Dans mon parcours de développeur, je me suis intéressé au monde de la sécurité informatique et du hacking.
J’ai passé du temps à traîner sur des forums pas très recommandables à regarder ce qui s’y passe, et à voir comment cet univers tourne.
 
Déjà, j’ai assez rapidement compris que la plupart des « pirates » sur ces forums sont fauchés.
 
Ils essayent de trouver des failles pour les exploiter et en tirer un revenu (illégalement), mais pour 95% d’entre eux, c’est pas très rentable.
 
Ce qui est drôle (et un peu triste à la fois), c’est qu’ils gagneraient probablement beaucoup plus en vendant des formations légales sur leurs compétences… 
 
Bref.
 
J’en ai quand même tiré un principe à utiliser, notamment quand on veut faire du growth hacking.
 
Ce principe, c’est celui des failles zero day contre les failles structurelles.
 
Déjà, une faille est une sorte de porte laissée ouverte dans un logiciel qui permet de faire des choses qu’on est pas sensé pouvoir faire.
 
Une faille 0 day, c’est une porte d’entrée dans un système qui a été « oubliée » par les développeurs.
 
Et elle sera corrigée dès qu’ils se rendront compte du problème.
 
Par exemple, si un plugin wordpress a une faille de sécurité, c’est un zero-day.
 
Pour corriger, il suffit de mettre à jour le plugin.
 
Il y a un autre type de faille, beaucoup plus rare mais beaucoup plus intéressant.
 
Ces failles sont structurelles, c’est-à-dire qu’on ne peut pas les corriger. 
 
Oui, vous avez bien lu. 
 
On ne peut pas les corriger.
 
Je vais vous donner un exemple, et ça va vous choquer…
 
Quand j’étais étudiant, je suis tombé sur un truc assez fou. 
 
Une faille qui permet d’intercepter (et changer) toutes les communications qui passent sur un réseau wifi.
 
J’ai testé, et ça a marché. Du coup j’ai pris peur et j’ai tout arrêté immédiatement.
 
En gros, si vous êtes connecté à un réseau wifi avec votre ordinateur, il existe un moyen pour vous faire passer pour la box internet.
 
Du coup, toutes les machines du réseau vont envoyer les requêtes chez vous (au lieu de les envoyer à la box).
 
Et vous pouvez leur répondre avec des pages bidon, ou simplement « transférer » les données à la box en enregistrant tout ce qui passe (mots de passes, données bancaires, etc.)
 
(c’est donc une attaque de type MITM, homme
 
Cette faille n’a pas de vrai correctif à ce jour. Il y a bien des systèmes qui ont été mis en place pour limiter la casse, mais c’est un problème structurel.
 
Le protocole qui permet d’identifier les machines d’un réseau (et savoir qui est la box internet) n’est pas sécurisé, ni sécurisable.
 
Je vous rassure, peu de monde connaît ce truc. Il y a peu de chances que ça vous arrive quand vous mangez au Mcdo.  
 
Et tous les sites « sensibles » sont maintenant en HTTPS. 
 
Même si quelqu’un se met entre vous et la box internet, il ne verra passer que des données chiffrées (et illisibles).
 
Là où c’est intéressant, c’est que les mêmes principes sont applicables en growth hacking.
 
La plupart des growth hackers cherchent des “hacks” 0-day à exploiter (notamment sur LinkedIn, Facebook, etc.)
 
Ça marche….jusqu’à ce que le hack soit connu et corrigé. Et c’est toujours la course au gendarme et au voleur.
 
Le truc, c’est qu’en growth hacking, il y a aussi des hacks structurels qu’on ne peut pas corriger.
 
L’exemple ultra-connu, c’est celui qui permet de trouver l’email d’une personne travaillant dans une entreprise.
 
Si vous cherchez l’email de Jean Dupond qui travaille chez Microsoft, il vous suffit de tester toutes les permutations possible (jean.dupond@microsoft.comj.dupond@microsoft.com, etc.)
 
Ce truc marchera toujours.
 
Mais il existe d’autres hacks de ce genre, beaucoup, beaucoup plus puissants (et je peux pas vous en dire plus sans compromettre mon travail).
 
Pour les trouver, il faut se creuser la tête et apprendre à penser différemment. 
 
Une fois qu’on a trouvé un truc de ce genre, on peut l’utiliser sur le long terme sans avoir peur que ça tombe du jour au lendemain.
 
On peut même en faire une application en ligne (comme LinkLead.io par exemple….héhé).
 
Et d’ailleurs, ces principes sont aussi applicables dans la vraie vie.
 
J’ai envoyé un email il y a peu sur la théorie des cinq drapeaux. 
 
C’est un hack structurel aussi. Il permet de ne pas payer d’impôt en utilisant plusieurs pays.
 
Et on ne peut pas corriger cette faille fiscale (à moins d’avoir un gouvernement mondial, donc on a le temps…)
 
Bref, apprenez à sortir des sentiers battus et penser comme un hacker dans tous les domaines.
 
Et vous aussi, vous aurez accès à des choses auxquelles vous ne devriez « normalement » pas avoir droit.
 
À bientôt !
Julien.
ghghghgh

LEAVE A REPLY

Please enter your comment!
Please enter your name here