décembre, 2010

Coverity était pratiquement inconnue il n’y a pas un mois. Cette entreprise spécialisée dans l’analyse statique et dynamique des codes sources et des architectures d’applications vient de publier un rapport sur l’intégrité des programmes Open Source en général et sur la solidité du noyau Android en particulier. Rapport qui fait état de 88 défauts considérés comme « à haut risque » (corruption ou accès à la mémoire, exécution à distance, fuite d’informations, variables non-initialisées etc.) et 271 défauts de moyenne importance.

Plus que la sévérité des trous répertoriés, c’est le nombre de vulnérabilités annoncées qui transforme cette analyse statistique en petite bombe médiatique. Pourtant, insiste le rapport, rien ne vient distinguer le noyau de Google de tout autre projet du monde Open Source, tant en qualité qu’en quantité de failles découvertes. Android serait même plus sûr que la plupart des applications écrites jusqu’à maintenant, mais moins « bon » que le noyau Linus. Ajoutons que si le nombre de défauts majeurs peut sembler élevé, il n’est jamais fait référence à un quelconque « indice d’exploitation possible » qui, aussi imprécis soit-il, donne une meilleure idée de la dangerosité réelle des trous de sécurité.

Le détail des failles découvertes ne sera pas publié avant le début du premier trimestre 2011, afin de laisser le temps à Google de colmater les défauts les plus facilement exploitables.

La toute dernière édition de Mehari est disponible en téléchargement (gratuit) sur le site du Clusif (Club de la Sécurité de l’Information Français). Il s’agit là d’une méthode et d’outils destinés à aider les RSSI et DSI en matière de définition des buts, d’étude des vulnérabilités, d’évaluation des risques, de pilotage et de validation de la sécurité et des politiques à mettre en œuvre au sein des entreprises. Une édition en langue anglaise est même disponible sur le site.

