juillet, 2011

Et si ces taxinomies, cette tentative de classer, ordonner, répertorier et ficher les « crimes informatiques », étaient biaisées depuis le début ? Si ces « nouvelles générations de hackers » n’étaient pas si nouvelles que çà ? Les taxonomistes seraient bien embêtés. Car cela voudrait dire qu’il y a toujours eu, de tous temps, des hacktivistes numériques, des activistes politiques, des truands avares de fric, des savants avec éthique, des Assanges qui font la nique, mais que l’on ne s’en apercevait pas trop.

Probablement parce que l’on ne se rendait compte de rien, faute de métriques, d’outils de surveillance et d’administration, voir faute de simples compétences informatiques. Probablement aussi parce que bon nombre de ces ressources ont longtemps été protégées par des systèmes sinon propriétaires, du moins aux mécanismes connus seuls d’une élite, sorciers de BSD, gourous de SNA… et que l’on vivait encore sur cette sécurité par l’obscurantisme. Hélas, Windows a mis le pied dans la place. Il est bien loin le temps des cathédrales informatiques, Le monde est entré Dans un nouveau millénaire, celui du libre-service numérique et de la vulnérabilité connue de tous.

L’article de Nicolas Zeitler (voir premier volet) est d’ailleurs très édifiant sur ce sujet. Interrogé sur le sujet, Lars Sobiraj, rédacteur en Chef d’une revue Allemande destinée à la jeunesse, déclarait « La chose terrifiante à propos de ces attaques (ndlr, le hack de la police Allemande), c’est que les délinquants sont très jeunes. Si des écoliers de 17 ans sont capables de faire ça, qu’arriverait-il si un hacker plus expérimenté commettait une telle attaque » ? Personne, en revanche, pour se poser la question fondamentale : si des systèmes stratégiques tels que ceux de la police peuvent être « pentestés » par des adolescents pré-pubères, si se font aussi hacker les administrateurs des serveurs du MIT, temple ô combien chanté de la sécurité informatique, c’est qu’il y a un réel problème de fragilité intrinsèque des systèmes d’information. La faute n’en revient pas (seulement) aux RSSI et administrateurs. Elle est également partagée par ceux qui décident d’y stocker des informations stratégiques en sachant pertinemment que le système est faillible. La faute aux promoteurs d’une sécurité « globale », aux grands marchands de « gouvernance » qui se focalisent sur les grandes stratégies et parfois mésestiment le détail. Or, c’est par le détail que pénètrent les hackers. La faute enfin à tous ceux, tels les membres de la Royal Society ou les mandarins du MIT, qui protègent leurs rentes de situation en inventant une sorte de « DRM techno-légal » consistant à emprisonner sur des ordinateurs des documents du domaine public et en en interdisant l’accès en vertu des LCEN locales.
Ce n’est probablement pas le nombre de voleurs d’informations qui a augmenté, mais le volume d’informations à voler. Ca et l’incroyable faiblesse des moyens de protection mis en œuvre qui incitent au piratage.

Nombreux sont nos confrères à avoir pondu un article nostalgique sur le trépas annoncé du Minitel. Fin juin disparaîtra la fierté technologique Française, l’« ancêtre d’Internet avec l’accent Berrichon ». Cet annuaire électronique était, comme le rappelle Tom’s Guide, avant tout une vache à lait. Car le premier hack du Minitel a été celui du portefeuille de la plupart des usagers qui, grâce à la « facturation multipaliers », ont compris ce que leur réservait l’avenir. Sans école du Minitel, jamais nos chers, très très chers opérateurs ne seraient parvenus à établir des modèles de facturation aussi élaborés que ceux en vigueur dans le monde de la téléphonie mobile.

Le second hack du Minitel fut surtout psychologique. Longtemps, Internet fut présenté en France comme un « Minitel Mondial »… Quand on sait ce que pouvait coûter une communication de 5 minutes sur un 3614 parisien, l’on comprend vite la crainte que pouvait engendrer l’éventuelle facturation de 20 secondes avec un web de Sidney. Inutile de chercher plus loin la relative lenteur du décollage d’internet en France. Il faudra que les opérateurs se lancent dans une longue campagne en faveur du « téléchargement rapide » pour abolir cette barrière psychologique. Ceci dit, les tous premiers fournisseurs d’accès en ont largement profité. Certains parvenaient à dresser une triple facturation sur les connexions Internet : un abonnement tout d’abord, suivi d’une facturation temporelle (là, le FAI n’y était pour rien, c’était la dime de notre opérateur historique) puis parfois un surcoût au volume, ou un reversement partiel des temps de connexion facturés par l’Opérateur. Combien de fois a-t-on entendu dire « Internet est un feu de paille, il n’existe aucun modèle économique viable comparable à celui du Minitel ».

