septembre, 2013

Le monde de la sécurité compte avec impatience les jours qui nous séparent des 5 et 6 décembre. Les premiers jeudi et vendredi de ce mois, à Nantes, se déroulera la première conférence consacrée aux Botnets (cf annonce du CFP en juin dernier ). L’évènement se tiendra dans l’amphithéâtre de la Chambre de Commerce et d’Industrie, quai Ernest Renaud.

Les inscriptions viennent d’être ouvertes, et la liste (provisoire) des principaux orateurs retenus a été publiée il y a quelques jours. David Décary-Hétu, Jessa de la Torre, les équipes de Jason Jones, Matt Bing et Marc Eisenbarth, Prakhar Prasad et Aditya Gupta ainsi que Etienne Stalmans et Barry Irwin dévoileront le fruit de leurs recherches : métriques et analyses statistiques des réseaux de bot, théorie et pratique sur la diffusion et infection multiplateforme de vecteurs de zombification reposant sur les principaux navigateurs Web, repérage et chasse des différents réseaux d’attaque, réseaux de confiance au sein même des réseaux mafieux des administrateurs et organisateurs de botnets… autant de travaux qui, jusqu’à présent, étaient quelque peu boudés par les comités de lecture des traditionnelles conférences de sécurité, plus intéressés par la recherche pure que par l’analyse de la cyberdélinquance réelle.

A ces conférences seront associées plusieurs présentations plus factuelles, sur les attaques en drive by download, sur la constitution d’un laboratoire d’expérimentation et d’analyse consacré aux réseaux de bot, de méthodes de détection par analyse du trafic DNS, d’études sur les méthodes de diffusion via des réseaux de proxy ou sur certaines familles très spécialisées tels que les botnets spécialisés dans l’injection de chevaux de Troie bancaires.

Tout ceci n’est qu’un aperçu très « survolé » d’un programme foisonnant. D’ici au mois de décembre, d’autres communications seront ajoutées au programme nous assurent les organisateurs.

Rien n’est plus inquiétant qu’un ennemi intérieur. La frustration qu’accompagne le sentiment de trahison qui suit cette découverte semble pire encore que toute acte, toute attaque provoquée par un adversaire ouvertement déclaré. C’est sur cette crainte sourde que tablent les marchands de DLP et sur cette psychose que font fortune les boutiquiers du vidéoflicage. Des angoisses qui, dans la majorité des cas, peuvent être classées sous l’étiquette « FUD » : Fear Uncertainty and Doubt. Certains FUD avaient même, tel le serpent de mer, le pouvoir de ressurgir à périodes régulières, ainsi les fameuses « backdoor de la NSA dans les noyaux Unix » ou les « spyware camouflés dans le silicium des Bios d’ordinateurs ».

Mais ça, c’était « avant ». Depuis que pas mal de doutes ont été transformés en quasi certitudes ou en lourds soupçons, et les réactions ne se font pas attendre. La plus importante d’un point de vue politique, cette semaine, a été l’annonce de la Présidente Dilma Rousseff, laquelle souhaite voir se développer un Internet Brésilien indépendant des infrastructures américaines et de la mainmise des services de renseignement US, nous apprend un article du World Time. Il faut dire qu’en matière d’interventionnisme dans les pays d’Amérique du Sud, les Etats-Unis ont une longue tradition et quelques réflexes conditionnés. Le développement économique du Brésil est tel que cette déclaration de cyber-indépendance doit être prise très au sérieux. Cette volonté d’indépendance numérique est d’ailleurs une constante au sein des « Bric », notamment en Russie et en Chine. Ce qui fait dire aux experts interrogés par le World Time que cette recherche d’indépendance risque de se transformer en une forme détournée de contrôle des voies de communication par des gouvernement à caractère totalitariste ou despotique. « La preuve, disent-ils en substance, il suffit de constater en Russie, en Chine, En Syrie, en Iran les conséquences de cette mainmise sur les outils de communication, la censure qui y est appliquée et la surveillance exercée contre les habitants de ces pays … ». Le lecteur sachant lire entre les lignes aura compris : il ne peut exister de véritable démocratie sans un internet « ouvert », ouvert surtout aux services de renseignement US. L’espionnage de la totalité d’Internet par les services de police des Etats-Unis ne serait qu’un léger prix à payer pour que règnent la paix, la démocratie et la liberté d’expression dans le monde.

Encore un peu de cyber-cinquième colonne avec cette confidence de Linus Torvalds lors de la conférence LinuxCon qui s’est déroulée à la Nouvelle Orléans, rapportée par nos confrères d’ eWeek. « A la question avez-vous été approché par le gouvernement US pour que soient insérées des portes dérobées dans le noyau Linux , Torvalds a répondu Non, tout en hochant la tête de manière affirmative » rapporte le journaliste Sean Michael Kerner.