Les multiples rebondissements du Cablegate Wikileaks (dont on ne connaît qu’un pan limité si l’on en juge par la taille de l’« assurance » chiffrée AES256 postée un peu de partout), soulèvent pratiquement autant de questions de sécurité et de morale qu’il n’y a de rapports confidentiels divulgués.
En tout premier lieu, le landernau de la sécurité est en droit de se demander si le moindre fonctionnaire tant du Department for Homeland Security que des Foreign Affairs a entendu parler du sigle DLP. Et si oui, dans quelle mesure les dépêches diplomatiques classées « Confidential » ont-elle pu tomber de manière massive entre des mains peu fiables. Question faussement innocente qui rappelle une « vérité vraie » du métier : ce n’est pas en chiffrant les canaux de communication et en s’encombrant de lourdes procédures d’identification que l’on interdira à un cambrioleur de passer par la porte de derrière pour collecter son butin. Les récentes affaires de vols massifs d’identités bancaires perpétrés sur les serveurs mêmes desdites banques en est l’un des exemples les plus banals. Dans ce jeu flou qui mêle diplomatie, hacktivisme, barbouzerie et divulgation par frustration, il se peut que l’on sous-estime un ingrédient aussi important qu’épicé : la désinformation ou la manipulation par Wikileaks interposé.
La fuite une fois constatée, il est trop tard pour tenter de réagir. Interdire, par décision légale, l’hébergement dans un pays ou un autre, montre à quel point une telle riposte serait à la fois vaine et ridicule. Vaine, car à n’en pas douter, passer d’un cloud Amazon à un cloud OVH, puis d’un cloud OVH à un cloud Russe, Chinois ou Guatémaltèque ne semble pas trop gêner l’équipe de Monsieur Assange. Pas plus que les attaques en déni de service d’ailleurs ou l’effacement du nom de domaine Wikileaks par son propre registrar (lequel se garde bien d’appliquer la même épuration sur ses domaines d’origine cyber-mafieuse). Internet n’a pas de frontière, axiome d’une platitude et d’une banalité affligeante que certains politiques ne semblent pas comprendre. Ridicule, car cette course-poursuite et cette série d’expulsions aurait même pour conséquence de victimiser Wikileaks et lui donner ce sceau de crédibilité et de sérieux que tentent de nier ses « persécuteurs ». Double erreur politique donc, par absence de réflexion. Triple erreur enfin lorsque Monsieur Besson, Ministre de l’Industrie et de l’Economie numérique, tente de trouver une réponse technique à un problème politique. Car de l’interdiction d’un contenu spécifique au contrôle du contenu en général, il n’y a qu’un pas. Légiférer sur la justification d’un filtrage en fonction de critères trop flous pour être précisés (le vol d’information d’un pays tiers ? La mise en cause d’un serviteur de l’Etat par un ressortissant étranger ?) ouvre la porte à toutes les dérives possibles que risquerait d’exploiter un gouvernement moins démocratique que le nôtre. Initialement, la censure d’un contenu sur Internet était justifié par quelques interdits fort rares : incitation à la haine raciale, apologie du crime ou de la violence, révisionnisme (et encore…) et pédopornographie. Plus tard, la détention, diffusion ou publicité d’outils d’analyse réseau et outils de tests, ainsi que la diffusion de musique de variété contrefaite (LCEN, Hadopi, Loppsi) sont venus enrichir la liste des sujets bannis. Avec le succès et les conséquences (techniques) que l’on sait.
La fuite elle-même, sans considérer le détail du contenu et ses implications diplomatiques (on est encore très loin de la Dépêche d’Ems), provoque elle aussi une série de hiatus et soulève autant d’interrogations. A commencer par la confusion qui existe entre l’origine de la fuite et l’exploitation des informations qu’elle contient. Il est normal et légitime que nos confrères journalistes du Monde (entre autres) exploitent ces données à partir du moment où leur véracité est avérée : c’est leur métier. S’ils ne le font pas, d’autres s’empareront de l’affaire, et ce malgré les vitupérations passées et les critiques acerbes de Julian Assange, fondateur de Wikileaks, vis-à-vis de la presse en général, qualifiée par lui de consensuelle, voir coupable de collusion avec les pouvoirs en place.
La provocation de la fuite, quant à elle (ergo le travail de Wikileaks et éventuellement des personnes ou entités qui voient un certain intérêt à ces divulgations), est bien plus discutable. Parce qu’il expose au grand jour la frivolité, le cynisme ou l’égotisme des grands qui gouvernent tel ou tel pays ? Cela n’a rien de nouveau pour qui a lu ne serait-ce que de courts extraits de Tite-Live, de Commynes, de Saint Simon, et de tous leurs héritiers. Peut-on mimer un total étonnement lorsque l’on apprend que « David Cameron manque de profondeur », que « Madame Merkel n’a aucune imagination », que le Président « Amin Karzaï est extrêmement faible », que « Berlusconi est irresponsable, imbu de lui-même, inefficace, et montre un penchant exagéré pour les fêtes »… sans oublier les remarques sur les grands serviteurs de la Nation Française.
Non. La faute d’Assange est précisément de n’être ni Saint Simon ni Commynes, de fournir et énumérer des faits sans réflexion ou très peu, déconnectés de leurs causes et origines, tout comme le ferait un archiviste. Or, le rôle d’un archiviste consiste avant tout à conserver, à préserver, pour qu’une fois les passions retombées, les historiens puissent faire leur travail. Et c’est précisément l’absence de ce « moratoire historique » propre à dépassionner l’analyse des faits qui choque les historiens et fait trembler les politiques mis à nu. Les petites erreurs et bassesses humaines s’effacent devant l’histoire et enflent devant la chronique.
Il ne faut pas voir dans l’affaire Wikileaks une action qui mériterait les foudres de la justice en vertu de textes rédigés pour lutter contre l’espionnage d’Etat. Agiter cet épouvantail et en banaliser l’usage aurait également pour conséquence de menacer l’indépendance de journalistes tentant de faire leur métier, tel Rue 89 ou le Canard enchaîné. Ceux-ci ont déjà assez de mal à pouvoir conserver leurs ordinateurs et la confidentialité de leurs factures téléphoniques. Seraient également compromis le routage et la consultation d’autres sites, pourtant assez éloignés de Wikileaks, tel Cryptome ou Archive.org qui, bien que se réclamant d’une ligne éditoriale radicalement différente de celle fixée par Julian Assange, tomberaient automatiquement dans la même catégorie des « sites qui dérangent ».
Rappelons que le seul mandat Interpol lancé à ce jour contre Julian Assange concerne une affaire de mœurs. Ni le Homeland, ni la Maison Blanche, ni les « Foreign Affairs », les trois principales victimes, n’ont pour l’instant tenté quoi que ce soit d’officiel contre lui.