Le troisième hack du Minitel fut également celui des premiers émois des « remote exploits ». Oh, un bien grand mot pour désigner ce qui, généralement, se résumait à la découverte d’une « séquence d’échappement » donnant accès soit à un menu telnet, soit directement aux « prompt » du système d’exploitation des serveurs. Jamais plus, depuis cette période, l’équipe de CNIS n’a fait de tels progrès en termes de maîtrise des systèmes sous Pick et Prologue. De toute manière, il y a prescription.

Les hack du quatrième type étaient à la fois logiciels et matériels. Firmware devrait-on dire. Rappelons que ces terminaux absolument pas intelligents fonctionnaient traditionnellement en mode asymétrique 1200/75 bauds. 1200 en descente, 75 en liaison montante… personne ne pensait alors qu’un humain aurait pu dépasser 75 bauds en dactylographiant une missive sur un clavier alphabétique conçu par un maniaco-dépressif et destiné à des doigts d’enfants de moins de 15 ans. Mais très rapidement, quelques bricoleurs astucieux ont compris que la prise DIN située au dos de l’appareil n’était autre qu’une prise série (on dirait un « jtag » à notre époque) compatible RS232 niveau TTL. Deux transistors d’adaptation de niveau plus tard ou, pour les plus fortunés, un circuit Maxim, et ledit Minitel était transformé en modem relié au port série des ordinateurs de l’époque. Un modem gratuit…. Une aubaine à l’époque où le plus petit 300 bauds « full duplex » était vendu à prix d’or. Une aubaine également pour certaines boutiques de composants qui vendaient des buffers de cartes série par brouettées entières. Combien de ports com1 ont succombé par surtension et absence de masse équipotentielle, entre un « compatible IBM-PC » et un Minitel (alimentation à découpage, châssis chaud). Toi qui entres dans le domaine des télécoms, n’oublies pas ton fer à souder.

Très rapidement, les utilisateurs passionnés de télématique (on ne disait pas encore « hacker ») ont découvert que certains Minitel (les fameux modèles 1BR) pouvaient, moyennant une opération simple, être « retournés » et fonctionner à 1200 bauds à l’émission (75 à la réception). S’en sont suivis plusieurs utilitaires permettant de transférer des données en 1200 bauds alternat, un luxe que même les américains nous enviaient.

De ces bricolages sont nés les premiers « microserveurs » Français, les BBS ou Bulletin Board Services. L’un des premiers fût OUF (Organisation Utilisateurs France), utilisant une version pilotable à distance de CP/M connue sous le nom de Zcpr3. Bill Graham était son SysOp. Puis vint Gufi Groupement Français des Utilisateurs d’Informatique, piloté par Bernard Pidoux. Et enfin Suptel, premier « gros » BBS Français dirigé par Lionel Bruno, qui doit son nom au fait d’être né sur les ordinateurs du laboratoire de langue de l’école Sup Télécom. Tous ces serveurs étaient « compatibles Minitel », certains mêmes, tel Suptel, capables de gérer les caractères alphamosaïques complexes. Déjà à l’époque (circa 1981), quelques rares agitateurs commençaient à évoquer un protocole révolutionnaire, TCP/IP, où se lançaient à corps perdu dans la construction d’un grand réseau mondial. Le père du désassembleur le plus populaire dans le domaine de l’analyse forensique, Pierre Vandevenne, ouvrait ainsi le premier node Fidonet en Belgique. Mais c’est toujours grâce au Minitel que les premières flavour (on ne disait pas « distrib ») de Linux ont commencé à faire oublier les mauvais souvenirs de Minix, grâce à des passionnés comme René Cougnenc, Manuel Makarévitch, Attila Altan… On raconte même que c’est dans les caves de Suptel que naquit le tout premier logiciel de communication asynchrone sous Windows (2.10) compatible Minitel. Il s’appelait Twintalk.

