août 23rd, 2013

Depuis le 9 de ce mois,le fournisseur de service mail Lavabit n’affiche plus qu’une seule page sur son site Web : l’annonce de la fermeture (temporaire ou définitive) de ses serveurs de messagerie, sous prétexte que l’entreprise ne peut plus assurer à ses clients la moindre confidentialité de ses correspondances depuis le début du scandale Prism. Une attitude, de la part d’une entreprise US, qui tranche très nettement avec le mutisme des Hotmail Microsoft, Gmail Google et autres prestataires tant de messagerie que de services Cloud.

Ladar Levison, le patron de Lavabit, fait de nouveau parler de lui dans une interview accordée à NBC, en déclarant « Je pourrais être arrêté pour cet acte ». La fermeture de son service peut être en effet considérée comme une obstruction au travail de la justice et des agents engagés contre la lutte antiterroriste. Lutte d’autant plus acharnée depuis que Edward Snowden aurait utilisé un compte Lavabit pour organiser une rencontre avec quelques journalistes dans l’aéroport de Moscou.

Pour Levison, il s’agit là d’un cas de conscience. Donner accès aux contenus de ses serveurs le rendrait « complice de crime contre le peuple américain », dans l’autre, il deviendrait hors la loi en refusant de se soumettre à une disposition gouvernementale justifiée par des motifs de sécurité nationale. Ethique contre civisme ou respect de la loi et de l’ordre, la décision n’est pas facile à prendre. Levison (et ses employés) sont sur le point d’être tous au chômage. On est très loin d’une simple question rhétorique.

A peine rendue publique, la décision de Levison en a entraîné une autre, celle de l’occultation de GrokLaw, un site d’informations légales et juridiques situé entre le blog et le serveur d’archives. On y trouve notamment tout l’historique du procès SCO/IBM/Novell/RedHat, Microsoft vs la Commission Européenne…

Sans messagerie, il est impossible d’assurer le fonctionnement de Groklaw. Là est le hic. Et « if we knew what he (Ladar Levison, ndlr) knew, we’d stop too » est-il écrit en première page du site. Le « Grok » de Groklaw vient d’un verbe inventé par Robert Heinlein, dans le roman « En terre étrangère ». Il signifie boire, absorber, comprendre dans toute sa plénitude. Une compréhension qui n’est possible que lorsque toutes les conditions d’accès à l’information et à la préservation de l’anonymat des sources sont garanties.

Cela faisait longtemps que l’on n’avait entendu parler d’une régression aussi intéressante : une vulnérabilité relativement confidentielle (autrement dit non exploitée « dans la nature ») a fait l’objet d’un colmatage lors du précédent patch Tuesday du 13 août dernier. La rustine en question rectifiait une instabilité dans un rouage plutôt critique des infrastructures serveur : les Active Directory Federation Services. Jusque-là, tout va bien… ou presque, puisque certains blocages ont commencé à se produire après application du remède, allant parfois, affirme Graham Clueley, jusqu’à bloquer le service d’authentification inter-annuaires. Redmond a donc dû « repousser » un correctif en date du 19 août, passé pratiquement inaperçu.

Cet incident ne concerne que les entreprises travaillant avec une fédération d’annuaires hétérogènes ne dépendant pas nécessairement d’un même domaine ou forêt. Ces entreprises de taille respectable possèdent en général une équipe de sécurité qui effectue systématiquement des tests de non-régression avant tout déploiement de correctif, surtout si celui-ci concerne une pièce maîtresse telle que les Active Directories. Cette habitude remonte à l’époque des « service pack maudits » qui étaient, à la haute époque NT 3.5/NT4.0, capables de ravager une armée de PDB/BDC aussi sûrement qu’une charge de uhlans déferlants sur Somosierra.

Sur l’air de « on regrette, on a peut-être exagéré », McAfee, en la personne de son CTO Mike Fey revient sur l’estimation des « pertes occasionnées par le cybercrime », lesquelles était estimées par le vendeur d’antivirus à près de un trillion de dollars . Un trillion anglo-saxon (échelle courte) correspond à mille milliards de dollars, soit l’équivalent d’un de nos billions. Ouvrons ici une parenthèse pour rappeler que le trillion non-anglo-saxon (échelle longue) correspondant à un milliard de milliard, ce qui n’a pas franchement embarrassé certains de nos confrères qui ont repris à l’époque l’information avec son erreur de traduction. Les grands massacres ne comptent pas les morts avec une précision inférieure à 3 ou 6 zéros. Dans tous les cas, le chiffre est difficile à avaler, et montre à quel point les boutiquiers de la sécurité adorent surfer sur les vagues anxiogènes.

L’estimation des pertes suite à un sinistre informatique connaît généralement deux méthodes de calcul : en premier lieu, celle des compagnies d’assurance, qui repose peu ou prou sur les pertes directes lorsque celles-ci sont prouvées, factures à l’appui. La seconde méthode consiste à additionner tout ce qui tombe sous la main du Directeur Financier. A commencer par les coûts de renforcement des outils de défense périmétrique et de détection d’intrusion, investissement en général constamment reporté par ce même Directeur Financier sous prétexte de rentabilité impossible à prouver. L’estimation du hack du New York Times par Adrian Lamo est un des exemples les plus criants de cette façon de voir les choses.

S’ajoutent à ce coût du laxisme par procrastination économique diverses dépenses connexes, notamment celles incluant les pertes conséquentes probables. Par exemple, le vol d’une identité bancaire peut à son tour induire une perte par vol pour le possesseur du compte. Se confondent alors les notions de risque et de sinistre, rares étant les médias capables de distinguer, dans cet embrouillamini comptable, le montant exact des pertes.

