Hackers en série : Mr Robot

Mais derrière ces effets de réalisation, les scènes de hack présentées à l’écran tiennent-elles techniquement la route ? Nous entamons notre série d’été avec un classique du genre : Mr Robot. Décryptage de l’équipe ethical hacking d’Orange Cyberdefense.

Diffusée pour la première fois en juin 2015 aux Etats-Unis, la série Mr Robot est déjà culte. Créée par Sam Esmail, elle met en scène Elliot Anderson, ingénieur sécurité pour l’entreprise Allsafe Security, mais surtout virtuose du hack, aussi épris de justice que désabusé par le monde actuel. Le jeune homme rejoint les rangs de « fsociety », un groupe de hackers souhaitant redonner un équilibre à la société en provocant la chute des conglomérats les plus puissants, et notamment E Corp, client majeur d’Allsafe.

Sam Esmail, le créateur et réalisateur de Mr Robot, est un passionné d’informatique : il reçoit son premier ordinateur à neuf ans et apprend à coder quelques années plus tard [1]. Pourtant, il ne persévère pas dans cette voie ; il confiera au magazine Rolling Stones, peu après la sortie de la série : « J’ai eu des idées de logiciels. Mais je n’avais pas la patience de m’asseoir et écrire chaque ligne de code, chaque commande ».

Cela ne l’a empêché de faire preuve d’une extrême rigueur dans la construction des scènes de hack de Mr Robot. Il s’est entouré d’une équipe d’experts, dont Kor Adana, ancien white hat (hacker éthique), aujourd’hui consultant pour de grandes entreprises américaines. Kor Adana raconte : « J’ai pris beaucoup de risques et fait pas mal de choses que je n’aurais probablement jamais dû faire en explorant la technologie. Certaines de ces choses apparaissent dans la série, et je peux me permettre de les inclure en disant : “J’ai fait ça avant”. (…) Comment je ferais pour mettre à genoux une société ? Eh bien, j’ai travaillé pour l’une d’elles, je sais comment la mettre à genoux », explique Kor Adana à Konbini [2] avant la diffusion de la seconde saison de la série.

Ce dernier n’est pas le seul expert ayant participé à la création du scénario. Ian Reynolds, ancien hacker également devenu consultant, Marc Rogers, à l’époque chef de la sécurité chez Cloudflare [3], Ryan Kazanciyan, Chief Security Architect chez Tanium mais aussi Andre McGregor et Michael Bazzell, deux anciens agents du FBI [4] ont fait partie de l’équipe en charge de la création des scènes de hacking.

A partir de la deuxième saison, pour encore plus de réalisme, elles ont même été imaginées avant le scénario. Marc Rogers racontera au magazine Wired [4] en 2015 : « Dans la majorité des cas, je pense le hack, le construit chez moi et en fait la démonstration. A partir de là, je l’enregistre et l’envoie à Adano. (…) L’un des hacks m’a pris deux semaines à monter. Certains ont été tellement prenants que j’ai dû demander des congés à Cloudflare ».

Au sein de l’épisode 5 de la saison 2, intitulé « b0mb3_10giqu3.hc (eps2.3_logic-b0mb.hc) », Elliot pirate le téléphone portable d’un agent du FBI. Sa méthode est-elle réaliste ? Le hack ainsi présenté est-il plausible ? Réponse de l’équipe Ethical Hacking d’Orange Cyberdefense.

Visionner l’extrait

Que fait réellement Elliot dans l’extrait ?

Sur l’extrait, on peut voir dans un premier temps qu’Elliot met à jour ses paquets [5] en utilisant des repositories [6] officiels, puis se connecte à un VPS [7] d’attaque en SSH [8]. Il s’apprête à exploiter “Samsung Knox”, un conteneur chiffré pour Android, via une zero-day qu’il est en train de développer, et coordonne son action avec d’autres hackers via un canal IRC [9].

Pour distribuer son exploit, il choisit d’utiliser une femtocell, sorte d’antenne, comme vecteur.

Une fois le téléphone compromis, il peut accéder à l’ensemble des données du téléphone.  Il aura ensuite accès, par rebond, aux différents réseaux auxquels le mobile se connectera en Wi-Fi, éventuellement le réseau interne du FBI.

Les actions choisies sont-elles réalistes ?

Le code, du Ruby, semble réaliste. Il verra sûrement des erreurs lors des tests. Pour ce qui est de la stratégie d’attaque, elle est certes extrêmement plausible mais requiert un niveau d’expertise très élevé : l’exploitation de navigateurs est l’une des catégories les plus exigeantes du hacking.

Pour réaliser une exploitation stable de navigateur, il faut parfois plus d’un an de travail. Réussir en si peu de temps demeure probable, car nous parlons de 100 à 1000 lignes de code, mais cela reste extrêmement difficile.

La plupart des films et séries montrent des hackers en train de pirater le FBI. Est-ce si simple que ça ?

Plus la surface d’attaque est grande, plus la probabilité de trouver des failles l’est également. D’ordre général, il faut savoir qu’aucun hack, qu’on peut voir comme une chaîne d’attaques, n’est simple de bout en bout, en particulier pour une cible de ce type.

Notes

[1]https://www.rollingstone.com/tv/tv-news/mr-robot-inside-tvs-hacktivist-breakout-hit-195888/

[2]https://biiinge.konbini.com/series/kor-adana-hacker-mr-robot/

[3]Ian Reynolds est aujourd’hui Vice-Président la stratégie de sécurité chez Okta, Inc. mais aussi conseiller pour Luta Security.

[4]https://www.wired.com/2016/07/real-hackers-behind-mr-robot-get-right/

[5]mettre à jour son système

[6]Référentiel de données

[7]Virtual Private Server ou « secteur dédié vituel » en français. Il s’agit d’un système exposé sur Internet sur lequel on peut se connecter et exécuter des commandes.

[8]Secure Shell, protocole de connexion sécurisé, permettant notamment d’exécuter des commandes de manière distante.