ASLR,mises à jour automatiques, sandboxing, chiffrement des ressources de stockage… le Sans fait un rapide inventaires des améliorations en terme de sécurité apportées par Lion, le récent système d’exploitation d’Apple

61 trous dans Safari. Secunia se penche sur l’analyse « post-patch » record d’Apple sur son navigateur Safari. La liste des inventeurs est pratiquement aussi importante et comprend un Français : Nicolas Grégoire, aka Nicob

Peter Adekeye libéré, un juge abasourdi par les pratiques juridiques douteuses des avocats de Cisco : tout est raconté dans une saga passionnante publiée par nos confrères d’Ars Technica. Parfois, les pots de terre gagnent.

Cryptome vient d’ajouter à ses archives l’acte d’accusation de la cour de San Jose à l’encontre des «Anonymous » impliqués dans l’attaque contre Paypal.

Les choses vont de mal en pis pour les taxonomistes*. Car il devient de plus en plus difficile de classifier tout ce que l’on avait l’habitude de ranger dans la case « perte d’informations ». Autrefois, les choses étaient carrées. Soit l’information était perdue par inadvertance (exemple ; l’Union des Banques Suisses demande à quiconque les retrouvera de lui rapporter les 5 disques durs contenant les coordonnées de ses plus gros clients asiatiques) ou par pure désir criminel (exemple : En raison de la récente perte de plus de 94 millions d’identités bancaires, les magasins TJ Maxx sont au regret d’annoncer l’impossibilité de reconduire pour les 150 prochaines années la carte de fidélité de Monsieur Albert Gonzalez).

Deux catégories bien distinctes, une fois de plus les gentils distraits d’un côté, de l’autre les franchement méchants, au milieu, les vendeurs de DLP. La preuve chiffrée sur le site Dataloss db.org.

Plus récemment (mais est-ce vraiment le cas ?) il a fallu ajouter les hacktivistes, les Anonymous, LulzSec et assimilés, bref, ces groupes plus ou moins constitués et identifiables. Un dictateur Africain un jour, un Ministre Espagnol le lendemain, une banque la semaine suivante, peu de temps avant un éditeur de musique et de jeux… Même pourchassés par les polices de France et de Navarre, ces hacktivistes là ont encore le courage de crier « même pas mal » (version moderne de « Ce n’est qu’un début, continuons le com-bat ! »), revendication commentée par Jaikumar Vijayan dans les colonnes de ComputerWorld. Après l’arrestation de plusieurs « chefs présumés » par les polices Etats-Uniennes, Britanniques, Helvétiques-Tessinoises et Italiennes, les hacktivistes encore en liberté clament leur détermination sur Pastebin et affirment leur volonté de continuer à pourfendre la grande conspiration internationale des trusts financiers, des lobbys policiers et des gouvernements complices.

A côté de tout ça, il faut ajouter les activistes sans H et sans CK. Pas les susmentionnés, les vrais, ceux qui sont issus d’une éducation militante politique et ne changent pas de cible comme de chemise. Encore une information d’un confrère d’IDG News Services, Nicolas Zeitler, qui relate le hack par des citoyens Allemands des ordinateurs des services de police Germanique, dans le but de rendre public des informations récoltées par Patras. Patras, le programme d’espionnage utilisé précisément tout ce qui s’apparente à un service de sécurité ou du fisc Outre Rhin. Cette chasse au cheval de Troie policier aurait été rendue possible grâce… à l’injection d’autres chevaux de Troie dans les ordinateurs de l’administration Fédérale. Troyens contre troyens, une aventure digne de Lanfeust. Des arrestations s’en sont suivies, qui ont à leur tour provoqué la publication d’un communiqué signé par les membres du n0n4m3 cr3w, et affirmant qu’aucun des leurs ne faisait apparemment partie des personnes prises par ce coup de filet. Puis d’ajouter, par mesure de prudence probablement, que les documents récupérés sur les serveurs de la police seraient rendus publics si les persécutions continuaient. Point de grandes idées fumeuses, nulle théorie conspirationniste, l’on est là en face d’un affrontement politique classique : coups de main, agitprop, menaces, tentatives de musellement par la force… ce jeu est presque aussi vieux que le monde.