Chez Cisco, l’on appelle cette forme de surveillance de contenu du Proactive Social Media Customer Care… et de l’espionnage comportemental chez les défenseurs des libertés individuelles. Techniquement parlant, Cisco SocialMiner surveille les changements de statut des abonnés à un réseau social, fouille le contenu des forums et des conversations entre membres d’un même réseau. Une fois le « contenu » profilé, SocialMiner peut alors déclencher une action précise, qu’il s’agisse de s’immiscer dans l’échange ( your company can respond to customers in real time using the same social network they are using précise la page Web du constructeur) ou bien censurer la conversation en coupant la communication (ce qui peut sembler inique sur un réseau public, mais qui paraît logique dans le cadre d’un intranet d’entreprise en train de concevoir un projet secret). SocialMiner est vendu aux environs de 1000 $ par serveur, et 1500 $ par agent, et s’inscrit dans un ensemble de produits tels que Cisco Finesse, le réseau social d’entreprise Quad et une plateforme d’enregistrement de médias (audio et vidéo).

Le Projet Gutenberg est à l’origine l’expérience d’un universitaire, Michael Hart, qui souhaitait créer une sorte de bibliothèque de Babel électronique comprenant les versions ebook de tous les ouvrages tombés dans le domaine public, et ce quel qu’en soit la langue, la provenance, la confession ou le sujet. Mais voilà que Greg Bear (auteur notamment des romans Eon et Eternité), s’étonne de trouver autant d’ouvrages de science-fiction récents dans cette bibliothèque virtuelle. Et la SF, c’est de famille, chez les Bear, puisque Madame Astrid Bear n’est autre que la fille de Poul Anderson, champion d’une SF droitisante et space-opéresque des années 60 à 80. Un Poul Anderson dont on retrouve également quelques nouvelles dans la longue liste des romans d’anticipation diffusés par le site. Mais ce n’est pas le seul, loin de là.

James Blish, Jack Vance, Philip K. Dick, Frederik Pohl, Fritz Leiber, Poul Anderson, Norman Spinrad, Kurt Vonnegut, Frederic Brown, Robert Scheckley pour ne citer que les plus connus : autant d’auteurs contemporains de science-fiction dont certaines œuvres de jeunesse ou nouvelles parfois alimentaires se retrouvent en téléchargement gratuit. Pourtant, certains de ces auteurs sont encore bien vivants, théoriquement protégés par une loi sur le Copyright Etats-unienne assez semblable à ce qui se pratique en France : les droits s’étendent 70 ans après la mort de l’auteur.

Mais tout n’est pas si simple, au pays du dollar. Car un auteur peut fort bien céder la propriété morale de son œuvre au profit d’une entreprise (généralement son éditeur). C’est notamment le cas de la majorité des « super-héros » de bandes dessinées. Dans ce cas, la durée du copyright détenu par une entreprise est considérablement réduite (28 ans après la date de première publication dans certains cas). Un droit qui peut être prolongé par l’ayant droit, moyennant réclamation et finances, mais qui souvent est abandonné lorsque la société d’édition disparaît. Alors, quelle était la nature du contrat liant un Philip K. Dick ou un Robert Scheckley à un des nombreux concurrents de Astounding Science-Fiction ou de Galaxy ? Pour les uns, ces périodiques ne constituent pas un « précédent » permettant à Gutenberg de décréter que l’œuvre est tombée dans le domaine public. Pour les autres, ce n’est là qu’une question d’interprétation, seule comptant la loi au moment où l’œuvre a été éditée et éventuellement protégée. Au centre du débat, l’exemple de The Escape, une nouvelle de Poul Anderson, théoriquement tombée dans le domaine public, mais « re-protégée » un an après sa première publication à l’occasion de la sortie d’une version plus étendue, sous le titre de Brainwave. Le blog e-reads nous explique les arcanes du droit américain en matière de protection des œuvres littéraires et expose le point de vue des époux Bear. Sans condamner l’ensemble du travail de l’équipe Gutenberg, les deux défenseurs des vieux auteurs de Space Opera estiment que le « projet » a outrepassé ses droits.

