Quand il prépare un gros coup, un voleur prend
généralement soin de se renseigner au préalable sur la
configuration des lieux et le dispositif de sécurité mis en place.
Il cherche à déterminer le nombre de gardiens, l’emplacement des
issues et des caméras de surveillance… Il en va de même pour les
hackers. Avant de pénétrer dans un système, Harry commençait
toujours par étudier la politique de sécurité de l’entreprise
visée. Quel était son nom de domaine, ses adresses IP, le système
de détection d’intrusion qu’elle utilisait ?
Là où les voleurs parlaient de
« repérage », les hackers évoquaient plutôt une
« prise d’informations ». Dans un cas comme dans l’autre,
la mission de reconnaissance constituait une étape cruciale des
préparatifs. Mais c’était également un processus qui demandait du
temps, et Harry savait déjà qu’elle devrait emprunter des
raccourcis.
Quand elle s’étira sur sa chaise, sa colonne émit
quelques craquements de protestation. Si les contractures dans sa
nuque et ses épaules se relâchaient peu à peu, elle se sentait
toujours aussi raide qu’un piquet.
Elle se pencha de nouveau sur son clavier pour
taper « rosenstockbankandtrust.com » dans le navigateur,
puis elle entra dans le site de la banque. De nouveau, elle jeta un
coup d’œil aux chiffres notés sur le calepin à côté d’elle :
72559353V. Son intuition avait beau lui souffler qu’il s’agissait
des références du compte ouvert par son père, elle n’en était pas sûre à cent pour cent. Or,
à ce stade, il lui fallait des certitudes.
Rapidement, elle fit défiler les pages qui
donnaient des détails sur l’organisation de l’établissement. La
Rosenstock avait des succursales partout dans les Caraïbes :
la Barbade, la Jamaïque, Sainte-Lucie, les îles Caïmans, les
Bahamas… Un frisson la parcourut quand elle découvrit l’adresse
qu’elle venait d’obtenir au téléphone : 322 Bay Street,
Nassau, New Providence, Bahamas.
Tout en explorant le site, elle prenait des notes.
Comme toujours, elle était sidérée par la quantité d’informations
livrées au grand public : organigrammes, adresses, numéros de
téléphone, numéros de fax, e-mails, plans d’accès… Une véritable
mine pour un hacker.
Dans la section « Offres d’emploi »,
Harry découvrit une annonce visant à recruter du personnel pour la
plate-forme téléphonique de l’établissement. Au-dessous figurait
l’adresse e-mail du directeur des ressources humaines. Les
candidats devaient posséder de bonnes connaissances en
informatique, lut-elle, des dispositions pour la communication et
des qualités d’écoute. Elle ne put réprimer une petite moue
dubitative en songeant à Sandra Nagle. De toute évidence, la
Sheridan était moins regardante en matière de critères
d’embauche…
Harry examina de nouveau l’adresse e-mail. Après
tout, que risquait-elle ? Elle rédigea un bref message pour
poser sa candidature au poste de téléopératrice. Puis elle récupéra
le RAT dont elle s’était servie pour infiltrer le réseau de KWC et,
après l’avoir dissimulé dans un document Word d’aspect ordinaire
intitulé « CV », elle le joignit au courrier et pressa la
touche Entrée. Il suffirait que le directeur des ressources
humaines ouvre le fichier pour libérer le programme, qui
déverrouillerait une porte dérobée dans le réseau de la Rosenstock.
Sauf, bien sûr, s’il se faisait repérer avant par les antivirus de
la banque. Pour peu qu’ils soient à jour, cette possibilité n’était
pas à exclure.
Afin
d’augmenter ses chances, Harry décida également de lancer un
war-dialer. Elle nota les numéros de téléphone recensés pour la
succursale de Nassau qui, comme ceux des fax, commençaient tous par
51384 ; seuls les deux derniers chiffres, correspondant aux
différents postes, changeaient. Son programme appellerait tous les
postes, de 5138400 à 5138499, jusqu’à établir la connexion avec un
modem. Si celui-ci appartenait à un ordinateur du réseau de la
Rosenstock, alors elle disposerait d’un accès.
