juillet 29th, 2011

Et si ces taxinomies, cette tentative de classer, ordonner, répertorier et ficher les « crimes informatiques », étaient biaisées depuis le début ? Si ces « nouvelles générations de hackers » n’étaient pas si nouvelles que çà ? Les taxonomistes seraient bien embêtés. Car cela voudrait dire qu’il y a toujours eu, de tous temps, des hacktivistes numériques, des activistes politiques, des truands avares de fric, des savants avec éthique, des Assanges qui font la nique, mais que l’on ne s’en apercevait pas trop.

Probablement parce que l’on ne se rendait compte de rien, faute de métriques, d’outils de surveillance et d’administration, voir faute de simples compétences informatiques. Probablement aussi parce que bon nombre de ces ressources ont longtemps été protégées par des systèmes sinon propriétaires, du moins aux mécanismes connus seuls d’une élite, sorciers de BSD, gourous de SNA… et que l’on vivait encore sur cette sécurité par l’obscurantisme. Hélas, Windows a mis le pied dans la place. Il est bien loin le temps des cathédrales informatiques, Le monde est entré Dans un nouveau millénaire, celui du libre-service numérique et de la vulnérabilité connue de tous.

L’article de Nicolas Zeitler (voir premier volet) est d’ailleurs très édifiant sur ce sujet. Interrogé sur le sujet, Lars Sobiraj, rédacteur en Chef d’une revue Allemande destinée à la jeunesse, déclarait « La chose terrifiante à propos de ces attaques (ndlr, le hack de la police Allemande), c’est que les délinquants sont très jeunes. Si des écoliers de 17 ans sont capables de faire ça, qu’arriverait-il si un hacker plus expérimenté commettait une telle attaque » ? Personne, en revanche, pour se poser la question fondamentale : si des systèmes stratégiques tels que ceux de la police peuvent être « pentestés » par des adolescents pré-pubères, si se font aussi hacker les administrateurs des serveurs du MIT, temple ô combien chanté de la sécurité informatique, c’est qu’il y a un réel problème de fragilité intrinsèque des systèmes d’information. La faute n’en revient pas (seulement) aux RSSI et administrateurs. Elle est également partagée par ceux qui décident d’y stocker des informations stratégiques en sachant pertinemment que le système est faillible. La faute aux promoteurs d’une sécurité « globale », aux grands marchands de « gouvernance » qui se focalisent sur les grandes stratégies et parfois mésestiment le détail. Or, c’est par le détail que pénètrent les hackers. La faute enfin à tous ceux, tels les membres de la Royal Society ou les mandarins du MIT, qui protègent leurs rentes de situation en inventant une sorte de « DRM techno-légal » consistant à emprisonner sur des ordinateurs des documents du domaine public et en en interdisant l’accès en vertu des LCEN locales.
Ce n’est probablement pas le nombre de voleurs d’informations qui a augmenté, mais le volume d’informations à voler. Ca et l’incroyable faiblesse des moyens de protection mis en œuvre qui incitent au piratage.

Nombreux sont nos confrères à avoir pondu un article nostalgique sur le trépas annoncé du Minitel. Fin juin disparaîtra la fierté technologique Française, l’« ancêtre d’Internet avec l’accent Berrichon ». Cet annuaire électronique était, comme le rappelle Tom’s Guide, avant tout une vache à lait. Car le premier hack du Minitel a été celui du portefeuille de la plupart des usagers qui, grâce à la « facturation multipaliers », ont compris ce que leur réservait l’avenir. Sans école du Minitel, jamais nos chers, très très chers opérateurs ne seraient parvenus à établir des modèles de facturation aussi élaborés que ceux en vigueur dans le monde de la téléphonie mobile.

Le second hack du Minitel fut surtout psychologique. Longtemps, Internet fut présenté en France comme un « Minitel Mondial »… Quand on sait ce que pouvait coûter une communication de 5 minutes sur un 3614 parisien, l’on comprend vite la crainte que pouvait engendrer l’éventuelle facturation de 20 secondes avec un web de Sidney. Inutile de chercher plus loin la relative lenteur du décollage d’internet en France. Il faudra que les opérateurs se lancent dans une longue campagne en faveur du « téléchargement rapide » pour abolir cette barrière psychologique. Ceci dit, les tous premiers fournisseurs d’accès en ont largement profité. Certains parvenaient à dresser une triple facturation sur les connexions Internet : un abonnement tout d’abord, suivi d’une facturation temporelle (là, le FAI n’y était pour rien, c’était la dime de notre opérateur historique) puis parfois un surcoût au volume, ou un reversement partiel des temps de connexion facturés par l’Opérateur. Combien de fois a-t-on entendu dire « Internet est un feu de paille, il n’existe aucun modèle économique viable comparable à celui du Minitel ».