Déjà, par le passé, quelques auteurs européens (donc certains Français) s’étaient retrouvés « dans le domaine public selon la loi des USA ». Un détail du « droit du sol » que contournait l’aspect international d’Internet, et qui permettait ainsi aux amateurs Français de belles lettres de se procurer gratuitement et en toute illégalité des ouvrages encore protégés en nos contrées.

Cette affaire de « piratage par interprétation »ou « d’interprétation du piratage » survient à un moment crucial : celui de la naissance du livre électronique « as a business ». Google s’apprête à lancer sa bibliothèque électronique en ligne, où chaque client pourra stocker quelque part dans le cloud ses avoirs virtuels achetés auprès de Google et de son réseau de revendeurs affiliés. Apple, de son côté, offre via l’AppleStore un catalogue souvent accusé de puritanisme mal placé, et pour l’instant d’une indigence abyssale en termes d’œuvres classiques. Probablement en raison de leur gratuité, donc absence de chiffre d’affaires, puisque par définition, tout ce qui est classique est tombé dans le domaine public. Chez Amazon, le récent scandale d’une « censure à distance » des livres électroniques achetés par certains de ses clients (la fameuse affaire Orwell ), a rappelé aux cyberlecteurs que le monde des ebook est avant tout une affaire de business, et non une aventure culturelle.

Ces différentes forces en présence se livrent en grand secret une bataille sans merci, qui risque fort de reproduire les mêmes erreurs et les mêmes excès que ce que l’on a pu voir sur le marché de la musique numérique. D’un côté, la sauvegarde d’un patrimoine de l’humanité défendue par quelques utopistes et convoitée par un ou deux chevaliers d’industrie qui espèrent en tirer quelqu’argent. De l’autre, la quasi industrie de la nouveauté, qui s’étend du quotidien d’information au dernier Goncourt, en passant par les publications thématiques telles que la littérature enfantine ou le roman policier. Entre l’Art et le quotidien, entre la culture et le divertissement, le lecteur, pour qui la dématérialisation de l’œuvre et son rattachement à un format parfois propriétaire et à un support indiscutablement éphémère, se demande s’il a le moindre espoir de voir sa bibliothèque lui survivre et s’il sera possible de léguer son patrimoine culturel littéraire comme il n’y a pas si longtemps l’on pouvait léguer une collection de livres. Et quels livres ? Un lecteur, également, noyé dans un océan de nouveautés dont il est impossible d’établir la moindre valeur autre que marchande. Un lecteur, encore, qui voit ses choix chaque jour un peu plus formatés par les grandes maisons d’édition de livres électroniques, dont le catalogue se restreint (ou se restreindra) au plus rapidement rentable. Un lecteur enfin, qui ne comprendrait pas pourquoi un éditeur continuerait à « vendre » les textes d’un auteur du XVème ou du XIXème siècle alors que même la notion de droits voisins a disparu en même temps qu’ont disparu le papier, l’encre, le brochage, la diffusion…

Si les régimes totalitaristes peuvent faire les frais d’une attaque en déni de service de la part d’organisations militantes, l’inverse est également vrai, comme en témoigne la mésaventure de Survival International, ONG qui aurait essuyé le 28 octobre dernier une attaque en DDoS nous apprennent nos confrères de IT Web ainsi qu’un article de l’organisation humanitaire en question. Cette fois, les attaquants présumés seraient l’Indonésie ou le Botswana, en riposte mot d’ordre de boycott touristique du Botswana lancé il y a peu par l’ONG. Survival International avait récemment dénoncé les exactions répétées à l’encontre des tribus Papoues et aborigènes du Kalahari, et publié, pour appuyer ces propos, une vidéo montrant des militaires Indonésien torturant des Papous.