Pensive, elle pianota sur sa table. D’une façon ou
d’une autre, il fallait qu’elle parvienne à tromper les défenses de
la banque si elle voulait découvrir le numéro du compte de son
père. Elle ne s’imaginait pas pour autant capable de mettre la main
sur l’argent lui-même. D’accord, elle pourrait peut-être modifier
certains chiffres dans les bases de données, mais en aucun cas elle
ne serait en mesure de transférer des sommes réelles. Les
mouvements de fonds ne seraient qu’une illusion, comme l’avaient
été ces douze millions sur son propre compte.
Elle se leva et se rendit à la cuisine pour se
servir un verre de vin. Alors qu’elle le rapportait dans son
bureau, elle songea aux mesures de sécurité prises par la
Rosenstock. Selon son père, tous les virements ou retraits
d’espèces devaient être effectués en personne, après notification
préalable par fax.
Autrement dit, si elle voulait aller jusqu’au bout
de son entreprise, elle allait devoir se faire passer pour son père
et cracker son code, le tout en l’espace de deux jours. A ce
stade, ses chances de succès lui paraissaient quasiment
nulles.
Avec un soupir, elle se rassit devant son portable
en étudiant les chiffres inscrits sur son calepin. Bon, le plus
urgent consistait maintenant à vérifier s’ils correspondaient aux
références du compte paternel. Elle s’assouplit les doigts. Quoi
qu’il en soit, en admettant qu’elle puisse parvenir à localiser le
compte en question, il ne serait certainement pas au nom de
Salvador Martinez… D’après
les informations données par Jude, l’identité des possesseurs de
comptes numérotés était conservée quelque part dans les archives de
la banque ; elle n’apparaissait jamais dans les systèmes en
ligne. En attendant, si elle pouvait s’assurer de l’existence du
compte, ce serait déjà un grand pas.
Pour commencer, elle regarda si le RAT et le
war-dialer avaient obtenu des résultats. En l’occurrence, aucun des
deux programmes ne lui avait renvoyé la moindre information. Elle
décida alors d’élargir le champ d’action du war-dialer, tout en
sachant cependant qu’elle n’avait pas de temps à perdre. Il lui
fallait absolument s’introduire dans le réseau de la Rosenstock par
un autre moyen.
Après avoir quitté le site de l’établissement,
elle lança une recherche dans les bases de données WHOIS pour
essayer d’en apprendre un peu plus sur le nom de domaine
« rosenstockbankandtrust.com ». Harry savait qu’au moment
d’enregistrer son nom de domaine sur Internet, une société livrait
de nombreuses informations précieuses pour un hacker : noms
des techniciens, numéros de téléphone, e-mails, numéros de fax et,
surtout, serveurs du réseau et adresses IP. L’adresse IP d’un
ordinateur est pareille à une adresse de rue : elle indique
précisément où il se trouve et comment y accéder.
Enfin, des données apparurent sur l’écran. Le cœur
battant, Harry recopia les numéros des ordinateurs de
la Rosenstock. Maintenant qu’elle avait situé le réseau
de la banque, il ne lui restait plus qu’à s’approcher des
portes pour en forcer les serrures.
Mais d’abord, elle devait voir s’il y avait
quelqu’un à la maison. En d’autres termes, il était toujours
possible que les informations enregistrées soient obsolètes et les
adresses IP invalides. Aussi Harry eut-elle recours à un ping,
autrement dit un programme chargé de transmettre des paquets
d’informations à des ordinateurs cibles afin de vérifier s’ils
étaient encore en activité. Le réseau Rosenstock répondit aussitôt.
Bingo !
Elle devait
à présent déterminer avec quels logiciels fonctionnaient les
ordinateurs. Harry aimait beaucoup les logiciels car ils étaient
écrits par des humains. Et s’il y avait bien une chose dont on
pouvait être sûr, c’était que les humains commettaient des erreurs.
Beaucoup d’erreurs. Autant dire, une manne pour les hackers. Un
programmeur avait beau être doué, il laissait invariablement des
failles dans ses programmes. Ces failles, appelées vulnérabilités,
faisaient l’objet de nombreuses discussions dans l’univers du
piratage informatique. Elles étaient entre autres exploitées par
les chapeaux noirs.
