La polémique a plus ou moins débuté sur la liste Daily Dave, lorsque Dave Aitel, patron d’Immunity Sec et vendeur d’un redoutable outil de pentesting, signale l’existence d’un article d’Andy Greenberg dans les colonnes de Forbes. Il relate notamment la performance de l’équipe Vupen lors du challenge P0wn20wn. En un temps record, le groupe de Français éparpille façon puzzle les tripes du navigateur Google, mais refuse, au moment de la remise des prix, de fournir la recette de son exploit.
Consternation
Dévoiler les secrets de fabrique est une quasi-tradition lors de ces concours. L’esprit du jeu s’inscrit dans la droite ligne des CTF Defcon ou des courses au cassage de clefs de chiffrement. Des concours généralement remportés par des gourous du code venus soigner leur image de marque ou par des instituts de recherche disposant de réseaux de machines massivement parallèles dressées à détecter des « collisions » aussi hermétiques tortueuses et abstruses que les pensées cachées d’un homme politique en période pré-électorale.
L’histoire aurait pu toutefois s’arrêter là. Un discret « Nous réfléchissons aux modalités liées aux nécessités de remédiation éventuelle de ce genre de vulnérabilité, mais il est encore un peu trop tôt pour en fixer les étapes définitives » aurait noyé le p0ney avec tout au plus quelques remarques acides dans certains blogs de la côte Ouest. Une non-présence au dit concours aurait même été bien plus efficace… ou, en admettant que la participation de Vupen à cette épreuve soit d’une importance marketing certaine, une troisième place ou l’usage d’un exploit moins sensible serait passé comme un courriel au MTA*.
Mais le patron de Vupen, très probablement emporté par l’ivresse de la victoire et la pression des journalistes sur place, manque de diplomatie, et déclare que « même contre un million de dollars nous ne partagerons cette connaissance avec Google/…/ Nous conservons cette découverte pour nos propres clients ». 3pic F4il diplomatique : Vupen n’a fait qu’énoncer très haut ce que ses concurrents pensent tout bas… la discrétion est mère de la porcelaine, dans le business de la cyber-armurerie.
Il n’en faut pas plus pour que le papier de Greenberg fasse réagir l’EFF (Electronic Frontier Foundation). On sait très bien à qui Vupen et les sociétés de ce type vendent leurs exploits, écrivent en substance Marcia Hofmann et Trevor Timm : aux pays membres de l’Otan, dont font partie des pays peu réputés pour leur sens aigu de la démocratie : Russie, Ukraine, Azerbaïdjan, Bello-Russie… et de conclure « tout chercheur en sécurité qui vend un exploit zéro day à ceux qui l’utilise autrement que pour réparer le logiciel incriminé porte la responsabilité de contribuer à un Internet moins sûr pour ses usagers » (any security researcher selling zero-day exploits to those who take advantage of vulnerabilities rather than fixing the software is responsible for making the Internet less secure for users).
Greenberg récidive avec un second papier « faire son marché de ZDE » : tous les tarifs des exploits secrets qu’utilisent les hackers. Un barème que reprennent d’ailleurs nos confrères de ZD Net. La liste de prix en question semble un peu fantaisiste (la valeur de l’exploit Flash dans la vraie vie, par exemple, est située bien en dessous de 100 000$, et encore, s’il est payé) mais ce tableau donne au grand public une information qui, jusqu’à présent, ne dépassait pas les discussions entre gens du milieu : on vend du trou logiciel, et il existe un business de ce qui peut en résulter, à savoir un programme d’espionnage.
Hors, le maquignonnage de la faille avec exploit est un sujet tabou. Tabou car il recouvre une foultitude de cas de conscience.