On ne peut que remercier Mike Fey pour sa franchise. Il reste à espérer que cet aveu soit transformé en une véritable politique de transparence et d’exactitude. Les « cybercrime annual report » publiés à grand frais par les multiples commerçants du monde de la sécurité n’en deviendront que plus crédibles… peut-être.

La vision que les quotidiens US (y compris ceux que l’on pourrait soupçonner d’opinion conservatrice) est assez critique lorsqu’elle traite des récents évènements ayant secoué les TIC ces dernières semaines. Pris au hasard, ou presque, trois articles du PilotOnLine (Norfolk). A commencer par l’annonce de la sentence à 35 ans de privation de liberté pour Bradley Manning. Traître à la patrie ou défenseur de l’honneur militaire ? Le tribunal s’est montré « moyennement clément » pour l’homme qui a révélé les bavures de l’armée US sur les terrains d’opération (notamment l’assassinat de journalistes) et diffusé plus de 700 000 documents confidentiels traitant des guerres d’Iraq et d’Afghanistan. Mais les charges d’entente avec l’ennemi et d’espionnage n’ont pas été retenues contre lui, ce qui fait dire à certains (les porte-parole de Wikileaks …) que grâce aux mécanismes de liberté conditionnelle, Manning pourrait voir le ciel dans 8 ou 10 ans.

On ne peut s’empêcher de se demander dans quelle mesure le procès de Manning n’était pas aussi une sorte de procès Snowden par contumace. Il est difficile, voire impossible pour un jury ou un juge, de ne pas être influencé par l’actualité et par les propos extrêmes proférés par nombre de sénateurs. Et le quotidien de Norfolk n’est pas le dernier à faire le parallèle.

Encore une tranche de PilotOnLine, du lendemain cette fois, avec les « révélations » sur les dérapages de la NSA considérés comme contraire à la Constitution des Etats-Unis. Une information rendue publique grâce à l’EFF suite à un procès contre le gouvernement. L’EFF réclamait l’application de la loi sur la transparence de l’information (FOIA) à propos des avis émis par la Foreign Intelligence Surveillance Court. Laquelle condamnait les agissements de la NSA, condamnation émise en 2011 mais demeurée secrète jusqu’à présent.

Si l’on tourne une fois de plus une page du PilotOnLine, on tombe sur une… affaire d’espionnage. Cette fois, il s’agit d’un ancien militaire chiffreur de la Navy qui vendait des informations secrètes à des espions Russes… lesquels espions n’étaient autres que des agents sous couverture du FBI. Lorsque les barbouzes se font rares, il suffit d’en inventer, et de tenter le premier lampiste venu dans le cadre d’une opération de provocation. Entretien du climat psychotique général ou cours normal de l’espionite aiguë qui frappe les Etats-Unis ? Par moment, on se croirait revenu aux grandes heures du Maccarthysme. Mais contrairement aux années 50, l’ennemi n’est plus réellement le « rouge ». Il est diffus, il prend tantôt le nom de terroriste, tantôt d’ennemi intérieur, tantôt de djihadiste, ou encore d’adversaire économique.

De tous temps, les USA ont eu besoin d’un pendant militaro-politique pour canaliser leur énergie. L’unité nationale contre l’Angleterre coloniale, puis contre l’Espagne, plus tard l’Allemagne, puis contre l’URSS. Lorsque s’est effondré l’adversaire historique, le Grand Large s’est senti totalement déstabilisé, période marquée par le début des opérations militaires extérieures anti-terroristes et la quête d’un sparring-partner à sa mesure. Cet ennemi existe-t-il ailleurs que dans la vision que l’Amérique porte sur le reste du monde ? Pour l’instant, le Nouveau Monde boxe dans le vide, incapable de frapper un insaisissable et invisible adversaire

Si l’on se rapporte aux documents déclassifiés, on se rend compte que les démons seront difficiles à combattre. L’espionnite a métastasé tout le tissu administratif US. En 2011, le juge James D. Bates révélait que, trois ans durant, la NSA a fouillé dans les emails et archives téléphoniques de plus de 56 000 citoyens Etats-Uniens qui n’avaient strictement aucun lien avec la plus petite enquête anti-terroriste. Pis encore, ce même juge s’étonne que les membres du gouvernement se soient rendus coupables de « présenter sous un jour inapproprié » (l’expression exacte est « fausse déclaration », misrepresentation) l’étendue du programme de surveillance électronique de la NSA (This court is troubled that the government’s revelations regarding NSA’s acquisition of Internet transactions mark the third instance in less than three years in which the government has disclosed a substantial misrepresentation regarding the scope of a major collection program) Trois mensonges en trois ans, on peut se demander si cette attitude n’a pas perduré après 2011.

Mais ce qui ressort le plus souvent en parcourant la presse d’Outre Atlantique, c’est l’étonnement face au fait que la Raison d’Etat et le caractère « top secret » de ces informations aient pu aussi facilement servir à camoufler des agissements qui ne relevaient absolument pas du secret d’Etat. Le « confidentiel défense » au secours des bavures de basse police en quelques sortes. Ce qui jette un discrédit général (bien que non ouvertement exprimé) de la presse sur le coupable aveuglement tant des Députés que des Sénateurs, dont le rôle est précisément de veiller au respect de l’esprit des lois et de la Constitution du pays.

Plus qu’une vague affaire d’espionnage, l’Amérique pourrait bien souffrir d’une crise de confiance politique. Tout ça à cause d’un abus de nouvelles technologies, d’emails, de flux VoIP et autres Internetteries, si faciles et si tentantes à surveiller.