Yolo Space Hacker - Tu me fends l'Hacker

Vous avez toujours rêvé de porter un hoodie et de dire d’une voix blanche « I’m in » pendant que les (vrais) héros attendent avec angoisse que vous soyez dans la base de données du Pentagone? Vous pensez que les hackorzzz vont sur le darque ouèbe pour acheter leurs carottes aux amphétamines et vous rêvez de faire pareil sans vous faire choper par Hadopi ? Vous pensez que LFI n’est que le nom d’un parti politique? Alors clairement, Yolo Space Hacker : Mission Bikini n’est pas pour vous.

Eh oui : sans aucune base en informatique, il est compliqué d’y jouer. Mais entendons-nous bien : j’ai quand même passé un très bon moment sur ce jeu. Et je vais vous expliquer pourquoi. En revanche, ça va être long, il va falloir s’accrocher et à la fin vous n’aurez pas forcément tout compris. Un peu comme un discours de Trump, sauf qu’on va essayer d’avoir un verbe dans chaque phrase.

En root mauvaise troupe

Yolo Space Hacker est d’une sorte de « simulateur de hacking challenge ». Je m’explique : dans la communauté hacker, un hacking challenge (ou « Capture The Flag » – CTF) consiste à passer plusieurs épreuves pendant lesquelles vous allez tester vos capacités de piratage. Il peut s’agir de passer une mire de login, de trouver une vulnérabilité dans une application web, mais aussi de casser un cryptage chiffrement rendant un message inintelligible ou de faire planter une application en l’obligeant à utiliser trop de mémoire. Ces challenges peuvent être disponibles sur Internet de façon permanente, être accessibles pendant un certain temps (la DGSE en a fait un il y a quelques temps, pour des raisons purement philanthropiques sûrement), ou bien avoir lieu lors de symposiums de hacking. Ces derniers sont des sortes de Comic-Con un peu chelou. On y trouve des sweats à capuche globalement noirs, des goodies étranges comme des cadenas à crocheter soi-même (les clés c’est has been) et un pourcentage de barbes au mètre carré à faire rougir une convention de weebs.

Pour faire court, un hacking challenge c’est compliqué. Pour quelqu’un qui n’a jamais vu de code de sa vie, ou qui pense qu’un terminal c’est seulement un endroit hors du temps dont il est impossible de sortir fumer pour d’obscures raisons, où les sandwichs coûtent 3 fois le prix de ceux de Carrefour, et où vous attendez de monter dans un appareil qui va buter votre empreinte carbone alors que vous vous êtes gelé les miches sur un Vélib’ crevé toute l’année, il reste très difficile de remporter une seule épreuve. C’est là que Yolo Space Hacker entre en jeu. L’idée des développeurs est de donner au public un intérêt pour les métiers liés au test de pénétrat d’intrusion (ou « hacking éthique »), et de désacraliser un peu la cybersécurité en expliquant les problématiques qui y sont liées. L’intention est particulièrement louable, d’autant plus que c’est un monde qui souffre de beaucoup de fantasmes, alimentés par des films de mauvaise qualité et par des écrans noirs avec du texte vert.

Hacking éthique à l’attaque

En (très) gros : le hacking éthique consiste à utiliser des techniques de méchants-pirates-du-dark-web© pour pirater une organisation (avec son accord, et sous contrat très précis) afin de livrer un rapport final qui explique où sont les faiblesses du système d’information. C’est un métier à part entière, qui demande des connaissances poussées, mais aussi de l’initiative et beaucoup d’imagination. C’est ce que Yolo Space Hacker vous propose de faire ici. Eh oui, le hacking, c’est différent de taper sur un clavier frénétiquement comme un batteur de black métal sous amphétamines, c’est surtout de la réflexion et du temps. Pour illustrer, faisons une petite comparaison entre ce que l’on voit dans les films et la réalité.

Ambiance : cave obscure. La Résistance tente un coup désespéré pour pirater les données de [insert random méchant] afin de [sauver le monde/révéler un méfait/délivrer un hamster](barrer la mention inutile). Rami Malek Le type chelou à lunettes et mal fringué tape sur son clavier.

– Je suis dans leur base de données, mais je n’arrive pas à passer leur firewall ! Les données sont cryptées* !
– Merde, Jean-Rémi, tu avais dit que tu pouvais entrer!
– Attends pianote frénétiquement et tape du poing sur l’écran Ça y est ! J’ai craqué le mot de passe, je suis dans leur base de données, mais je n’ai que 10 secondes pour sortir !
– Omondieu comment allons-nous faire?