A commencer par celui soulevé depuis des années par le mouvement « full disclosure », qui milite pour une divulgation publique du défaut en vertu du principe qu’une faille connue est une faille à laquelle on fait attention et que l’on soigne, soit par application d’un correctif, soit par mise en œuvre d’une mesure de contournement. Face à eux, les défenseurs de la sécurité par l’obscurantisme, qui prônent la discrétion : faille inavouée n’est pas à corriger, et coûte donc rien au contribuable. « A condition que les blackhats ne découvrent pas cette faille à leur tour » rétorquent les premiers. La querelle dure depuis quelque 20 ans.
Vient ensuite la question de la rétribution des inventeurs de failles. Une revendication qui date de l’époque des multiples « Month of XXX Bug » et de la campagne « No more free bug » lancée en mars 2009 par trois grands noms de la découverte de faille : Dino Dai Zovi, Charlie Miller et Alex Sotirov. Le message est simple : La découverte d’une faille et de sa méthode d’exploitation (donc de son indice de dangerosité) est le fruit d’un travail important. Nous ne voulons plus travailler « pour la gloire et pour des prunes », les failles devront pouvoir être monnayées, et non pas être le prétexte de la part des éditeurs de menaces de poursuite en justice (rappelons que la loi Française peut être sujette à interprétation lorsque l’inventeur n’est pas un professionnel patenté).
Cette peur de l’avocat a d’ailleurs profité à des organismes pilotés par d’autres éditeurs, notamment le ZDI ( Zero Day Initiative ) qui joue le rôle de tampon entre inventeur et éditeur, et rétribue au passage le chercheur en fonction de l’indice de gravité de sa trouvaille. Dans la foulée, Google, la Mozilla Foundation et quelques autres éditeurs ont accepté de publier des tarifs officiels de rétribution en cas de découverte de faille. Mais la « L33t Prime » de Google, si l’on en juge par l’aventure Vupen, n’est pas assez bien payée pour être incitative.
Mais alors, pourquoi la vivacité de la réaction de l’EFF ?
Parce qu’avec le fil du temps, la liste « Full Disclosure » a vu ses principaux ténors quitter la scène. Certains par peur des représailles des éditeurs, d’autres sans motifs réel. Comment un « couple » comme http-equiv et Liu Die Yu, habitués à publier au minimum une faille exploitable par semaine, a-t-il littéralement disparu du jour au lendemain du paysage de la recherche en sécurité ? Pour certains, la raison se résume en trois lettres. NSA, CIA, FBI… Les fantasmes et les preuves indirectes des opérations de cyber-guerre, notamment les vagues d’intrusion « qui ne sont pas d’origine Chinoise de manière certaine » ont rapidement fait grimper les grilles de salaires dans la fonction publique. L’inventeur de faille ne travaille plus pour un Internet plus sûr et des logiciels plus sains, il œuvre à la défense de son pays. Jusque-là, rien de franchement critiquable, même si la moralité et l’amour de la paix en prennent un coup. Glissons au passage une remarque sur le vieux mythe de la «trappe NSA » contenue dans les sources Unixiens : à l’époque de cette rumeur, les noyaux en service étaient tous bien plus truffés d’imperfection qu’ils ne le sont à l’heure actuelle. Se fabriquer une trappe ne nécessitait aucun développement particulier.
Mais l’histoire récente a prouvé que l’usage de ces cyber-armes ne servait pas seulement à combattre des Etats-Nation en état de se défendre ou des hordes de terroristes. Ce que l’on pourrait appeler le « complexe Amesys » (voir l’ouvrage de notre confrère Jean Marc Manach sur le sujet ) frappe également ces fournisseurs d’exploits. Des outils pour se défendre, certes, mais des outils qui se banalisent et sont employés de plus en plus contre des citoyens « normaux ». L’exploit est à la cyberculture ce que l’écoute téléphonique était aux politiques il n’y a pas si longtemps : une technique de très basse police qui peut viser des journalistes, des acteurs, des syndicalistes… y compris dans des pays qui ne présentent pas les signes extérieurs d’une dictature. Le prétexte du terrorisme favorise les dérives et les actions populistes. Le danger de l’exploit ne réside pas dans sa fabrication mais dans son usage. Il en est de même pour tout autre engin de mort : canon de 155, automobile, couteau de cuisine…
Ce que l’EFF exprime, avec son communiqué, c’est que les vendeurs d’exploits doivent être conscients de leur responsabilité et de l’usage de leurs outils. Ils sont la source, pas coupables mais responsables indirects. Il ne peut y avoir d’amoralité (d’absence de problème moral) en vertu d’une logique d’entreprise : le marchand d’armes a autant de sang sur les mains que celui qui les utilise extrapole l’EFF.