La Chine, via son Ministère de la Sécurité Publique, fait savoir qu’au cours de l’année écoulée, 460 hackers ont été arrêtés et 180 cas de cyberattaques auraient été résolues. Cette information, tombée dans la journée de lundi dernier, suivait de peu la divulgation du « cablegate » provoqué par Wikileaks. Certaines notes d’ambassade révélées à cette occasion désignent Pékin comme étant la tête pensante de la cyberattaque Aurora.

Pourquoi ce sacrifice de 460 cybersoldats potentiels ? C’est probablement là le tribu que doit payer la diplomatie Chinoise pour désamorcer cette attaque politique imprévue. Les accusations émises par la Maison Blanche lors de l’affaire Google China ou du hack des messageries d’Adobe et de plusieurs grands groupes industriels américains s’étaient soldées par de vagues dénégations. Mais le « scoop » Wikileak est d’une toute autre nature, totalement étrangère à la dialectique et aux conventions de la politique internationale. On est dans le discours crû et direct, cynique parfois, de la cuisine du pouvoir, sans dialectique, sans périphrases ou euphémisme. Les ambassadeurs décrivent leurs interlocuteurs tels qu’ils sont et non tels qu’ils voudraient paraître, et parlent ouvertement des coups bas de la cyberguerre sans employer les précautions de langage habituelles. Ce qui « fait vrai » et marque bien plus l’opinion publique.

Des courriers d’Ambassade qui parlent donc d’un pilotage direct des « hacktivistes » Chinois par le gouvernement. Ces alliances objectives d’intérêts et ce conditionnement patriotique propre aux pays collectivistes (ou anciennement collectivistes dans le cas de la Russie) ne sont un secret pour personne dans le milieu de la sécurité, mais pouvaient relever du fantasme à la James Bond pour le très cartésien lecteur du Monde. La fuite d’information organisée par Wikileaks transforme ce fantasme en forte probabilité, que seul des chiffres sur la lutte contre la cyberdélinquance en Chine pouvaient amoindrir. Il est peu probable que les 460 « pirates » Chinois aient fait partie des cybertroupes d’élite de cette armée populaire d’un nouveau genre, et que seuls les plus encombrants et les moins doués aient fait les frais de cette opération. Rappelons tout de même que la peine de mort a déjà été prononcée (et mise à exécution) à l’encontre de hackers Chinois, et que dans les cas les moins graves, les peines de prison sont souvent lourdes. Il serait imprudent et réducteur d’associer ces 460 arrestations comme 460 applications d’une sorte de « Lcen locale ».

Trend Micro, éditeur d’antivirus et outils DLP a annoncé son intention d’acheter Mobile Armor, un spécialiste du chiffrement (disque complet ou données isolées). Le montant de la transaction n’a pas été précisé.

C’est le premier McAfee Focus qui se déroule à Paris, cette journée du 2 décembre. Un Focus certes moins « grandiose » que ceux organisés trois jours durant à Las Vegas, mais orchestré avec la même partition : établir un contact direct avec les grands clients et partenaires, dresser un tableau du marché d’une part et de la cyberdélinquance d’autre part, et apporter les informations techniques à ceux qui le désirent… sans pour autant tomber dans les excès d’une « developer’s conference » ou d’un cycle de présentations sur le hacking de haut niveau. Focus, c’est la « RSA Conf » ou le « Check Point Tour » de McAfee, le plus ancien de tous les chasseurs de virus présents sur le marché.