*[NdA : n’en déplaise à Chibi, on dit chiffrer et pas crypter. Si quelqu’un vous parle de cryptage des données, il est probablement autant versé dans l’informatique qu’Oliver Véran dans la gestion d’une épidémie. Je vous laisse deviner le niveau.]
[NdA2 : si je vous entends un jour dire crypter, je me mettrai immédiatement en position fœtale et pousserai un cri strident à vous déchirer les oreilles. Pour comparaison, imaginez quelqu’un dont le métier est correcteur et qui lirait un article dont tous les participes passés sont remplacés par des infinitifs.]

Pendant ce temps, à la NSA chez de VRAIS pirates :
– Hey Jack, tu veux du jus de chaussette de chez Starbu du café ?
– Je veux bien John, j’ai lancé mon bruteforce, j’ai bien 2h à tuer.
– Ha t’as réussi à récupérer leur fichier de mots de passe ?
– Ouais bah en même temps ils l’ont laissé sur un serveur accessible via Internet alors bon, c’était quand même facile HAHAHA.
Both laughing in American
– Allez viens Jack on va jouer au baby-soccer.

As-tu le monopole d’Hacker ?

Tout commence sur la station spatiale Bikini-72. Vous faites partie de la Yolo Space Hacker Agency, une boîte spécialisée dans le hacking éthique. Quelque chose s’est passé sur la station, mais quoi ? Eh oui, c’est vraiment mystérieux tout ça, olala BON j’y arriverai pas. Pour être tout à fait honnête, l’histoire n’est pas très intéressante, et sert uniquement à enrober les challenges et explications successifs pour une immersion plus forte. Un peu comme un jeu Paradox Interactive, qui vous permet de faire de l’Excel avec de jolies couleurs sur votre temps libre. Spoiler alert : ça ne marche pas très bien.

Pour vous aider, vous serez assisté de C4pt41n Yolo (si si) et d’une fille dont j’ai oublié le nom. Ce sont eux qui vont vous guider à travers les méandres du terminal et des failles de sécurité, et vous donner des indices pour parvenir à vos fins.

Bon, on va éliminer le cygne dans la pièce (j’aime bien les éléphants, les cygnes c’est des saloperies par contre) : ce n’est pas très joli, et l’interface est, comment dire… Si je disais qu’elle n’était pas très bien agencée, ça serait comme dire que la famille Le Pen est un peu à droite. Un doux euphémisme.

L’interface est décomposée en plusieurs éléments : à gauche l’histoire et les indications, à droite les trucs vraiment utiles (un terminal et un navigateur, on y reviendra). Les développeurs ont créé des pages web accessibles via le jeu, qui listent notamment les différents challenges.

Pour finir l’histoire, vous allez donc devoir résoudre des challenges, de plus en plus complexes. La première épreuve consiste à deviner des mots de passe pour ouvrir des portes et entrer dans la station. Il s’agit ainsi de naviguer sur un faux profil de réseau social de l’administrateur du système, et de trouver son mot de passe. Pour le coup, c’est réaliste, les gens utilisant souvent des mots de passe avec le nom de leur hamster ou de la date de naissance de leurs gosses. C’est mal, faites pas ça les enfants.

À noter : pour augmenter votre progression (vos « Hacker XP »), vous devrez trouver des chaînes de caractères que l’on appelle communément « Flags » (d’où le nom « Capture The Flag » z’avez vu c’est bien pensé, eh ouais la communauté des hackers c’est ça les enfants, ils pensent à tout). Une fois entré dans une fenêtre prévue à cet effet, votre progression augmentera. Comme on peut le voir sur l’image ci-après, j’ai évidemment poncé le jeu à un niveau qui rendrait jaloux Mr. Robot.

La suite vous permet de découvrir de nouvelles techniques de hack, comme le bruteforce de mots de passe, l’injection de commandes dans une mire de login (en gros, au lieu de rentrer un mot de passe vous interagissez directement avec le serveur) ou encore la LFI (non, on ne parle pas de Jean-Luc, mais d’une Local File Inclusion). Et tout ça jusqu’à la fin du jeu, où vous devrez combiner tout ce que vous avez appris pour désactiver un méchant robot qui risque de vous tirer dessus (je vous rassure, c’est juste une modélisation moche qui bouge à peine).