Harry pianota sur son clavier, submergeant les
ordinateurs de la Rosenstock sous les fausses tentatives de
connexion, essayant d’amener le logiciel à s’identifier. Avec un
peu de chance, il s’agirait d’un programme comportant une faille
dont elle pourrait profiter. Elle se concentra sur les données qui
défilaient devant elle, aussi attentive qu’un perceur de
coffres-forts guettant le cliquetis d’un cadran. Moins d’une minute
plus tard, le logiciel d’une des machines de la banque lui
expédiait un message d’erreur :
« Requête invalide. Serveur : Apache
2.0.38. Votre navigateur a envoyé un message ne respectant pas le
protocole http. »
Elle hocha la tête avant de s’adosser à sa chaise.
Le logiciel du serveur web Apache était très populaire, mais les
versions les plus anciennes comportaient des vulnérabilités bien
connues. Tout en faisant cliqueter ses ongles, elle réfléchit aux
armes dont elle disposait. Puis elle lança l’offensive sur le
serveur. La faille qu’elle visait lui permettrait peut-être
d’emmagasiner un flux d’informations dans les tampons d’Apache et
de déborder en mémoire. En soi, cette manœuvre ne l’avancerait
guère. Mais si le surplus d’informations contenait un fragment de
code, alors le logiciel d’Apache pourrait être amené à l’exécuter.
Or, dans le paquet d’informations expédié par Harry se nichait une
ligne de code qui, une fois lancée, lui permettrait de prendre les
commandes du système.
La manœuvre
se révéla payante. Quelques secondes plus tard, une fenêtre
s’ouvrit sur son écran, n’attendant plus que ses instructions. Elle
était désormais libre de circuler dans les ordinateurs de la
Rosenstock.
Elle frémit, tenaillée par le désir inexplicable
de jeter un coup d’œil par-dessus son épaule et de vérifier qu’on
ne l’espionnait pas. S’efforçant de surmonter son trouble, elle
retourna à son clavier puis s’introduisit dans l’ordinateur de la
banque et dissémina ses outils de cambrioleuse à mesure qu’elle
progressait. Parmi eux se trouvait un renifleur de paquets conçu
pour espionner le trafic réseau qui circulait dans la machine. En
dix minutes, elle avait réussi à obtenir le mot de passe
administrateur. Cette fois, le réseau lui appartenait.
Pourtant, au lieu d’être transportée par son
exploit, elle n’éprouvait qu’un malaise indéfinissable. Son
expérience de hackeuse lui ayant appris à se fier à son instinct
autant qu’à la technologie, elle savait qu’il y avait sûrement une
bonne raison pour qu’elle réagisse ainsi. Elle n’avait cependant
pas le temps de s’en préoccuper pour le moment. L’heure
tournait.
Usant de son statut privilégié, elle explora le
reste du réseau de la Rosenstock en ouvrant tous les fichiers
qu’elle rencontrait sur son passage. Une foule de données
intéressantes défila devant ses yeux : archives, journaux,
feuilles de calcul, e-mails, documents confidentiels… Alors qu’elle
les examinait, son malaise augmenta ; le temps de réaction à
ses commandes devenait de plus en plus long. D’ordinaire, elle
était capable de passer en un éclair d’un fichier à l’autre, mais
là, elle avait l’impression de patauger dans de la mélasse.
Quelques-unes de ses commandes étaient purement et simplement
rejetées tandis que d’autres se retrouvaient inexplicablement
limitées. Des dysfonctionnements commencèrent à affecter certains
de ses outils de hacking, la ralentissant encore plus.
Au moment où elle envisageait de couper la
connexion, elle tomba sur la base de données qu’elle cherchait.
C’était une véritable mine
d’informations bancaires : numéros de compte, historiques de
transactions, autorisations de découvert… Elle étudia d’abord les
numéros de compte. Pour la plupart, ils étaient constitués de huit
chiffres, et aucun ne comportait de lettre. Elle lança une
recherche sur le 72559353, avec et sans le V, mais elle n’obtint
aucun résultat.
Les doigts refermés sur son verre de vin, elle
contempla l’écran. Une étrange sensation d’irréalité s’était
emparée d’elle, lui rappelant ce qu’elle avait éprouvé la première
fois qu’elle avait vu les douze millions d’euros sur son compte.
Une illusion d’optique… Etait-ce de nouveau le cas ? Elle
avait l’impression d’être désorientée, comme si quelqu’un cherchait
à l’entraîner dans une partie de cache-cache élaborée.