Evènement Parisien, mais surtout évènement francophone, les conférences analogues étant jusqu’à présent toutes tenues par des orateurs d’expression anglaise. L’occasion pour Gert Jan Schenk, Président EMEA de l’entreprise, de brosser à grands traits la future stratégie « McAfee 3.0 » du groupe, devant un parterre d’auditeurs Belges, Français, Luxembourgeois et Suisses.

Ce fut également l’une des rares occasions d’écouter, « en Français dans le texte », les interventions de quelques chercheurs du laboratoire Avert, venus là pour apporter ce crédit technique indispensable à une telle réunion. Et notamment François Paget, un spécialiste des rouages cybermafieux, que l’on a plus souvent l’occasion de lire sur le blog de l’Avert.

« L’exposé que j’ai écrit pour la circonstance s’intitule « cyberinsécurité : profits illicites, hacktivisme et campagnes extrémistes». Il montre à quel point le cybercrime se porte bien, mais la lutte contre cette cyberdélinquance ne va pas mal non plus. En en 2010, nous avons été témoins de beaucoup d’activités de la part des services de police … activités qu’accompagnent de fructueuses interpellations. Démonstration également de l’existence d’étroites relations tant politiques, humaines et économiques entre ces différentes menaces. Simplifions l’analyse en la réduisant à 4 points principaux :

Vient ensuite la question de la cyberguerre qui peut fort bien reposer sur la manipulation de mouvements nationalistes tel que cela a été constaté dans l’Est. Cette forme de bataille rangée à coup d’ordinateurs n’en est qu’à ses débuts, et demeure, pour des raisons évidentes de secret quasi militaire, relativement inconnue. Tout au plus peut-on dire que certains « guerriers compétents » sont convoités par les militaires des différents pays, même si par le passé leurs actes étaient répréhensibles. A ce sujet, l’historique de torpig, le troyen utilisé il y a 1,5 à 2 ans contre les banques françaises est un exemple peut-être à ne pas oublier. L’Oclctic a pourtant « logé » l’auteur, mais les services Russes n’ont pas réagi… Par certains aspects, la cyberguerre n’offre que de faibles différences avec l’hacktivisme.

Le cyberterrorisme, de son côté, s’inspire directement des techniques de cyberguerre et du cyberhacktivisme : même si aucune preuve formelle d’action directe n’a été rencontrée jusqu’à présent, l’on est certain que ces groupes utilisent Internet d’une manière plus courante que l’on ne l’imagine. Je montre notamment, lors de ma présentation, l’exemple de trois personnes issues de la mouvance Al Quaida qui emploient l’image vidéo pour revendiquer l’assassinat de personnalités. Internet est un vecteur de propagande que sait très bien exploiter des mouvements tels que le Gimf, Global Islamist Media Front, sorte de « cabinet de relation publique » des mouvements islamistes. (ndlr : Gimf qui est à l’origine de l’expression « online Jihad », qui illustre ce propos)

Dernier point enfin, qui recoupe peu ou prou le second, celui de la cyberguerre, le cas Stuxnet. Tout le monde en a parlé tant sous un angle technique que politique ou stratégique. Mais ce n’est qu’un début. « Grâce » à lui, aujourd’hui, on peut commencer à imaginer ce que pourrait-être un programme malveillant à des fins de cyberguerre ou à des fins terroristes dans les années à venir. »

« Il cause, il cause, c’est tout ce qu’il sait faire » paraphrase Robert Graham dans un article intitulé « l’iPhone est-il identifiable sur un réseau WiFi ? » ? Et la réponse est « oui, sans l’ombre d’un doute ». Le patron d’Errata Sec ne nous apprend rien de franchement fondamental, mais il regroupe, dans une intéressante collection d’indices, tout ce qui pourrait permettre à un discret sniffeur d’établir le profil d’un appareil Apple : adresse MAC WiFi et Bluetooth, identifiant de machine (mDNS) broadcasté toutes les deux minutes, user-agent et requêtes Wispr… certains de ces indices son modifiables mais pas tous, regrette Graham. D’autant plus que certaines modifications, telles que celles des adresses MAC, contraignent l’usager à « jailbreacker » son téléphone.