Donc, en résumé, le jeu est un véritable hacking challenge, avec de vraies commandes et de vraies vulnérabilités à exploiter, et de très très bonnes idées. De façon personnelle, je l’ai beaucoup apprécié. Je connais les bases de l’utilisation d’un terminal et la théorie derrière l’exploitation de vulnérabilités, et Yolo Space Hacker vous prend vraiment par la main pour vous aider et vous faire progresser.

Il essaie, pis rate

Le jeu a toutefois de vrais défauts qui peuvent rebuter des grands débutants. Comme écrit plus haut, si vous n’avez jamais utilisé de terminal, ou que vous n’avez pas des bases en informatique, Yolo Space Hacker est aussi clément qu’un T-34 dans les rues de Berlin en avril 1945. C’est-à-dire pas du tout. De façon générale, le jeu souffre de problèmes de qualité de vie pour le joueur : une fenêtre de terminal minuscule (pour être honnête on peut l’agrandir, mais j’ai dû aller voir une vidéo YouTube où le mec le fait par erreur pour m’en apercevoir). Des boutons qu’il n’est pas évident d’utiliser à moins de cliquer partout comme Jean-Pierre de la compta quand son Windows Vista plante. Une absence totale de mise à l’étrier (on commence direct à planter des commandes dans le terminal sans savoir ce qu’est un terminal), et enfin, une impossibilité de recommencer le jeu sans aller effacer à la main les fichiers dans Windows.

Ajoutez à ça une ambiance musicale électro cheloue avec des boucles de 30 secondes et des personnages qui ont le charisme de Francis Huster, et le moins que l’on puisse dire, c’est que Yolo Space Hacker n’est pas un jeu agréable à jouer, et ne s’adresse malheureusement pas aux grands débutants comme proclamé sur le site.

Hacker vaillant, rien d’impossible

Toutefois, on ne va pas se mentir : la force du jeu n’est pas dans son interface ou son ambiance. Elle se situe dans sa capacité à faire progresser le joueur au travers de challenges de plus en plus complexes.

En effet, si vous remplissez le premier pré-requis du jeu (avoir des bases en informatique), Yolo Space Hacker aide vraiment à progresser. Il explicite vraiment les tenants et aboutissants de certaines problématiques (réutilisation des mots de passe), prend des exemples du monde réel (tout en redirigeant vers de vraies ressources, comme l’OWASP Top Ten Application Security Risks) et s’applique à augmenter la difficulté petit à petit. J’ai personnellement fait le mode « facile », avec des indices à chaque étape, mais rien ne vous empêche de jouer sans indices et de galérer un peu plus si vous vous sentez d’attaque.

De façon générale, le jeu est relativement modulable au niveau de la difficulté : arriver au boss final et finir le jeu ne m’a pas pris beaucoup de temps, mais les épreuves « bonus » sont autrement plus complexes. Ce sont d’ailleurs celles qui sont le plus discutées dans le Discord géré par les auteurs du jeu, très bonne idée pour créer une communauté et aider les petits hackers qui sont coincés, comme moi.

Le jeu regorge en fait de bonnes idées : intégrer un vrai terminal et de vraies lignes de commandes permet de se donner une idée de la façon dont ça se passe dans le monde réel. L’intégration d’un navigateur web et la création d’une base de connaissances listant plein d’informations sont un gros travail qu’il convient de saluer. La simplification de certaines épreuves par rapport à la réalité, au contraire, permet de ne pas générer trop de frustrations et d’arriver à avancer alors que l’on n’y serait sûrement pas parvenu dans un hacking challenge plus complexe (gros big up au module de bruteforce et au proxy, simples à utiliser).

Yolo Space Hacker a été testé sur PC via une clé fournie par l’éditeur.

En résumé, le jeu est plein de bonnes idées, l’intention est très louable et on peut sentir une vraie progression lorsqu’on y consacre un peu de temps. Toutefois, on peut déplorer que l’interface ne soit pas très soignée et demeure complexe à utiliser. Mais le plus gros défaut du jeu reste selon moi qu’il manque son public : il ne touche que des gens qui s’intéressent déjà à la sécurité informatique, et qui ont déjà des bases. La vaste majorité des joueurs se trouvera malheureusement face à une marche un peu trop haute à franchir.