Le troisième hack du Minitel fut également celui des premiers émois des « remote exploits ». Oh, un bien grand mot pour désigner ce qui, généralement, se résumait à la découverte d’une « séquence d’échappement » donnant accès soit à un menu telnet, soit directement aux « prompt » du système d’exploitation des serveurs. Jamais plus, depuis cette période, l’équipe de CNIS n’a fait de tels progrès en termes de maîtrise des systèmes sous Pick et Prologue. De toute manière, il y a prescription.

Les hack du quatrième type étaient à la fois logiciels et matériels. Firmware devrait-on dire. Rappelons que ces terminaux absolument pas intelligents fonctionnaient traditionnellement en mode asymétrique 1200/75 bauds. 1200 en descente, 75 en liaison montante… personne ne pensait alors qu’un humain aurait pu dépasser 75 bauds en dactylographiant une missive sur un clavier alphabétique conçu par un maniaco-dépressif et destiné à des doigts d’enfants de moins de 15 ans. Mais très rapidement, quelques bricoleurs astucieux ont compris que la prise DIN située au dos de l’appareil n’était autre qu’une prise série (on dirait un « jtag » à notre époque) compatible RS232 niveau TTL. Deux transistors d’adaptation de niveau plus tard ou, pour les plus fortunés, un circuit Maxim, et ledit Minitel était transformé en modem relié au port série des ordinateurs de l’époque. Un modem gratuit…. Une aubaine à l’époque où le plus petit 300 bauds « full duplex » était vendu à prix d’or. Une aubaine également pour certaines boutiques de composants qui vendaient des buffers de cartes série par brouettées entières. Combien de ports com1 ont succombé par surtension et absence de masse équipotentielle, entre un « compatible IBM-PC » et un Minitel (alimentation à découpage, châssis chaud). Toi qui entres dans le domaine des télécoms, n’oublies pas ton fer à souder.

Très rapidement, les utilisateurs passionnés de télématique (on ne disait pas encore « hacker ») ont découvert que certains Minitel (les fameux modèles 1BR) pouvaient, moyennant une opération simple, être « retournés » et fonctionner à 1200 bauds à l’émission (75 à la réception). S’en sont suivis plusieurs utilitaires permettant de transférer des données en 1200 bauds alternat, un luxe que même les américains nous enviaient.

De ces bricolages sont nés les premiers « microserveurs » Français, les BBS ou Bulletin Board Services. L’un des premiers fût OUF (Organisation Utilisateurs France), utilisant une version pilotable à distance de CP/M connue sous le nom de Zcpr3. Bill Graham était son SysOp. Puis vint Gufi Groupement Français des Utilisateurs d’Informatique, piloté par Bernard Pidoux. Et enfin Suptel, premier « gros » BBS Français dirigé par Lionel Bruno, qui doit son nom au fait d’être né sur les ordinateurs du laboratoire de langue de l’école Sup Télécom. Tous ces serveurs étaient « compatibles Minitel », certains mêmes, tel Suptel, capables de gérer les caractères alphamosaïques complexes. Déjà à l’époque (circa 1981), quelques rares agitateurs commençaient à évoquer un protocole révolutionnaire, TCP/IP, où se lançaient à corps perdu dans la construction d’un grand réseau mondial. Le père du désassembleur le plus populaire dans le domaine de l’analyse forensique, Pierre Vandevenne, ouvrait ainsi le premier node Fidonet en Belgique. Mais c’est toujours grâce au Minitel que les premières flavour (on ne disait pas « distrib ») de Linux ont commencé à faire oublier les mauvais souvenirs de Minix, grâce à des passionnés comme René Cougnenc, Manuel Makarévitch, Attila Altan… On raconte même que c’est dans les caves de Suptel que naquit le tout premier logiciel de communication asynchrone sous Windows (2.10) compatible Minitel. Il s’appelait Twintalk.

ASLR,mises à jour automatiques, sandboxing, chiffrement des ressources de stockage… le Sans fait un rapide inventaires des améliorations en terme de sécurité apportées par Lion, le récent système d’exploitation d’Apple

61 trous dans Safari. Secunia se penche sur l’analyse « post-patch » record d’Apple sur son navigateur Safari. La liste des inventeurs est pratiquement aussi importante et comprend un Français : Nicolas Grégoire, aka Nicob

Peter Adekeye libéré, un juge abasourdi par les pratiques juridiques douteuses des avocats de Cisco : tout est raconté dans une saga passionnante publiée par nos confrères d’Ars Technica. Parfois, les pots de terre gagnent.

Cryptome vient d’ajouter à ses archives l’acte d’accusation de la cour de San Jose à l’encontre des «Anonymous » impliqués dans l’attaque contre Paypal.