Vient enfin une nouvelle catégorie : les voleurs de données par effraction cherchant à rendre public des informations déjà publiques (si). Le corps du délit, un fichier de 32 Go de communications savantes, dont quasiment toutes ont plus d’un siècle d’ancienneté. 18 592 documents exactement, extraits de la revue Philosophical Transaction. Des extraits qui étaient toujours revendus au prix du neuf par la Royal Society, société de Sciences Savantes Londonienne. Et encore, sous condition, car chaque achat de document ne donnait droit de lecture que sur un seul ordinateur et pour une durée d’un mois seulement, expliquent nos confrères du Reg. Cette âpreté au gain, cette avarice et ce refus du partage offusque Gregory Maxwell, qui décide ipso facto de diffuser sur les réseaux Torrent ces ouvrages indispensables aux chercheurs et aux curieux. Et le Reg de rappeler que, pas plus tard que la semaine passée, un autre « terroriste intellectuel », Aaron Swartz, chercheur à l’Université de Harvard (Massachusetts) avait téléchargé 4,8 millions articles d’une revue Universitaire. Les entraves et limitations de téléchargement imposées par les administrateurs des serveurs avaient poussé Swartz à fracturer une armoire de brassage pour contourner les moyens d’accès conventionnels. Ce fut là son seul crime, il risque la prison.

Tout çà pour la dernière saison de Heroes ou de Dr House ? Pas même. Tout çà pour quelque monographie doctorale sur la paléontologie des vertébrés ou les annales de littérature espagnole du début du siècle (dernier). Dangereux hacking que le hacking qui conduit à la connaissance. Car, contrairement aux fichiers Wikileaks, il ne s’agit là pas seulement d’information mais de culture et de savoir. On comprend le légitime courroux tant du MIT que de la Royal Society. Partie comme est partie (accusation d’intrusion, fraude et vol de données) l’affaire : cela ira engraisser quelques avocats, ridiculiser une fois de plus un ou deux juges de Boston.

*NdlC Note de la Correctrice : Taxonomiste, spécialiste des taxinomies. Taxinomie : sorte de trouble obsessionnel compulsif frappant à période régulière les journalistes ou les experts en cyber-délinquance, et qui consiste à répertorier, classer et catégoriser des comportements, des êtres, des objets, des évènements dans le fol espoir d’y voir plus clair un jour. Ce comportement psychotique connaît des phases culminantes soit en tout début d’année (taxinomie de bilan) soit lorsque les journalistes n’ont rien à raconter d’intéressant.

« Nous n’assurons que les dommages corporels et financiers autres que ceux provoqués par un piratage » estime en substance la Zurich American Insurance, l’un des assureurs de Sony, après que celui-ci lui ait demandé de le protéger contre les quelques 55 procès collectifs intentés par les clients du PlayStation Network. Rappelons que cette intrusion dans l’infrastructure informatique de Sony avait provoqué la fuite de près de 12 millions d’identités bancaires, certaines expirées, d’autres non. L’assureur s’estime dégagé de toute obligation, nous apprend Bloomberg.

Sage décision semble-t-il, car les « putative class action » entamées contre Sony n’ont strictement rien de putatives au sens Français du terme, et pourraient se multiplier au fil des mois suivants, donc coûter très cher aux compagnies d’assurance. Mêmes des spécialistes comme l’Open Security Foundation n’arrivent plus à compter combien de fois les réseaux de Sony on fait l’objet d’un hack et ont provoqué une fuite de données.

Attention, cet article est à ne pas diffuser dans le quartier Montparnasse : il est publié par nos confrères de Telepolis (groupe Heise) et explique que selon une étude du cabinet Gfk, les « pirates » de films seraient parmi les plus gros consommateurs de médias sur DVD et des clients plus que réguliers des salles obscures. Diverses études comparables mais rapidement étouffées avaient été divulguées à l’époque ou l’industrie du disque hurlait à l’égorgement.