Autre ennemi intérieur, celui qui se cache dans nos bras (ou ceux de nos ordinateurs), égorgeant nos fils de discussion et nos campagnes de communication. Et l’on en revient aux craintes fondamentales, celle de la Evil backdoor of the NSA. C’est Bruce Schneier qui en parle le premier, et qui aborde la question des « bugs NSA cachés dans l’électronique de nos ordinateurs ». Et si, se demande Schneier, les générateurs de nombres aléatoires intégrés dans les processeurs de nos machines étaient limités dès la conception, avec une faille « NSA Inside » ? La chose est quasi impossible à prouver, mais la question doit être posée. Cette vision du « bug d’implémentation » purement et simplement suggérée par les services d’espionnage US avait déjà été exposée par Rémi Février à l’occasion de la manifestation Hack in Paris.

Pourtant, les parades existent, qui n’exigent strictement aucune compétence particulière. La génération d’un nombre aléatoire généré à partir de bruit (bruit thermique par exemple, tics d’un rayonnement atomique ou toute autre source d’entropie) ne doit pas nécessairement passer par une fonction Rand d’un processeur dont on ne connaît pratiquement rien de la structure interne. Citons, en vrac, et par ordre de complexité technique, le générateur du Neug, l’implémentation de la clef cryptographique GnuPG Gitorious , la réalisation matérielle de ce qui précède (en kit… plus simple encore qu’un GoodFET), sans oublier un papier passionnant sur les diodes de Chua, un générateur de bruit reposant sur un composant imaginaire que l’on peut parfaitement modéliser avec une électronique conventionnelle. Ce qui prouve que lorsque les informaticiens tentent de dialoguer avec des électroniciens, les résultats font généralement des étincelles.

NdlC Note de la Correctrice : Le passage consacré à la fabrication d’un générateur de nombres aléatoires répond à une question posée par une de nos lectrices régulières, Madame Karine Belpère, de Loche, qui nous demander comment réaliser un tel équipement pouvant être partagé sur un réseau local. Si la génération d’un « bruit » aléatoire est un problème assez peu complexe (résistance carbone chauffée, bruit radio sur des bandes hyperfréquences, diode zener ou avalanche etc.), celui de la conversion de ce bruit en données numériques est un peu plus délicat, car parfois lié à la limitation d’un convertisseur analogique/numérique ou au seuil de déclanchement d’un trigger de schmitt par exemple. Une fois la question de cette conversion résolue, l’interface Ethernet et la diffusion des séquences en mode « chargen » est à la portée du premier Arduino venu. Les développements open source ci-dessus mentionnés nous aident à y voir plus clair tout en obscurcissant l’acuité visuelle de la NSA, ce qui représente un double tour de force. Nous remercions Madame Belpère d’avoir posé cette passionnante question.

Encore un trou Internet Explorer que le MSRC considère comme critique, car exploité dans la nature. Il s’agit de l’alerte 2887505 concernant le CVE-2013-3893 « MSHTML Shim Workaround ». En attendant le correctif qui sera très probablement intégré lors du prochain mardi des rustines, Microsoft suggère d’appliquer une mesure de contournement via un « fix-it ».

Chez Cisco, on prévient les administrateurs du Prime Data Center Network Manager (DCNM) d’au moins 3 CVE et 4 correctifs.

Chez Apple, après l’avalanche de téléchargements liés à l’apparition de la nouvelle édition d’IOS 7 (et aux colmatages de failles conséquemment effectués), on signale l’existence de six CVE concernant OSX Serveur 2.2.2 (Mountain Lion 10.8 et au-delà)

L’article de Mashable a franchement secoué le landernau de la sécurité : « NSA Contract With French Hacking Company Revealed ». Et de publier le facsimile d’un bon de commande auprès de la société Vupen, facsimile obtenu en vertu du Freedom of Information Act.

Aux yeux de la presse nord-américaine, en plein psychodrame Snowdenien et Prismatique, le fait qu’une entreprise, étrangère de surcroît, vende à la NSA des outils de test de pénétration défensif/offensif pose question. D’autant plus que la relation entre Vupen et la No Such Agency ne date pas d’hier, la demande FOIA ayant débloqué un contrat datant de 2012. En fouillant un peu, il est également fort probable que l’on puisse trouver des factures portant le cachet d’Immunity Inc (Canvas) ou de Core Impact. Le budget de la NSA est amplement suffisant pour que ses techniciens puissent s’offrir une bibliothèque conséquente en matière d’outil de pentesting. La position de Chaouki Bekrar, patron de Vupen, a d’ailleurs toujours été très claire : «Nous vendons aux gouvernements alliés, et refusons énergiquement d’exporter nos produits et services dans des dictatures ». En d’autres termes, la direction de Vupen assure qu’il ne saurait y avoir une « affaire Vupen » comme il y a eu une « affaire Amesys ». Alors, pourquoi tant d’émois journalistiques ?