La critique vise d’ailleurs moins Vupen (et concurrents) que les gouvernements clients de ces entreprises de vente d’exploit. Il faudrait que ces armes logicielles ne soient jamais banalisées, qu’elles ne franchissent jamais la frontière d’usage très précise qui sépare d’un côté l’armée (cyber ou non) et les services spéciaux (qui, puisqu’ils sont « spéciaux », utilisent des méthodes hors de tout cadre légal) et les forces régaliennes civiles, la police, la justice, qui se doivent de ne jamais dépasser les limites de la constitution. Aux politiques de ne pas déplacer ces limites ni rendre cette frontière trop élastique. Que les exploits servent à la défense de la nation, utilisés par des espions ou des militaires, passe encore, qu’ils soient utilisés contre les citoyens, à l’intérieur de nos frontières, cela devient insupportable. Un débat houleux qui n’est pas prêt de se calmer.
*NDLC Note de la correctrice : la Commission de la Langue Française s’interroge encore sur cette formulation moderne d’une expression fort ancienne. La quasi disparition des lettres-papier et des bureaux de poste ruraux aidant, certains dires doivent nécessairement évoluer ou périr.
Alors que l’on entend grincer chaque jour un peu plus le ressort du siège éjectable qui menace les locataires de la Rue du Texel, de nouveaux chiffres, de nouveaux éclairages laissent entendre des vérités nouvelles, ou plus exactement des faits que peu de personnes veulent entendre.
A commencer par cette étonnante frénésie pré-électorale qui frappe la Haute Autorité, qui, coup sur coup, lance les premières procédures qui conduiront aux poursuites de contrevenants supposés et vante à qui veut bien l’entendre son efficacité au fil d’un rapport de 14 pages au contenu discutable… et discuté, notamment par nos confrères du, Figaro, journal que l’on peut difficilement taxer d’antigouvernemental. Dans les grandes lignes, le mécanisme de délation mis en place par la Haute Autorité et assuré par des entreprises privées prétend à des victoires (la baisse du téléchargement de fichiers de musique et de vidéo numérique) en utilisant des statistiques expurgées. Certes, la peur du gendarme a fait brutalement baisser la fréquentation des sites d’échange P2P, cela ne fait aucun doute. Mais la brusque montée en puissance des sites de streaming a volontairement été sous-évaluée dans cette étude, explique l’article du « Fig.com ». L’article en profite d’ailleurs pour revenir sur un sujet qui fâche, l’indigence de l’offre légale en matière de produits de divertissement sur support numérique (et ce, malgré les tentatives de maquillage d’échelle effectuées sur les graphiques du rapport Hadopi). S’ajoute à cette pauvreté de l’offre les freins que les éditeurs imposent aux produits ainsi diffusés (verticalité des plateformes, catalogue peu étoffé, application de mécanismes anti-copie allant à l’encontre du principe de l’écoute « mobile »…).
Nos confrères de PCInpact rappellent à ce sujet une vieille étude de 2012 qui laissait clairement entendre que le « piratage » était un vecteur favorisant la consommation de produits légaux : plus je consomme, plus je suis victime d’accoutumance, plus je suis accoutumé, plus je cherche à enrichir les canaux d’addiction, donc plus j’achète de disques et de DVD. Cette logique qui règle depuis toujours le business de l’édition musicale, littéraire et cinématographique (voir également des logiciels) pourrait pourtant constituer la nouvelle voie qu’une Hadopi pourrait exploiter avec profit.