Brusquement, elle écarquilla les yeux. Mais oui,
bien sûr ! Comment avait-elle pu ne rien remarquer ? Elle
écarta le verre d’un mouvement brusque, l’envoyant se briser sur le
sol. Puis elle arracha le câble réseau branché à son ordinateur et
se leva d’un bond.
Abusée par un honeypot – littéralement, un
« pot de miel ». Que lui arrivait-il, bon sang ?
N’importe quel hacker débutant s’en serait aperçu. Les violentes
attaques dont elle avait été récemment victime l’avaient-elles
perturbée à ce point ?
Le cœur battant à se rompre, elle prit de
profondes inspirations pour se calmer avant de se laisser de
nouveau choir sur sa chaise. Elle n’avait aucune raison de réagir
de façon aussi excessive. Après tout, il s’agissait juste d’un
honeypot, pas d’une bombe nucléaire…
Un honeypot était un ordinateur conçu comme un
piège dans lequel elle avait foncé tête baissée. Il attirait les
hackers dans un environnement factice où tous leurs mouvements
étaient enregistrés. Ainsi, le véritable système était protégé. On
s’en servait aussi pour étudier les tentatives de piratage et
récupérer les éventuels nouveaux outils introduits par les intrus.
S’il était bien fait, un programme de ce genre pouvait tromper un
chapeau noir et l’amener à
croire qu’il avait réussi à pénétrer dans un serveur regorgeant de
mots de passe et de fichiers prometteurs.
Harry soupira. La Rosenstock devait avoir installé
un leurre style « Bait and Switch ». Le véritable système
représentait l’appât, et à peine y avait-elle pénétré qu’on l’avait
redirigée vers un faux serveur. Son exploit consistant à submerger
la mémoire avait dû donner l’alerte. A partir de là, elle
avait sillonné un réseau fantôme sous surveillance constante.
Une pensée l’amena brusquement à se raidir. Et
merde ! Elle avait laissé ses outils derrière elle, à la merci
des techniciens du camp adverse.
De toute évidence, ils lui avaient expédié un
sniffer afin de suivre sa progression. Sans doute était-il mal
configuré, contribuant ainsi à allonger le délai de réponse du
système. Pas étonnant qu’elle ait eu cette impression de
lenteur ! Harry comprenait mieux maintenant pourquoi certains
de ses outils avaient soudain cessé de fonctionner. Si un honeypot
ressemblait beaucoup à un véritable système, il ne laissait
cependant pas au hacker une totale liberté de circulation. Sinon,
ce dernier risquait de l’utiliser pour se propulser vers d’autres
réseaux.
Bon sang, pourquoi s’était-elle déconnectée aussi
vite ? Peut-être aurait-elle dû essayer d’exploiter le
honeypot pour tenter de repérer le véritable réseau… Elle haussa
les épaules. Tant pis, il était trop tard, il n’y avait plus moyen
de revenir en arrière. Elle n’avait même pas eu le temps d’ouvrir
de porte. Quoi qu’il en soit, les techniciens de la banque avaient
son adresse IP, à présent, et bloqueraient toute tentative de
connexion émanant d’elle. Sans compter qu’ils disposaient de
suffisamment d’éléments pour la poursuivre en justice s’il leur en
prenait l’envie.
Découragée, Harry éteignit son portable. Elle
soupçonnait le programme de leurre d’être parfaitement scellé, sans
la moindre issue. Les honeypots n’étaient pas si répandus dans les
réseaux commerciaux, et elle y vit le signe que la Rosenstock ne lésinait pas sur les
mesures de sécurité.
Elle supposa également que le RAT était condamné à
échouer. Les scanners antivirus avaient déjà dû le repérer et le
mettre en quarantaine. De même, le war-dialer n’obtiendrait sans
doute aucun résultat. Une organisation aussi prudente que la
Rosenstock ne laisserait certainement pas sur son réseau des modems
non protégés.
Harry sentit une nouvelle fois ses battements de
cœur s’accélérer alors qu’elle prenait conscience de ce que, au
fond, elle avait peut-être toujours su. Elle baissa les yeux vers
l’adresse inscrite sur son calepin : 332 Bay Street,
Nassau, New Providence, Bahamas.
Il était maintenant évident pour elle qu’elle
n’accéderait jamais à l’argent de son père en restant assise devant
son ordinateur. Elle n’avait plus qu’une solution : agir de
l’intérieur de la banque.