En premier lieu, parce que la presse US réagit de manière épidermique face à toute nouvelle révélation sur l’arsenal de flicage universel que possède la NSA. Cette administration totalement hors de tout contrôle, pas même (ou si peu) celui de l’exécutif, a compromis de manière répétitive et massive la vie privée de dizaines de milliers de citoyens des Etats Unis, révélaient récemment le New York Times et le Washington Post. Et la pilule passe mal. Un outil de flicage supplémentaire dans cette panoplie liberticide est une goutte d’eau qui fait déborder la vase malodorante brassée par les barbouzes US. Situation qui exacerbe les organisations de défense des droits citoyens, ACLU en tête. Cette organisation, réputée pour son radicalisme, se dresse vent debout contre ces marchands d’armes douces que sont les vendeurs de technologies de surveillance. « Christopher Soghoian described Vupen as a modern-day merchant of death, selling the bullets for cyberwar » écrit Lorenzo Franceschi-Bicchierai, journaliste de Mashable, interviewant précisément l’un de ces experts de l’ACLU.

En France, le calme est presque plat. Il faut dire que notre pays compte parmi les plus importants marchands d’armes au monde, que ces armes soient traditionnelles ou liées aux nouvelles technologies.

Reste que, depuis les révélations Snowden, il est apparu de manière un peu plus claire qu’il est parfois nécessaire de se « garder de nos amis ». Le climat n’est plus à l’admiration atlantiste béate des précédents gouvernements, surtout depuis que la guerre économique de l’ombre a été exposée au grand jour par les articles du Guardian. Ce qui était politiquement bien vu en 2012 fleure un peu plus le souffre en 2013 et peut être interprété de la manière suivante : Vupen, entreprise Française, fournit à un ennemi objectif les outils qui facilitent cet espionnage économique visant l’Europe. La responsabilité morale de son dirigeant est engagée, car il est impensable qu’il puisse ignorer la puissance des armes qu’il fabrique et qu’il fournit. Il peut également difficilement avoir oublié les précédents débordements de la NSA et autres services de renseignement US, de Carnivore à Magic Lantern, et donc en tirer les conclusions logiques quant à l’usage probable que la NSA fera de ses Exploits. On en revient une fois de plus à la question de Comte-Sponville sur la moralité du capitalisme. S’il est aisé de voir dans le capitalisme un processus dénué de toute morale intrinsèque, il est moins admissible, compte tenu de la taille réduite des entreprises du domaine de la sécurité offensive, de considérer la morale qui régit l’humain qui les dirige de la logique de profit qui dicte le fonctionnement de toute société commerciale. En d’autres termes, peut-on systématiquement dissocier ce qui relève de l’éthique, ce qui dépend de l’affairisme et ce qui découle d’une certaine culture historique des abus en matière de cyber-intelligence. Alors, Chaouki Bekrar responsable conscient de la vente d’armes technologiques à un pays « à-moitié-ennemi-depuis-les-révélations-Snowden » ?

Sauf que la NSA n’a pas franchement besoin des outils de Vupen pour invoquer le Patriot Act ou exiger la fourniture du contenu hébergé dans la filiale Française d’un opérateur de services US. Sauf que la NSA possède certainement, par ailleurs, ses propres usines à exploits ou ses propres filières d’approvisionnement. Sauf que ce genre de décision sur le contingentement des armes technologiques ne peut dépendre uniquement de la responsabilité d’un chef d’entreprise. Le problème est avant tout politique, et doit être résolu par le biais d’outils politiques. Seulement, il est hasardeux de légiférer sur un tel sujet, surtout lorsqu’aucun autre état n’a osé le faire jusqu’à présent. Aujourd’hui, attentisme rime avec atlantisme, en matière de régulation des cyber-armes, il est encore urgent de ne rien faire. Combien de temps une telle situation peut-elle perdurer sans exaspérer tant les entreprises qui commencent à prendre la mesure du risque lié à l’intelligence économique intrusive des pays amis, et tant les citoyens hantés par les titres alarmistes de la presse généraliste.