Mais pour y parvenir, il faudrait qu’un certain nombre de choses change. A commencer par la « motivation » des actions de la Haute Autorité. Interrogé lors d’un débat public sur les raisons des dispositions et sanctions, le patron même de l’Hadopi déclarait « parce qu’il fallait bien faire quelque chose ». Une politique de l’action à tout prix qui manquerait malencontreusement de réflexion étayée.
Si motivation il fallait trouver, ce serait déjà en abandonnant le langage amphigourique tenu jusqu’à présent. Ne plus parler d’œuvres, de mise en danger de la création artistique, de dols qui contraignent les artistes au chômage … L’art réel n’est que ce qui résiste au temps, quant au terme générique d’ayant-droit , il désigne financièrement essentiellement les sociétés de production, et quasiment pas les auteurs-interprètes. Une Hadopi qui clamerait franchement qu’elle défend avant tout les intérêts d’un système de fabrication de produits formatés, industriels, pourrait enfin justifier le fait que la duplication d’un produit (et non son vol au sens technique du terme) constitue un manque à gagner pour un business de produits de variétés et de divertissement (et ne voyons pas la moindre connotation péjorative dans cette formulation). Il n’y a dans cette vision aucune prétention artistique, aucun pseudo héritage créatif, seulement une logique de l’argent.
Si justification à la répression il fallait trouver, ce serait à la seule condition que les contrevenants les plus « coupables » soient punis proportionnellement à leurs méfaits. On appelle ça la « proportionnalité de la peine », notion absente de l’actuelle loi régissant le cadre de la Haute Autorité. Un adolescent accro à David Guetta peut fort bien fauter 3 fois de suite… sans pour autant mériter le titre de Serial Downloader. Techniquement parlant, c’est une victime du consumérisme de variétés. Il est en revanche assez étrange que l’Hadopi n’ait elle-même engagé aucune poursuite sur des IP qui ne téléchargent jamais mais qui « font télécharger », adresses pourtant généralement situées au sein de l’espace européen. EZTV par exemple et à tout hasard. Ou lorsqu’une organisation politique, une institution officielle ou qu’un élu quelconque se rend ouvertement coupable de violation de la loi et ne déclenche strictement aucun début d’enquête. La notion d’exemplarité et de responsabilité est pourtant bien présente dans le droit Français. Cette inertie, aux yeux du public, est rapidement assimilée à une coupable cécité, voir intelligence. Vae victis, malheur aux faibles. Passons sur l’impossible poursuite judiciaire des « incitations et culpabilités par intention » des opérateurs télécom et fournisseurs d’accès qui, bien que conscients de la quasi inexistence d’offre légale, continuent à argumenter à coup de « mégabits/seconde » et de « téléchargement rapide ». Las, ces intermédiaires sont difficiles à prendre sur le fait. Toute menace d’imposition directe ou indirecte se répercuterait d’ailleurs sur le montant des abonnements. Ces promoteurs du piratage sont totalement inattaquables. D’ailleurs, ne faut-il pas leur « acheter » le service consistant à fournir les noms de leurs clients ayant utilisé les adresses IP capturées par les services de délation de l’Hadopi ? Il y a là un pouvoir politico-financier absolument intouchable, contre qui la moindre menace se retournera vers l’internaute-citoyen, que celui-ci soit coupable… ou pas.
Si adhésion à sa politique il fallait inventer, ce serait enfin que l’Hadopi puisse reconvertir une partie de son budget dans l’aide à la création individuelle et de petites structures (les labels indépendants par exemple) et non dans la consolidation financière d’entreprises de production et de diffusion de grandes envergures qui, elles, ne se sont jamais aussi bien portées. Ce serait là faire preuve de parti-pris, sans le moindre doute. Mais les gestes politiques les plus forts sont précisément ceux qui vont à l’encontre de la logique financière. On ne peut éternellement parler d’exception culturelle sans parfois tenter de jouer ces cartes de l’exception… et de la culture.