Les « majors » et autres boutiquiers de la variété et du divertissement n’ont jamais accepté de prendre en compte l’importance du vecteur promotionnel que représente la duplication « illicite » des médias. Et ce malgré la preuve apportée par la santé éclatante des professionnels du monde logiciel, qui fut probablement l’une des premières professions à « souffrir » du piratage numérique, et pour cause. Les exemples sont nombreux où les éditeurs de soft ont activement encouragé et compté sur le « faire savoir » qu’offrait le piratage : Ashton Tate (et plus particulièrement Wayne Ratliff) lors du lancement de dBase, Philippe Kahn, qui avait inventé le « droit de dupliquer à des fins personnelles et estudiantines » applicable à tout le catalogue Borland, Et surtout Microsoft qui, des décennies durant, a développé, maintenu, entretenu deux éditions Chinoises de son noyau Windows alors qu’aucune filiale commerciale n’existait dans l’empire du milieu… 500 millions de p’tits Chinois, émoi émoi émoi. Et l’on pourrait ainsi multiplier les exemples de « marketing viral » (certains l’ont comparé aux techniques des cartels de Medellin) qui ont été couronnés de succès sur le secteur de l’édition de logiciel. Dans l’univers du divertissement audio-vidéo, ce marketing viral et cette diffusion gratuite existait déjà, via les réseaux de broadcast radio-TV. Comprendre que les mécanismes de diffusion gratuite n’ont fait que s’adapter avec l’arrivée d’Internet paraît manifestement difficile pour les gestionnaires des Majors et de leurs deuxièmes couteaux.

Question toute rhétorique : si d’un coup de baguette magique les pirates sachant pirater cessaient de pirater à coup sûr, à combien s’élèveraient les pertes des fréquentations en salle et de combien chuteraient les ventes de supports ? (l’on prendra comme base les chiffres « sérieux » de l’Hadopi, cad 18 millions d’actes de piratages pour une population de 38 millions d’internautes, chiffres Médiamétrie).

Seconde question : Quel sera le montant que l’industrie des divertissements ne gagnera pas en l’absence d’un hypothétique calcul de manque à gagner estimé sur la base d’une clientèle constituée de mineurs dont le pouvoir d’achat n’existe pas.

Question de rattrapage : compte tenu de l’absence de manque à gagner par suppression des « taxes sur les supports » (puisqu’il n’y aurait plus un seul piratage constaté) de combien d’agences de gestion des droits d’auteurs faudrait-il se passer à échéance d’un an pour assainir la situation financière du milieu.

Vous avez deux heures avant ramassage des copies …

La semaine est exceptionnellement riche en hack téléphonique. La palme de l’information hors norme revient à nos confrères de l’Associated Press qui nous racontent comment les réseaux de téléphones cellulaires des groupes Talibans se seraient faits hacker pour y diffuser une fausse nouvelle, la mort du Mollah Mohammad Omar. Helen Messmer, de Network World, fait un rapprochement avec les différentes actions hacktivistes de ces derniers temps, et notamment l’intrusion sur un site de vente de livres appartenant à l’Otan. Parvenir à faire attribuer un tel acte par des civils incontrôlés est peut-être là une subtile manœuvre d’un service de renseignement occidental. D’autant plus que la méthode et les impacts psychologiques qui en ont résulté ressemblent plus à ce que l’on peut attendre d’un service d’espionnage. Probabilité d’autant plus forte que si la chose avait été du ressort d’un LulzSec ou d’un Anonymous, un communiqué de revendication égotiste aurait immédiatement suivi l’action. La présence de ce paravent hacktiviste permet ainsi de minimiser les éventuelles représailles ciblées de la part des Talibans.

Sur la liste Full Disclosure, même son de cloche, ou à peu près. De prétendus téléopérateurs appellent des internautes pour les aider à installer un antivirus gratuit… un humain de l’autre côté de la ligne, c’est plus rassurant qu’une alerte « pop up », n’est-il pas ?

Neal Krawetz, de son côté, témoigne d’un net accroissement d’appel de soi-disant employés d’eBay ou agents commerciaux de banques en ligne. Agents possédant un fort accent slave. Un slave n’appelle aucun commentaire, deux slaves passe encore… passé six slaves…*. Le développement des escroqueries tirant parti des abonnements VoIP en « flat rate », que l’on pensait voir exploser au début des années 2005, n’a pas encore franchement décollé. Peut-on apercevoir dans ces différents témoignages les signes avant-coureurs d’un usage plus marqué du « Vishing » ?

*NdlC Note de la Correctrice : les amoureux de Pierre Etienne auront reconnu un segment remarquable de la charade à tiroir dont le résultat est « c’est donc ton frère ».