d’ouvrir la page en question dans un navigateur et d’appuyer sur F11 pour mettre l’affichage en plein écran. La page se chargeait dès lors d’afficher un message d’erreur et de stocker les données entrées dans un fichier .txt…

Un simple file_put_contents.

Branchés sur le wifi avec nos laptops et / ou téléphones on se positionne à l’étage en dessous, dans une salle de cours non-utilisée et on attend, le doigt sur le F5.

Le résultat fut à la hauteur de nos espérances, et en une après-midi on a ainsi vu défiler les logins et mot de passe de tous les utilisateurs essayant de se connecter… Jusqu’à l’administrateur qui avait été sollicité pour résoudre le problème de login et n’y comprenait pas grand chose de plus que les autres…

La leçon à tirer de cela (au delà du fait que certains souvenirs de l’IUT me resteront à vie) ? Ne pas utiliser le même mot de passe partout, ne pas faire confiance à n’importe quelle machine, une vocation vient souvent d’une connerie, même les responsables font des erreurs, … ne rayez aucune mention inutile.

Don’t try this at home, certains pourraient très mal le prendre