Car si incitation à la consommation il fallait créer, ce serait avant tout en redonnant au monde du show-business une apparence de valeur par la richesse et de diversité, diversité issue précisément des productions des labels indépendants et des auteurs travaillant hors de tout sérail. Il ne s’agit pas là de rêver la mort des grandes usines à tubes et à séries B, mais d’espérer se voir instituer un mécénat d’Etat alimenté par les débordements de l’économie numérique. C’est cet apport de qualité qui diminuera la dépréciation générale des productions aux yeux des consommateurs. On pirate bien souvent parce que l’on considère que le produit ne mérite pas son coût affiché (surtout au tarif des offres en ligne, voir l’article de Cedric Blancher à ce sujet). En rendant à ces productions de divertissement au moins un vernis de prétention réellement artistique et créateur, l’on commencerait très probablement à culpabiliser ou responsabiliser les internautes qualifiés de « pirates »… alors qu’ils ne sont généralement que consommateurs de productions sans valeur.
Non, les lecteurs de CNIS ne sont pas frappés d’amnésie : la faille CVE-2012-0507 a bien été immatriculée le premier janvier dernier, puis colmatée par le ban et l’arrière-ban de l’industrie logicielle. En premier lieu par Oracle, mais également par Microsoft dont le correctif date de plus de 6 semaines et qui a notamment publié une intéressante analyse d’exploitation. Car exploit il y a, et même intégration dans au moins un « kit de fabrication de malware » baptisé Blackhole. Plusieurs éditeurs d’antivirus ont prévenu de l’existence d’un exploit visant spécifiquement les Macintosh, notamment F-Secure et Dr Web, ce dernier estimant que le nombre de machines Apple infectées à ce jour frise le demi-million. Information à classer dans la catégorie « choses improbables » par le département marketing « anti-antivirus » de Cupertino.
Le niveau de risque ayant donc dépassé le onzième barreau sur une échelle de Richter en comptant 10, Apple a décidé de publier un bouchon adapté pour deux versions de ses noyaux. Dire que l’application dudit patch est urgente et nécessaire est un doux euphémisme.
Rappelons que la semaine passée, une série de 6 failles avait été colmatée dans le navigateur Opera pour OSX. Les 6 trous de sécurité sont détaillés dans le « changelog » d’Opera 11.62 (http://www.opera.com/docs/changelogs/mac/1162/), lequel corrige ces erreurs.
Si l’on en croit la liste publiée sur Pastebin, des hacktivistes se réclamant d’Anonymous (donc appartenant de facto aux Anonymous) se seraient livrés à une campagne de « defacement » sur un peu moins de 500 serveurs web de l’Empire du Milieu, dont une part non négligeable de sites gouvernementaux Chinois. Le hack est accompagné d’un appel à la révolte adressé au peuple, vision radicalement occidentale et conseils de courageux dactylographistes éloignés des fusils de l’Armée Populaire. Opération d’autant plus inutile et dangereuse que le sentiment d’identité nationale est tel en ce pays que les « conseils » en provenance de l’étranger sont assimilés à une forme d’ingérence. Cette réaction est d’autant plus probable que la majorité des cyber-graffitis ont été (comme en témoigne l’illustration d’un article du TG Daily) rédigés en Britannique idiome. Lorsqu’un admin Français (ou à plus forte raison Américain), ou encore le simple visiteur du site touché découvre que la home page est couverte de caractères Chinois, Hébreux, Cyrilliques ou Arabes, il y a là de fortes chances que le message lui échappe et qu’il assimile l’acte à une pure opération de vandalisme gratuit. Par quel miracle cette réaction ne serait-elle pas valable sur les rives du Yang-Tse-Kiang ? Anon 0, Chine 1.
*NDLC Note de la Correctrice : Tiens, un contrepet S.M. Etant de bonne composition aujourd’hui, je le « laisse passer ». D’autant plus qu’il ne figure pas dans les grands classiques de Luc Etienne.