Micode : Vulgarisation et désinformation

Bonjour à tous et à toutes, bande de geeks !

Aujourd’hui je vais vous parler d’un phénomène populaire sur Youtube en ce moment: Micode.

Ce jeune étudiant en cybersécurité a réussi en un temps record à se faire connaitre sur Youtube pour ses vidéos de vulgarisation informatique. En clair, il explique au commun des mortels les “secrets cachés” de l’informatique et du hacking en général.

Bonne initiative et concept innovateur, je m’abonne.

Oui, mais seulement son contenu manque cruellement d’une chose: d’informations utiles.

Un concept novateur

En se lançant dans la vulgarisation informatique, Micode savait très bien qu’il percerait. En utilisant ces relations, des titres et miniatures clickbait, son nombre d’abonné s’est vu fortement augmenté moins d’1 mois après la création de sa chaîne. Certaines personnes l’accusent d’acheter des pouces bleus et des commentaires afin de mettre ses vidéos en Tendances. Ses accusations peuvent sembler venir de haters, mais quand on regarde de plus près les statistiques de sa chaîne, on est obligé de se poser des questions.

L’idée de vidéos courtes, avec des informations concentrées et des titres/miniatures clickbait est la recette parfaite pour réussir sur Youtube de nos jours. Ce n’est un secret pour personne, même si le concept me dégoûte quand même. En adoptant ce format, Micode avait toutes les cartes en main afin de se faire un nom rapidement.

En voyant ce nouveau type de vidéos, beaucoup de gens se sont abonnés naturellement à sa chaîne. Mais voilà le soucis:

Grand pouvoir implique grandes responsabilités

En bref, si il se permet de propager de fausses informations, beaucoup de gens seront affectés et désinformés.

La désinformation

Nous attaquons maintenant la partie croustillante de cette affaire.

Pour ceux qui me suivent sur Twitter, vous avez déjà dût me voir rouspéter à cause de certaines vidéos produites par Micode. Dans ces moments de colère j’explique point par point en quoi certaines de ces informations sont fausses et/ou pas expliquées. Je vais donc étudier quelques exemples pris directement de certaines de ses vidéos pour vous exposer mon point de vue de manière la plus objective possible.

Exemples

1) Il est possible de se faire infecter son PC en branchant une clé USB

Dans une de ses vidéos Micode dit et je cite:

“Il est possible de se faire infecter […] simplement en branchant une clé USB sur votre Ordinateur”

En absence d’informations complémentaires sur cette affirmation, j’en déduit que la “clé USB” en question est une clé de stockage, et non un USB Rubber Ducky ou autre. Il faut savoir que l’Autorun (fichier Autorun.inf) est obsolète depuis maintenant un paquet d’années et ne s’utilise plus pour des raisons évidentes de sécurité. De nos jours,

Pour tous les périphériques, excepté ceux de types DRIVE_CDROM, il n’y a plus que deux clés utilisables : label et icon (permettant de définir le nom du lecteur et son icône).

  • Wikipédia

Donc à part pour définir une icône et un nom à la clé USB, l’Autorun ne sert à rien. Même pas à vous infecter.

“Oui mais si on clique sur un Malware contenu dans la clé USB”

D’accord, mais ce n’est en aucun cas précisé dans la vidéo. Simplement l’action de “brancher” est mentionnée. Dommage, car quelques précisions supplémentaires auraient pût permettre de donner un conseil de sécurité en plus: NE JAMAIS BRANCHER SANS PROTECTIONS UNE CLE USB INCONNUE.

2) Il est possible de se faire hacker au McDo

Ensuite, dans une autre vidéo Micode avance:

“Il est possible d’intercepter les mots de passe sur un réseau Wifi”

Pour une fois je suis d’accord avec ses propos. MAIS (oui, il y a quand même un MAIS) cette vidéo manque cruellement d’informations complémentaires qui permettent de clairement comprendre les enjeux de telles attaques (sans rentrer dans la partie technique). Par exemple, Micode précise que seuls les connexions non-chiffrées seront visibles par l’attaquant, ce qui est vrai pour les attaques très basiques.

En revanche ce qu’il ne précise pas c’est qu’il est très facilement possible de créer une fausse connexion chiffrée en générant un faux certificat de cryptage et en redirigeant les DNS à l’aide d’attaques complémentaires. De ce fait, les requêtes/tentatives de phishing sont bien plus lucratives et plus dangereuses. Les applications et navigateurs modernes intègrent des normes de sécurité qui visent à limiter l’impact de tels attaques, en revanche elles restent tout de même d’actualité compte tenu que tout le monde ne fait pas ses mises à jours régulièrement. Juste en résumant les informations que je viens de donner, une transition sur les mesures et les contre-mesures de ses attaques aurait pût être mise en place. Cela aurait éviter de faire psychoter les gens pour rien.

