juin 24th, 2010

En décembre dernier, puis, plus récemment, dans le courant du mois de mai, la police britannique a intercepté de dangereux touristes coupables d’avoir photographié quelques monuments Londoniens. La photographie pouvant être, comme chacun peut aisément le deviner, la phase préliminaire à toute action terroriste ou tout cambriolage.

Aux USA, ce ne sont pas les monuments qui sont interdits de reproduction argentique, mais les policiers eux-mêmes, révèle Gizmodo. Dans 12 Etats des USA, photographier un représentant des forces de l’ordre est puni par la loi… surtout si le photographe fait partie de la presse. Les peines peuvent valoir de 4 à 15 ans d’emprisonnement à leurs auteurs, même et surtout si les actions de la police sont entachées de graves manquements à la procédure. Grace à de tels textes, il est strictement impossible de filmer la moindre brutalité policière : le système est auto-protégé. Plus près de nous, en France, certains précédents présentent de troublantes analogies.

Est-il nécessaire de préciser que les exemples cités –Boston, Londres, Puteaux…- se déroulent dans des villes réputées pour leur densité de caméras de vidéosurveillance installées par les municipalités. Caméras dont l’accès aux images est généralement réservé aux forces de police.

Provocation ou idée à creuser ? Le Français Laurent Oudot (Tehtri Sec, ex CEA), lors de la dernière Syscan de Singapour, donnait un discours légèrement à contre-courant par rapport à ce que l’on a l’habitude d’entendre : et si l’on envisageait sérieusement de contre-attaquer les « intrus » qui viennent jusque dans nos bras, égorger nos machines et nos programmes ? Et de donner ainsi l’exemple de 13 ZDE visant non pas la dernière édition d’Acrobat Reader ou d’Internet Explorer, mais de « packs d’exploits » utilisés par quelques malwares les plus en vue. Liste d’ailleurs donnée sur la ML Full Disclosure. « C’est une manière de dire que vous pouvez réagir en cas d’attaque » précise le bulletin. La presse Britannique a immédiatement réagi. La BBC et El Reg notamment.

Inutile de préciser que ce genre de sport est réservé aux gens du métier et infrastructures fortement pourvues. Tenter d’attaquer les cybertruands, c’est s’exposer immanquablement à des représailles (dénis de service, attaques différentes…). Il est donc souhaitable de disposer d’un arsenal conséquent et d’une infrastructure musclée, puisqu’à ce petit jeu, le dernier mot reviendra à celui qui saura le mieux encaisser et tenir la distance en termes de diversité offensive. D’un point de vue déontologique, cette proposition repose une fois de plus la question des méthodes et de l’éthique de la profession : a-t-on le droit d’utiliser les mêmes outils que les truands, peut-on justifier l’usage de procédés que nous réprouvons nous-mêmes ? A ces questions, la réponse des gens du métier a toujours été la même : jamais. L’aspect légal, enfin. Car si publier une faille, décrocher un numéro CVE pour un exploit n’a pas beaucoup de chance de provoquer une réaction des avocats de la Causa Nostra du bit et de l’octet, ces contre-feux sont bel et bien des outils destinés à « compromettre un système d’information »… La détention, la diffusion, l’usage de ce genre d’arme est interdit par plusieurs lois, dont la LCEN en France.

Cela veut-il dire que l’on risque de voir un juge Français poursuivre une entreprise Française de sécurité pour publication d’Exploit ? Cela s’est déjà vu. Mais ce n’est probablement pas pour ce motif que l’équipe d’Oudot est demeurée relativement évasive sur la nature même des failles découvertes. Un autre risque, très palpable quant à lui, serait de voir ce genre d’information exploité par des « bandes rivales » ou des francs-tireurs isolés qui verraient ainsi un moyen très simple soit d’accroître, par « croissance externe », la taille de leur propre botnet. Rien n’interdit également de considérer, comme l’expliquait d’ailleurs Rsnake dans un récent billet, le code d’exploitation d’une machine zombifiée comme un moyen très pratique pour pénétrer dans une entreprise et y dérober des informations. Sans divulgation, les victimes sont infectées par un et un seul groupe de cyber-truands qui contaminent les machines un peu à l’aveuglette. Après divulgation, toute machine « rootée » devient potentiellement un self-service pour script-kiddies, spécialistes du « targeted attack » et du « spear phishing/leaking ». Et généralement, cette seconde catégorie de mafiosi numériques est bien plus dangereuse que les bot-herders de base. Mais revenons-en à l’idée de militarisation des vulnérabilités et de contre-attaque numérique émise par Laurent Oudot.

Les esprits évoluent et les interdits s’effondrent. Pour quelle raison la sécurité « informatique » n’aurait-elle pas le droit de recourir à des outils d’infiltration, à des contre-feux offensifs, à des systèmes d’intoxication comme le pratiquent les polices et les armées –secrètes ou non- du monde entier ? La réponse est simple : ce sont précisément des corps constitués, des polices et des armées dépendant d’un pouvoir exécutif, dans le cadre de lois locales. Un « civil » qui contre-attaque avec des armes de truands devient ipso-facto un truand lui-même, par simple effet mécanique.

Mais cette frontière entre le droit régalien d’un état et le no man’s land du mercenariat binaire tend à s’estomper de plus en plus. Dans la « vraie vie », les Halliburton vont faire le coup de feu sous contrat, les polices et gendarmeries reculent devant la généralisation de milices locales et les entreprises commerciales (Sony BMG, Orange…) trempent dans la fabrication de « presque malwares ». Ceci sous l’œil complaisant des politiques ? Des politiques, qui, semblerait-t-il, acceptent ces « coups de canif à la morale et aux institutions ». Le prétexte de faire respecter la loi par tous les moyens, pourrait-il être suffisant pour justifier ces entorses à des règles établies a priori pour tous ? Des Microsoft, des éditeurs d’antivirus clament parfois haut et fort avoir tantôt éradiqué un botnet de la surface de la planète, tantôt « logé » un baron du phishing, un roi du spam, le cerveau d’un virus. Actions conduites bien sûr en collaboration avec les polices, mais sans que la part d’activités respectives des forces en présence ne soit réellement précisées. Et si l’on en croit certains communiqués triomphants, c’est tout juste si ces derniers ne sont là que pour être présents sur la photo de famille finale … Du coup, Internet pourrait bien lui aussi tourner au Far West. D’un côté les « outlaws » avec leurs spywares masqués, de l’autre les chasseurs de primes mandatés par la Loi, qui utilisent des procédés expéditifs. Alors, pourquoi ne pas imaginer que puissent se constituer des sortes de « milices d’auto-défense », sorte de remake des « Sept Mercenaires » sur fond de musique binaire, faisant Fort Chabrol derrière un empilement de ZDE à la Tehtris ?

Pris entre les feux de ces « supplétifs » légaux et de ces éventuels « redresseurs de torts privés », les usagers-péons-internautes pourraient bien écoper de quelques balles perdues. Accès coupés par des tempêtes de dénis de services, machines quadruplement infectées par les spywares, les exploits d’exploits, les Albaniciels divers, les exploits d’Albaniciels, les chausse-trappes des campagnes de phishing et mines Claymore à la sauce virale, le cyber-surfeur de demain aura la peau dure ou ne sera plus…