Le ZDI, branche de HP bien connue des chasseurs de faille, organisera lors de la prochaine PacSec de Tokyo un concours «Mobile Pwn2Own » doté de près de 300 000 dollars de récompense (la prime maximale n’excédant pas 100 000 $).

Le concours distinguera plusieurs types d’attaque : les compromissions physiques par liaison sans-fil genre Wifi/Bluetooth/NFC (50 000 escudos de récompense), les viols au-dessus d’un nid de navigateur (40 000 doublezons), les intrusions via MMS/SMS/CMAS (70 000 fifrelins) et surtout les assauts par le réseau bande de base GSM, les plus savoureux et les mieux dotés (100 000 bouzgroufs). La liste des terminaux mobiles qui serviront de cible est dressée sur le blog susnommé. Le message « no more free bug » semble être très bien passé… à moins que la vulnérabilité endémique des terminaux mobiles (et la part de responsabilité indéniable des opérateurs) ne commence à inquiéter quelques actionnaires.

On ne pouvait s’empêcher de rapprocher cette information d’une toute autre, celle de l’avis d’un expert de service qui semblerait être interviewé par un journaliste de 20 Minutes. Un expert qu’il aura fallu chercher aux confins du Michigan.

Lequel article titre« Empreinte digitale: Le risque qu’on vous coupe un doigt pour débloquer un iPhone est faible». Ce à quoi l’on pourrait répondre « tout dépend à la fois et des circonstances, et de l’importance de l’information que l’on compte récupérer dans la mémoire dudit téléphone ».L’intégrité physique du détenteur d’un secret est souvent le plus court chemin du hacker aux données, nous rappelle xkcd (https://www.xkcd.com/538/). Reconnaissons tout de même que pour le commun des mortels, autrement dit une personne n’ayant enregistré sur son téléphone ni le code secret du feu nucléaire, ni le code PIN du coffre central de la Banque de France, le principal intérêt d’une lecture biométrique est essentiellement ergonomique : il est plus simple de poser un doigt sur un capteur que de taper un mot de passe complexe (majuscules-minuscules-chiffres-signes-de-ponctuation-le-tout-avec-plus-de-10-caractères). Il est tout de même hasardeux d’utiliser le doigt en question pour autre chose qu’un sésame local, en raison du côté douloureux du mécanisme de répudiation.

Ajoutons à ce tableau de chasse biométrique et téléphonique un billet relativement sanguinolent, celui de Robert Graham qui explique comment il a, par accident, « salé » physiquement le hachage (pour une fois au sens propre du terme) de son identifiant biométrique digital. On comprend mieux pourquoi ce genre d’outil prend le doux nom de défonceuse en Français.

Ces histoires d’empreintes digitales légèrement numériques sont totalement dépassées, s’exclame Car Connection et Mashable. L’avenir est à l’ouverture des portes (d’automobile) par transmission de pensée. L’outil d’authentification idéal, ce seront les ondes cérébrales, espèrent deux chercheurs Nippons de l’Université de Tottori. Avec un peu de chance, les pensées des porteurs de capteurs d’identification seront trop brumeuses pour être décodées si d’aventure l’automobiliste rentrait d’une soirée un peu trop arrosée. Et, contrairement au pouce identificateur qui se fait joyeusement découper dans les séries B américaines, l’amputation de la tête de la victime est généralement accompagnée d’un système de sécurité qui désactive la génération desdites ondes cérébrales. Sauf dans certains cas extrêmes et grand-guignolesques (http://www.horreur.net/film-1302-Cerveau-qui-ne-voulait-pas-mourir-Le-1962.html).

Mais la palme de la bévue téléphonique de cette semaine revient sans la moindre hésitation à l’actuel gouvernement. Emmanuel Paquette et Eric Pelletier, de L’Expansion, rapportent le « coup de colère » de Christophe Chantepy, proche collaborateur de Jean-Marc Ayrault, devant la légèreté avec laquelle les Grands Commis de l’Etat utilisent les téléphones « intelligents » (le terme intelligent étant, dans ce cas précis, utilisé dans le sens Intelligence (Service) Inside). « La NSA est à portée d’oreille, vos SMS et courriels abreuvent leurs datacenters, utilisez les téléphones chiffrés Theorem ! » dit en substance Chantepy. Ah, que ces Ministres sont inconséquents, que ne pourrait-on les condamner d’entente avec des puissances extérieures (car comment qualifier autrement que d’acte volontaire l’usage d’un terminal mobile non sécurisé après les révélations Snowden ?)

Seulement, ce genre de bévue, tous les gouvernements successifs la commettent. La précédente majorité et ses jeunes loups technovores avait avec une coupable inconscience multiplié les manquements à la sécurité informatique : MMS illimités, email privés… et ne parlons pas des usages inconsidérés des réseaux sociaux au sein même du 55 rue du Faubourg-Saint-Honoré, avec les conséquences désastreuse que l’on sait. Le Sénat des Etats-Unis, celui-là même qui vote les budgets de sa très chère NSA, s’était également fait rappeler à l’ordre pour que les boîtes de messagerie RIM ne soient pas confondues avec celles de l’Administration Fédérale, pour d’évidentes raisons de sécurité, d’archivage et de sauvegarde. Et la presse avait fait ses choux gras des « deux Blackberry du Président Obama ».

L’homme politique est une espèce non menacée qui ne semble s’intéresser à la sécurité des systèmes d’information qu’à partir du moment où une loi répressive porte son nom. Dans la vie courante, il a encore beaucoup de mal à saisir les limites et les risques qu’il encoure et fait encourir à la Nation toute entière.

Trois semaines durant, la presse qui raffole d’histoires d’espionnage n’a eu d’attention que pour les écoutes de la NSA et les efforts de piratage de la No Such Agency visant les liaisons SSL (ou plus exactement les « regrettables erreurs commises dans certaines implémentations de SSL ») et les conversations réalisées à l’aide de téléphones portables (voix, SMS, emails, photos etc.). Pourtant, en ce lendemain du 11 septembre, cette même presse est frappée d’amnésie… en raison de la sortie d’un nouveau téléphone un peu plus intelligent, un peu plus collecteur d’informations, un peu plus lié aux réseaux sociaux et à leurs atteintes à la vie privée, un peu plus avide de synchronisations hasardeuses avec un ordinateur de bureau : les iphone 5C et 5S sont sur le marché. Oubliés, les risques d’écoute, de pillage de données et le spectre des collectes de métadonnées : la techno-mode l’emporte, et strictement aucun journaliste ne se hasarde à revenir sur la sympathie d’Apple vis-à-vis des fonctionnaires de l’Administration Fédérale US en général et ceux de la NSA en particulier. Qui aurait cru, il n’y a pas 24 heures, que le marketing résoudrait d’un coup les complexes problèmes de compromission des algorithmes de chiffrement. Il s’est rédigé en une nuit plus de papiers sur les icones et le look du dernier iphone que d’articles sur les implications politiques des révélations Snowden tout au long des 5 derniers jours. A tel point que la page de garde de nos confrères de Network World fait cohabiter deux articles étonnamment opposés, l’un intitulé « les récentes activités de la NSA soulèvent de sérieuses questions à propos des rapprochements réalisés avec les industries technologiques » et un autre qui titre « IOS 7 : beaucoup de choses que les professionnels de la sécurité vont apprécier ». Cynisme ou Alzheimer galopant ? Et nos confrères d’IDG ne sont certainement pas les seuls à se pâmer devant un simple GSM.

Pas d’amnésie en revanche chez Google, dont la confiance a durement été touchée par la crise NSA. Google jura, mais un peu tard, qu’on ne l’y prendrait plus. Et de promettre illico le chiffrement de ses serveurs Cloud. Ce que l’on comprend difficilement, c’est comment un chiffrement « server side » pourrait bien éviter qu’un ordre d’accès délivré en raison du Patriot Act puisse déchiffrer lesdites données avant d’être communiquées aux autorités US. Donner à l’usager le choix de gérer ses propres clefs, ce n’est pas donner à l’usager le droit de choisir son propre algorithme de chiffrement. Quelques rares fournisseurs de services, ainsi Hushmail, préviennent depuis quelques temps leurs usagers qu’aucune clef « server side » ne résiste plus de quelques secondes lorsque le « brute force » se présente sous la forme d’une injonction de la cour ou d’une requête pressante d’une super-barbouze.

Pas d’amnésie non plus auprès de la majorité des prestataires de services les plus en vue (dont certains des « Big Five ») qui s’évertuent à étaler leur probité et fournir à leurs usagers l’état exact de ces intrusions barbouzesques. Ce ne fut d’ailleurs pas sans mal. L’on peut ainsi retrouver sur Cryptome les demandes que Yahoo, Facebook et Google ont déposé auprès de la justice US pour que chacun puisse offrir un « droit de regard » sur ces fameuses demandes de consultation effectuées par les services de police. Faute avouée n’est pas à pardonner. Soyons tout de suite rassuré, les principaux pays démocratiques d’Europe de l’Ouest (France, Allemagne, Italie, Grande Bretagne) se placent avec honneur dans le peloton de tête des états soucieux de fournir une information abondante à leurs services de police. Et ce manifestement sans motif réellement légitime. A titre d’exemple, si l’on se réfère aux chiffres publiés par Yahoo pour la période de janvier à juin de cette année, nos vaillants pandores ont émis 1855 demandes d’information portant sur près de 2300 comptes. Durant cette même période, en Inde, le gouvernement émettait 1500 demandes portant sur 2700 comptes. Des chiffres comparables pour deux pays que tout sépare : 1, 3 milliard d’habitants et 3,2 millions de km² d’un côté, 66 millions et 600 000 km² de l’autre. Et ne mentionnons pas les problèmes liés aux tensions communautaires qui se soldent parfois par des bains de sang au pays de Gandi.

Amnésie. SSL cassé (ou mal intégré) réveillera-t-il un peu plus les consciences des administrateurs systèmes ? Car combien de certificats mal gérés (et pourtant tout à fait légitimes) affichent un message d’alerte qui, par habitude, sera ignoré du client distant ? Combien de pages Web sécurisées faciles à contourner donnent ensuite accès à des contenus confidentiels et autres bases de données client ?

Pas d’amnésie : Côté utilisateur, la compromission d’un mécanisme de chiffrement réputé complexe fera-t-il que les données personnelles seront mieux maîtrisées, que les faux liens diffusés par les réseaux sociaux ne seront plus « cliqués » par tel ou tel fonctionnaire de l’Elysée, que les emails de phishing ou les pdf douteux ne seront plus lus ouverts tant par un éleveur de Haute Savoie ou un employé du Ministère des Finances à Bercy ?

Amnésie : Cette soudaine frayeur fera-t-elle en sorte que les éditeurs eux-mêmes corrigeront de fond en comble leurs offres afin que l’on n’ait plus à redouter telle ou telle faille ASN1, telle édition de Bind réputée trouée, ou telle version de TLS qui ne parvient pas à franchir la barrière 1.0 ? Pourra-t-on un jour résoudre la question du « chiffrement de bout en bout » afin que nul routeur, nul commutateur ou serveur intermédiaire n’ait à déchiffrer/re-chiffrer un contenu pour des raisons d’optimisation de fonctionnement ou… de sécurité ? La fragilité des passerelles et changement de protocoles sont les deux plaies de l’interconnexion des réseaux. Sans l’aide de la NSA, les systèmes prétendument les plus sécurisés accueillent à bras ouverts les collecteurs de données les plus divers. Il y en a comme ça des pages entières sur le site DataLossDb, il en existe probablement bien plus sur les serveurs de stockage des agences à trois lettres.

Pas d’amnésie enfin, une fois de plus grâce aux archives de Cryptome qui publie les versions en langue Allemande et Anglaise de l’enquête de Marcel Rosenbach, Laura Poitras et Holger Stark sur la façon dont la NSA surveille les échanges effectués à l’aide des téléphones « intelligents ». Un long article que l’on peut rapprocher du papier de Gabrielle Coppola sur Bloomberg et qui révèle que les emails et conversations téléphoniques du Président du Brésil Dilma Rousseff étaient sous-marinés par la NSA, tout comme, d’ailleurs, la hiérarchie de la compagnie d’Etat Petroleo Brasileiro.

De tout ceci, il ne ressort qu’une chose importante : Apple sort « enfin » iphone 5S …

13 correctifs seulement, mais 47 failles, dont 31 exploitables à distance, 11 élévations de privilège et 3 fuites d’information possibles, le « patch Tuesday » de la rentrée est plantureux. Dans cette avalanche de bouchons, trois seraient à appliquer au plus tôt, les MS13-067, MS13-068 et MS13-069, qui bloqueraient ainsi, grâce au jeu des rustines agglomérées, près d’une dizaine d’exploits soupçonnés d’être utilisés « dans la nature ». Ces correctifs d’urgence visent essentiellement l’inévitable « cumulatif Internet Explorer », une faille considérée comme critique dans Outlook et une autre dans Sharepoint.

Pléthore de trous également chez Adobe, qui diffuse pour l’occasion une nouvelle version de Flash Player avec 4 défauts corrigés (et considérés comme critiques) et de Shockwave, pour 2 CVE seulement. La version 11.0.04 du Reader XI est également à mettre à jour, en raison de quelques 8 problèmes dont certains classés dans la catégorie critique. Rappelons que certains de ces correctifs concernent aussi bien les plateformes Windows que Macintosh (ainsi Flash).

Java 7 update 40 est également disponible en ce mardi très gras des colmatages de la rentrée.

C’est LA manifestation de cet automne, le pendant provincial et automnal du rush des « spring conference » parisiennes (et Rennaises). GreHack aura lieu le 15 novembre prochain, sur le campus de l’Université de Grenoble, dans le bâtiment UFR Imag. Les thèmes abordés par les principaux conférenciers sont d’ores et déjà connus. L’on compte, parmi les têtes d’affiche, Markku-Juhani, Herbert Bos… et une belle brochette de chercheurs Français. Le niveau des interventions semble s’annoncer aussi varié et aussi technique que l’an passé, mélangeant aussi bien des travaux très « core code » tels que ceux de Herbert Bos avec d’autre plus axés sur les failles user land et réseau (Mathieu Cunche ou l’équipe Achara-Lefruit-Roca-Castelluccia).

La presse est en émoi, la gente geekesque attérée : : la NSA est capable de casser tous les types de chiffrement généralement utilisés sur Internet, affirment le New York Times, le Guardian et Pro-Publica.

Et n’oubliez surtout pas le travail discret, mais efficace, des fonctionnaires du GCHQ Britannique, lesquels rament dans le même sens que la NSA, nous rappelle le Reg dans le cadre de l’alliance UKUSA. Pour eux aussi, espionner l’Europe, c’est espionner l’étranger.

Est-ce là un scoop ? Que nenni ! Lors de la conférence Hack in Paris, Eric Filiol, professeur à l’ESIEA ; expliquait de manière très claire que ce ne sont pas les modèles mathématiques de chiffrement qui sont vulnérables, mais bel et bien leur intégration dans des outils informatiques. Est-il alors étonnant que les grandes centrales de renseignement puissent demander aux intégrateurs de commettre une ou deux discrètes erreurs d’implémentation ? Une légère bévue officiellement involontaire qui prend rapidement des conséquences dramatiques à partir du moment où la globalisation des systèmes de chiffrement transforme un Sha2 en un outil universel, employé de la pointe sud de la Floride à l’extrême Est du Kamchatka. La conférence d’Eric Filiol peut être ( doit être) visionnée sur Youtube. Elle replace l’affaire du « NSA Worldwide Hacking » dans un contexte historique que les gestionnaires et partisans de l’externalisation sauvage ont quelque peu oublié. Qu’est-ce qui a changé depuis HIP2013 ? « Strictement rien, affirme Filiol. Certains beaux esprits parisiens pensent encore que la crypto n’est pas sous contrôle. Le pire n’est pas encore révélé » ajoute-t-il d’un ton rassurant

Ce qu’écrit Bruce Schneier dans ses différents essais, tous deux dans les colonnes du Guardian, est techniquement assez proche des propos tenus par Eric Filiol : ne blâmez pas les maths, critiquez l’homme qui a intégré les maths dans un outil informatique. Et gardez à l’esprit que ces erreurs ne sont pas involontaires.

A la question « que peut-on y faire ? » il n’y a pas de véritable réponse pratique. Schneier, au fil d’un de ses articles, écrit « My guess is that most encryption products from large US companies have NSA-friendly back doors ». C’est précisément ce qui étonne dans cette affaire, déclare Gérôme Billois, expert sécurité du Cercle Européen de la Sécurité et des Systèmes d’Information. « Non pas le fait que la NSA se livre à un espionnage global, mais qu’elle ait pu mettre en œuvre des moyens aussi importants, qu’elle y ait consacré plus de 250 millions de dollars par an ». A titre de comparaison, 250 millions, c’est à peine moins que le budget (étalé sur 5 ans) que le Gouvernement Français consacre au développement d’un couple d’opérateurs Cloud nationaux. Un pourboire à l’échelle des enjeux de la guerre techno-économique qui est en train de se dérouler.

Certes, il est toujours possible d’encourager le recours à des outils de chiffrement moins commerciaux, moins susceptibles d’être compromis « by design ». On ne peut, à ce sujet, passer à côté du billet de Stéphane Bortzmeyer rédigé le premier septembre de ce mois (ce qui tendrait à prouver que certains cryptanalystes Français pourraient être également des futorologues de talent …). Mais Bortzmeyer achève sa tirade par un très pessimiste « cet article se focalise sur l’aspect technique des choses. Mais, évidemment, le problème de fond est politique et c’est dans des changements politiques profonds qu’il faut chercher les vraies solutions. Il n’est pas normal qu’il faille être expert en crypto pour avoir une vie privée ! ».

Or, le politique voit midi à la porte de l’économie. Les 30 dernières années ont vu lentement toutes les initiatives informatiques nationales sacrifiées sur l’autel de la rentabilité. Des systèmes d’exploitation aux logiciels bureautiques, l’idée du Plan Calcul du Grand Charles s’est peu à peu délitée, généralement d’ailleurs sous les coups de boutoir de ceux qui se réclamaient ses héritiers politiques. Le plan calcul, une belle danseuse qui visait non pas à créer des centres de consommation de subsides d’Etat, mais un véritable secteur visant à l’indépendance de nos systèmes d’information. « Oups, trop tard » twitteraient nos cyber-ados.

Foin de lamentations sur ce qui aurait pu arriver, envisageons ce qu’il faudrait faire.

En premier lieu, abandonner toute confiance non seulement dans les offres d’hébergement d’entreprises étrangères, Prism nous le rappelle chaque jour. Et espérer qu’un jour, du côté du Ministère chargé des PME, de l’Innovation et de l’Économie numérique, l’on envisage de décrocher un ou deux combinés téléphoniques pour dialoguer avec d’autres Ministres délégués Allemands, Espagnols, Italiens, Hollandais, Belges… à l’exception toutefois de ceux situés de l’autre côté de la Manche. Il est des initiatives Européennes d’ordre stratégique dont les investissements nécessaires dépassent, et de très loin, l’argent de poche collecté par le Grand Emprunt.

En second lieu, craindre, lorsque l’on est entrepreneur, toute communication sur le réseau public. L’article du Guardian, les explications de Bruce Schneier, un récent article de Wired intitulé « NSA Laughs at PCs, Prefers Hacking Routers and Switches » le disent en termes très simples, la NSA n’a strictement aucun intérêt à pirater les ordinateurs… tout finit par passer un jour ou l’autre par les prises d’un routeur, lui-même soupçonné de contenir des backdoors depuis un bout de temps. Huwei ou Cisco, même combat, seule la nationalité du barbouze de service change … Autant donner du travail à nos valeureuses synthèses de l’esprit et du muscle de la Rue des Saussaies*. Ce qui implique à la fois la création d’une filière de création de routeurs abordables et d’un outil européen de chiffrement, open source, gratuit, directement concurrent des outils si gentiment offerts par l’Administration Fédérale US durant toutes ces dernières années (sans que personne ne se pose véritablement de question sur cet excès de gentillesse …).

Deux initiatives qui relèvent encore de la politique-fiction… ou de la fiction tout court, puisque de politique en matière de technologie de l’Information, il n’y en a qu’une, et elle ne concerne que l’Administration et quelques grands groupes chéris par l’ANSSI. Pour l’instant.

Laissons le mot de la fin à Scott Adams, père de Dilbert, le Nerd le plus connu du globe. Lequel voit la NSA comme un formidable outil de backup spécialisé dans les données d’importance stratégique.

Ndlc, Note de la Correctrice : profession généralement pratiquée par des patriotes bigames (Audiard, « Les Barbouzes »)

Lorsque les gouvernements se livrent à une politique d’épicier pour savoir combien coûtera une intervention militaire en Syrie, les hacktivistes partent, la fleur au fusil, s’étriper à coup d’octets. Au moins, les pronostics vitaux ont peu de chance d’être engagés, comme on dit dans les reportages d’actu-réalité.

Et l’on apprend notamment qu’après avoir vandalisé les sites Web du New York Times et du Washington Post, les prétendus supporters de Bachar El Assad se sont fait les dents sur le portail de recrutement des US Marines, lequel n’arborait plus sa devise probablement inspirée d’un tube de Charles Trenet. Certains de nos confrères s’en émeuvent, ainsi Network World. La veille, d’autres informations laissaient entendre que le site Web de cette Armée Electronique Syrienne autoproclamée avait été hackée, ce que démentent ses animateurs, explique Brian Krebs.

Cette pseudo guerre électronique n’en est pas une, conclut Bruce Schneier. D’ailleurs, personne ne peut affirmer si cette armée est réellement Syrienne. Quant à ces actes de piratage, ils sont plutôt le fruit d’une « fortune de mer » (ou fortune des autoroutes de l’information), les interruptions de service des sites touchés étant la conséquence d’une faille affectant un registrar Australien. « C’est là, explique en substance Schneier, une technique déjà utilisée par les Anonymous en d’autres temps : après la découverte d’une faille, le groupe d’hacktiviste tente d’exploiter le défaut en inventant après coup un prétexte politique ». C’est de l’hacktivisme opportuniste ou de la cyberguerre occasionnelle, en aucun cas le fruit d’une stratégie réfléchie et travaillée. Tout comme les précédentes cyber-guerres d’Estonie ou de Géorgie, la seule guerre qui fait rage est celle des communiqués et de la propagande. Bien fol est qui s’y fie.