Cet exemple est bien simple mais permet de mettre en lumière le manque d’informations essentielles dans certaines de ces vidéos.

3) Hacker un drone facilement

Pour finir je voulais rapidement revenir sur la vidéo où Micode “pirate” un drone à distance. Dans cette vidéo il explique de manière très triviale comment réaliser une attaque de désauthentification (cf. mes précédents tutoriels sur le sujet). La manipulation est bien expliquée mais manque de fond ! Lors de la mise en œuvre Micode se contente d’utiliser un script trouvé sur Github afin de démontrer ses “talents” de pirate hors-norme. Ce script a en réalité été codé par Samy Kamkar, brillant chercheur en cybersécurité pour ses travaux tels que Poisontap ou encore Usbdriveby.

Excusez l’expression, mais dans cette démonstration Micode s’est comporté en véritable script-kiddie en réutilisant les codes sans y prêter une once d’attention et sans en expliquer le fonctionnement une seule seconde. Hors le fait qu’il ne cite pas la provenance de son code en vidéo, utiliser du code prêt à l’emploi est une très mauvaise idée. Je n’attendais pas de lui qu’il nous fasse un cours de programmation, mais plutôt qu’il précise les limites de tels attaques, les enjeux et les conséquences. Qu’il donne des informations utiles au lieu de nous jeter de la poudre aux yeux.

Précisions et confusions

J’ai pris l’initiative d’écrire cet article suite à quelques reflexions qui m’ont été faites. Dans ma classe, beaucoup de monde est abonné à la chaîne de Micode, mais aucun ne comprends réellement le sens de ses vidéos. Je me suis retrouvé plusieurs fois à devoir leur réexpliquer le sens des vidéos dont ils me parlaient. Un exemple simple, un ami à moi était terrorisé à l’idée que quelqu’un puisse entrer par effraction sur son réseau wifi et voler ses mots de passes Facebook. Il me disait que il s’était renseigné via les vidéos de Micode et avait très peur depuis. Il m’a ensuite raconté de quoi il avait peur et pourquoi. Ses propos étaient confus et ses arguments faux, mais la faute à qui ?

Conclusion

Je ne prétend pas avoir la science infuse. Mais certaines vidéos de Micode peuvent induire gravement en erreur les gens en quête de savoir. à vouloir faire trop court et condensé, son contenu est trop succin et léger. Sans rentrer dans les détails techniques ou dans des explications complexes, un complément d’informations est indispensable pour la bonne compréhension de ses propos.

Je sais d’avance que cet article et les propos tenus sont sujet à débat. Si vous souhaitez en parler, défendre des idées ou exposer votre point de vue sur le sujet, la section commentaire de l’article est faite pour ça ! Je ne suis en aucun cas un donneur de leçon dans aucun domaine, néanmoins un éclaircissement sur le sujet était nécessaire.

“Informer plutôt qu’impressionner”, voilà le seul conseil que je peux me permettre de donner à Micode.

 

 

Categories: News

4 commentaires

  • Exybore

    Excellent article ! La situation est très bien expliquée et argumentée, franchement on arrive très largement à se faire une opinion sois même et à réfléchir sur le sujet !

  • Mike Scops

    Très bon article résumant bien la situation, en effet, je suis plutôt d’accord avec toi sur l”intérêt de limiter la désinformation sur internet surtout quand une chaîne atteint autant de personnes.
    Le problème étant le choix entre faire le buzz et peaufiner son contenu. Pas facile d’être sur tous les fronts quand on est ni expert en sécurité, ni en communication digitale.

    La sécurité est un domaine très vaste qui fait très peur à ceux qui ne comprennent pas ses enjeux et ses risques. Néanmoins je pense qu’il y a eu beaucoup de progrès de fait dans la protection individuelle et la vulgarisation de certaines notions élémentaires malgré des erreurs et imprécisions que l’on peut trouver par ci par là.

    • Foxty

      Salut,
      Je ne suis aucune chaine youtube à ce sujet, par contre il existe des tonnes de blogs très interressants !
      Le meilleur moyen de s’informer c’est via Twitter, en suivant des gens dans le métier tel que @x0rz ou encore @MalwareUnicorn 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *