octobre, 2013

C’est le plus gros trou Adobe sans Patch Tuesday de l’histoire : un hack portant presque sur 3 millions de compte, identités bancaires (chiffrées) comprises, méfait que l’entreprise résume en un communiqué relativement discret publié sur un blog d’entreprise. Rien, strictement rien sur le site web officiel. Les créances numériques des clients ont été répudiées afin que chaque usager puisse changer son mot de passe. Un second communiqué, tout aussi modeste et sur un tout autre blog, précise qu’entre deux vols de comptes, les intrus en ont profité pour grappiller quelques codes source, notamment ceux d’Acrobat, ColdFusion, ColdFusion Builder… « and other Adobe products » sans autre forme de précision. Mais si l’honneur est perdu, les versions commerciales disponibles ne sont pas pour autant infectées par des codes malveillants ou encourir les risques d’un Zero Day découlant de cet exploit sportif nous jure la Direction d’Adobe.

Tor espionné par la NSA grâce à quelques exploits visant Firefox : tous les détails publiés par le Guardian et le Washington Post sont compilés et détaillés par Bruce Schneier au fil de son Blog. On y parle de Girafes Egotistes (bel hommage des hommes de l’ombre à Stendhal), de Renard Acide, de Gâteaux Quantiques, de Tourmente, autant de noms de code d’outils et de serveurs utilisés par la NSA pour compromettre le navigateur des usagers du réseau chiffré Tor et les orienter vers des serveurs-espions. L’on notera au passage que la communauté hacker (ainsi que le noyau dur de l’équipe de développement de Tor), si prompte à conspuer les travaux d’Eric Filliol sur le sujet en octobre 2011, est étonnamment muette, deux ans plus tard, devant ce hack systématisé. Tor sous-mariné par la NSA, tout le monde s’en doutait, Snowden l’a confirmé.

On notera au passage que les techniques d’attaque « Man in the middle », que l’usage de « droppers » et de serveurs de mise à jour de malware, tant appréciés par les cyber-mafias du RBN et héritiers, est maîtrisé avec la même virtuosité par les barbouzes américaines. Mêmes méthodes, mêmes moyens, même chanson, même refrain.

Mais la vie de super-espion n’est pas drôle tous les jours. La NSA connaît également certaines restrictions. Oh, non pas politiques, encore moins budgétaires, mais électriques, nous apprend Forbes. Le formidable centre d’espionnage situé dans le sous-sol de l’Utah n’est pas assez au courant, au sens propre du terme. Du coup, les teraflops en ligne sont quasiment incapables de remplir leur besogne. Pour le contribuable US, qui a payé des milliards de dollars d’équipement pour pouvoir librement se laisser espionner, la pilule est amère, l’électrochoc difficilement supportable. Rien que la note d’électricité mensuelle frise le million de dollars, assurent nos confrères de la presse économique. Mais les résultats ne sont pas à la hauteur de la facture, la faute aux installateurs qui auraient mal équilibré les charges dans l’organisation de la structure informatique du centre. Du coup, il arrive que des arcs électriques bondissent de boîtier en boîtier à périodes régulières, détruisant allègrement quelques centaine de milliers de dollars d’appareils à chaque saute d’humeur et de courant. L’origine de ces déséquilibres de potentiel manifestement très importants est totalement mystérieuse, encore inconnue à ce jour. Ce qui permet à nos confrères de conclure que le datacenter de la NSA est de loin bien plus important du monde, surpassant ceux de Microsoft, Amazon ou Google qui, eux, n’ont encore jamais rencontré ce genre de problème.

Ces contingences domestiques ne sont rien en regard des cas de conscience posés par le recrutement. Un bon agent de la NSA doit être à la fois discret (du moins légèrement plus qu’un certain Snowden) et compétent. La chasse aux cerveaux prend alors une tournure festive démesurée. On est loin du « wallpaper-CTF de l’Anssi », le Pentagone et la No Such Agency organisent du grand et du lourd affirment nos confrères du Washington Post. Seulement voilà, pour entrer à la NSA, il faut être « propre sur soi » « Applicants must have exceptionally clean records. That means no arrests or expulsions for hacking into school computers or shutting down Web sites ». C’est le mythe du premier de la classe qui ouvre un coffre-fort comme un caïd sorti tout droit d’un roman de Simonin et qui restitue l’intégralité de son contenu à ses chefs, espionne sa voisine sur ordre et sans le moindre état d’âme et hacke 100% des systèmes connus sans jamais avoir piraté la plus petite copie de Sim-City ni volé le moindre caramel mou. Soit les futures recrues n’ont pas fait philo première langue et possèdent un sur-moi en acier trempé (mais assez souple pour se satisfaire de la Raison d’Etat), soit le fantôme d’Eugène-François Vidocq en rit à gorge déployée.

Quand on parle de cyber-espionnage et de NSA, en général, Dilma Rousseff, la Présidente du Brésil n’est jamais très loin. Cette semaine, elle s’en prend au gouvernement Canadien, et plus particulièrement aux Communications Security Establishment Canada qui auraient orchestré une série d’écoutes téléphoniques visant le Ministère des Mines et de l’Energie du Brésil, ainsi que l’Ambassadeur en poste au Canada. Une révélation du New York Times qui survient quelques mois à peine après que l’on ait appris que Madame Rousseff elle-même ainsi que la direction de la compagnie pétrolière nationale Petrobras aient fait l’objet des attentions particulières de la NSA. Encore une révélation signée Snowden.

Quant aux écoutes du réseau de téléphonie mobile utilisé à l’encontre des citoyens des Etats-Unis, elles ne portent pas sur le contenu, juré-craché… ce n’étaient jusqu’à présent que des tests. Des tests qui se sont étalés, du moins officiellement, sur plus d’un an nous apprend encore et toujours le Washington Post. Le quotidien relate les dires du Directeur de la NSA interrogé par une commission Sénatoriale. Ce projet de surveillance se « limitait » à effectuer des collectes de points de géolocalisation en utilisant les capacités goniométriques des réseaux GSM. Une activité généralement très encadrée par la justice, que ce soit en Europe ou aux Etats-Unis, et qui n’est autorisée que dans le cadre de recherches dans l’intérêt des familles ou enquêtes portant sur des opérations de grande délinquance. En marge de cette audition Sénatoriale, se pose la question de la conservation dans les archives de la NSA qui, durant plus de 300 jours, a littéralement enregistré les parcours des citoyens ainsi surveillés. L’on s’interroge également sur ce que pourrait bien en tirer la NSA. La fréquentation de certains lieux, s’ils sont communs à ceux visités par des personnes recherchées ou soupçonnées d’activité illégales, pourrait bien transformer un innocent quidam en un suspect numéro 1 dans une affaire de terrorisme. Etre là, au mauvais moment, au mauvais endroit, voilà qui devient de moins en moins le début d’un bon roman policier et de plus en plus l’amorce d’un mauvais cauchemar kafkaïen. Dans cette grande valse des suspicions qui en entraînent d’autres, dans cet univers d’analyse des « degrés de relations », tout le monde finit un jour ou l’autre par se découvrir un lien quelconque avec un Chef d’Etat, un artiste réputé, un chercheur de renom ou un poseur de bombes.

L’ensemble de ces quelques péripéties qui ont émaillé le quotidien des agents de la NSA s’est déroulé sur moins de 4 jours de lecture des quotidiens US. On ne peut avoir qu’une pensée émue envers ces hommes de l’ombre qui cherchent en vain à vivre heureux et cachés, qui, sans cesse, se retrouvent en butte aux harcèlements de la presse, des politiques, des imprécateurs, des internautes et de l’opinion internationale.

Rarement décision de justice n’aura entraîné autant de commentaires à chaud, tant dans la presse que sur les réseaux sociaux : le tribunal de Pau a condamné un usager professionnel de Paypal sous prétexte qu’en utilisant ce système de transaction, l’intéressé avait techniquement ouvert un compte au Luxembourg, base centrale de Paypal Europe. Or, le fait de ne pas déclarer l’existence d’un compte en banque situé à l’étranger est considéré comme une dissimulation et passible d’une amende de 1500 euros, quand bien même ce compte ne contiendrait pas le moindre centime. Fermez le ban.

Pour bon nombre de fiscalistes, cette décision est inepte, puisque le jugement ne fait pas la différence entre (ou du moins confond) un compte technique et un compte fiduciaire. Inepte également car allant à contre-courant des habitudes de la Justice dans des affaires analogues. La fameuse « liste des 3000 » provenant de la HSBC Genevoise ne compte que 3000 noms qu’après expurgation des comptes vides ou négatifs… hors, comme chacun le sait, un compte vide ou négatif ne constitue un compte de transit et de blanchiment d’argent que dans les mauvais romans policiers ou les films de seconde zone. Jamais, en aucun cas, dans la vraie vie, surtout si ceux-ci appartiennent à des notables ou des personnages politiques en vue. Mais après tout, Vae Victis…. Un antiquaire de province n’est pas un Ministre.

Débordées par les avalanches d’appels téléphoniques, les perceptions de France et de Navarre assuraient leurs chers contribuables qu’un compte « vide » et ne servant qu’à acheter (et non à encaisser la moindre somme) n’était pas soumis à cette obligation de déclaration. Une interprétation qui elle-même semble en contradiction partielle avec le jugement de Pau et avec l’éclairage qu’en donnent plusieurs experts, les un s’exprimant par voie de presse radio-TV, les autres sur les réseaux sociaux ou via la presse en ligne. « En cas de doute, tirez dix centimètres de formulaire Cerfa 11916*06 (http://www.impots.gouv.fr/portal/dgi/public/popup;jsessionid=DBBEEJC1YWD31QFIEIPSFFA?temNvlPopUp=true&action=openImprime&docOid=ficheformulaire_3791&typePage=ifi01&hlquery=null) propres et sec » insistent les plus prudents

Mais le principal danger que cette décision risque fort d’entraîner est ce que l’on pourrait appeler une « réaction Hadopi ». Face à un risque de poursuites légales, les habitués d’eBay ou du Bon Coin pourraient changer de mécanisme de payement comme d’autres abandonnent le Peer to peer pour se lancer dans le Direct Download. Et les alternatives ne manquent pas. Ce serait une aubaine pour les organismes financiers ne garantissant pas, contrairement à Paypal, la transaction de bout en bout (Moneygram, Western Union, Cash Deposit de Wells Fargo, REloadit), et dont on sait l’intérêt que leurs portent escrocs, scammers et autres artistes de l’entourloupe Nigériane.

Pis encore, les internautes pourraient recourir aux services de certaines banques en ligne Russes réputées pour leur totale absence de transparence et de scrupules, celles-là même qui alimentent les caisses noires des mafias de l’Est et sont si prisées des Bot Herders et professionnels du skimming. Un juge d’instruction un tant soit peu au fait des réactions du public et du marché bancaire en ligne ne peut ignorer l’existence de ces réseaux, et a certainement rendu son jugement en parfaite connaissance de cause et en pleine conscience de ses conséquences. On ne peut soupçonner un grand magistrat d’avoir pris une décision irréfléchie.

Dans le milieu du hack matériel « noble » et du DIY, de la vente de particulier à particulier, de la vie associative ou dans le monde des collectionneurs amateurs, on ne vit que par une foultitude d’échanges, d’achats mutuels, de groupements de revente, et donc de comptes paypal servant à des collectes souvent destinées à « payer les timbres » ou alimenter des caisses d’association. Dans ces cercles-là, le mot d’ordre a immédiatement été donné : règlements en liquide à partir de ce jour. La décision de Pau a eu, à un petit niveau, pour première conséquence d’enterrer un peu plus, d’occulter plus encore, une mini-économie parallèle touchant des millions de personnes, et ainsi inciter les contribuables à des pratiques noyant les fraudes (les véritables) par foisonnement dans un océan de petites transactions.

Monaco, le 4 octobre : Clément Chazalot CEO et co-fondateur de DocTrackr, Lauréat du prix de l’Innovation des Assises 2013, est l’archétype de ce que détestent les capitaux-risqueurs Français : un homme qui possède une bonne idée, une équipe soudée et fonctionnelle, des chances de succès certaines sur un marché de toute évidence demandeur. C’est donc en toute logique que cet ex-Gemalto (accompagné d’Alex Negrea, également ex-Gemalto) ont dû se retourner vers des VC nord-américains (Polaris et Atlas Venture, qui apportent près de 1,3 M$ dans la corbeille) et intègrent le giron de TechStars, accélérateur de startup Bostonien. L’équipe compte près de 14 personnes aujourd’hui, après un peu plus d’un an d’existence

Doctrackr est un outil de gestion de DRM associé aux fichiers Microsoft Office (dans le cadre de Sharepoint) ou Adobe : une fois le document marqué et chiffré avec l’outil, il ne peut être lu que par un poste client lui-même équipé de Doctrackr et doté du lecteur de fichier adéquat. Dans le cas contraire, le contenu du document est remplacé par un texte d’avertissement précisant que ce fichier est protégé. Si le destinataire est autorisé, le document renvoie automatiquement à son émetteur un certain nombre d’informations, telles que la date de lecture, l’impression du contenu, voir les éventuelles tentatives d’ouverture non autorisées… par ces mêmes canaux, il est également envisageable de détruire le document, que l’on ait détecté une fuite d’information ou que l’on souhaite éliminer toute trace d’une version trop ancienne pour être encore fiable.

L’aiguillage de tout ce « feedback » peut prendre plusieurs chemins. Soit par le truchement d’un service assuré par l’entreprise Doctrackr, soit via un serveur interne (cas le plus courant pour les partages de documents sensibles dans le cadre d’un intranet). Un jeu d’API est proposé aux usagers qui souhaiteraient intégrer Doctrackr à une application métier ou un développement particulier. Le type de commercialisation n’est pas sans rappeler les méthodes de marketing viral utilisée par les prestataires de services Cloud : une utilisation gratuite à destination des particuliers, limitée en volume, puis des tarifs dégressifs dès que la barrière des 10 documents est dépassée (le premier palier se situant aux environs de 15 $ par utilisateur et par mois).

Monaco, le 3 octobre : « Pour désinfecter, insérez votre clef dans la prise ». L’USB Malware Cleaner n’est peut-être pas le développement le plus « glamour » ou le plus S4i1Z présenté à l’occasion des Assises de la Sécurité, mais c’est sans le moindre doute l’idée la plus simplement efficace. Techniquement, il s’agit d’un antivirus embarqué dans une borne conçue autour d’une boîte Linux (GNU pour les intégristes), et qui ne fait qu’une seul chose : scanner et nettoyer toute les ressources USB que l’on y branche. Avec toutes les fonctions annexes que l’on peut imaginer y accoler, de la tenue des logs à la mise en quarantaine des souches collectées en passant par le rollback d’une opération non souhaitée (si d’aventure l’antivirus réagissant sur un faux-positif) ou l’édition de rapports.

Les clients visés sont en priorité les banques, les administrations, les infrastructures comprenant des lieux d’accueil public (gare, métro, hall d’accueil d’entreprise…). L’antivirus en libre-service sur une borne public trônant à côté d’un défibrillateur, c’est peut-être une bonne idée, c’est certainement une forme de publicité intéressante donnant à celui qui la met à disposition une image de confiance et de respectabilité.

Si la mayonnaise prend et si l’idée rencontre un franc succès, il y a fort à parier que d’autres équipementiers prendront le train en marche, feront « moins cher » ou « plus performant »… car il n’est pas très compliqué d’installer un antivirus sur une boîte Linux (Gnu pour etc.) et d’enfermer le tout dans un solide boîtier métallique. La présence d’un écran n’est en aucun cas nécessaire (un simple HD44780 de 4 lignes pourrait convenir), et l’on ne peut s’empêcher de penser à certains antivirus d’adaptation Française qui pourraient très bien faire l’affaire dans une semblable configuration.

Monaco, le 2 octobre« Il y a quatre ans »…. Patrick Pailloux, patron de l’Anssi, ouvrait la séance plénière des Assises de la Sécurité de Monaco 2013 avec un vibrant rappel de son redoutable « Back to Basics ». Un plaidoyer pour un retour drastique aux fondamentaux de la sécurité informatique, une charge féroce contre la tendance générale à la course aux équipements, aux « solutions » magiques qui faisaient oublier les principes élémentaires du métier : la technologie est entachée de défauts intrinsèques que ne peux corriger la technologie elle-même. La vérité se situe du côté du respect des règles élémentaires de prudence et de la poursuite sans précipitation aux évolutions techniques. L’an passé, sur le même air et presque la même chanson, Patrick Pailloux entonnait un de profundis du Byod et des applications mobiles, toujours pour les mêmes raisons, entraînant toujours les mêmes réactions (généralement narquoises) des DSI.

Attitude dogmatique, vision de Haut Fonctionnaire ignorant du quotidien industriel… «à la lumière de la récente actualité, étais-je si alarmiste ? » demande en substance Pailloux. « Les évènements sont là pour prouver que les conseils de prudence étaient fondés ». Pailloux a le triomphe modeste, et enchaîne sur les « nouvelles catégories de risques » méritant toute l’attention de l’Anssi, à savoir les systèmes Scada. « Nouvelle catégorie » d’un point de vue purement politique, car cela fait tout de même 6 ou 7 ans que les DefCon, CanSec et autres HitB résonnent d’exploits glorieux contre les antiques Modbus, les antédiluviennes liaisons V24 dépourvues de la moindre couche de sécurité ou les automates programmables d’origine Allemande si prompts à s’ouvrir aux sollicitations d’un intrus distant. Remember Struxnet. Mais sera-ce possible ?

Faire des infrastructures Scada une priorité nationale est une course de fond. Plusieurs raisons à cela. En premier lieu, il est nécessaire que l’Anssi dispose d’une cartographie précise des infrastructures informatiques stratégiques. « Cet inventaire a été dressé peu de temps après les évènements du 11 septembre pour que l’on puisse compter sur un état des lieux précis des secteurs à risques » explique le patron de l’Anssi. Réseaux de communication et de transport, d’énergie, d’information, centres industriels et de production d’importance stratégique nationale… une telle liste est aussi insondable que le tonneau des Danaïdes, car que peut-on qualifier de rouage « stratégiquement important » ? La chose est entendue pour ce qui concerne le réseau routier, ferroviaire ou aérien, le transport des flux (eau, gaz, électricité, hydrocarbures), les usines pétrochimiques… mais combien de moyennes entreprises employant des produits chimiques dangereux ou œuvrant à un troisième ou quatrième niveau de sous-traitance dans le secteur de l’armement ou des transports risquent de passer en dessous des radars ? L’on pourrait également rappeler qu’une telle liste avait également été dressée peu de temps après la catastrophe de Seveso, qui n’avait accouché que sur un classement des risques industriels… on est loin des menaces d’espionnage informatique, de cyber-sabotage, d’attaque en déni de service tels que le redoute notre Anssi.

Malgré l’ampleur du travail, le message de l’Agence Nationale est simple. Il faut remettre à plat tout le Scada Français, vérifier notamment que les médias de communication entre automates programmables, capteurs et calculateurs de contrôle de processus soient sécurisés. « Dans ce domaine précis, explique Patrick Pailloux, il existe encore trop de composants tantôt pilotés à distance, tantôt utilisant des capteurs distants qui ne bénéficient d’aucun mécanisme de communication chiffré, d’aucun système d’authentification capable de prévenir d’une attaque MIM ou d’un mauvais retour de point de consigne. Tant que ces infrastructures industrielles vivaient en autarcie, la question de la sécurité se limitait aux contrôles rigoureux opérés par les techniciens qui en avaient la charge. Mais ce n’est plus le cas aujourd’hui, avec un protocole IP omniprésent, et parfois même le raccordement de ces réseaux industriels au réseau Internet public. Une « IPisation » et un recours fréquent à la supervision en mode distant dictés dans tous les cas par des considérations économiques a fragilisé le Scada français au-delà de l’admissible. L’informatique « Wintel » et l’électronique mobile ont souvent remplacé à faible coût des équipements « durcis » hors de prix mais très fiables. Une réduction des coûts qui a entraîné une augmentation des risques. « Il faut impérativement isoler les réseaux de contrôle de processus industriels de tout point de raccordement Internet » rappelle Patrick Pailloux. Que l’idée est séduisante, que les mises à jour deviennent difficiles …

Cette reprise en main rappelle celle des « CyberCzars » qui se sont succédés au sein du gouvernement fédéral US. Avec des résultats très variables compte tenu du capharnaüm provoqué par la vague de dérégulation des opérateurs de services aux USA (eau, électricité, téléphonie…). En Europe, bien que la libéralisation imposée par l’OMC ait eu tendance à fortement dégrader le niveau général d’évolution des infrastructures, la santé du tissu Scada semble moins critique. Reste que l’Anssi, en focalisant son attention sur les opérateurs télécom, des transports, de l’énergie, des industries lourdes, ne parvient toujours pas à quitter son costume de grand conseiller du CAC 40 et des grandes administrations. L’Agence Nationale, originellement constituée pour veiller au contrôle sanitaire de l’ensemble du tissu informatique Français, concentre ses efforts sur les joyaux économiques de l’Empire. Peu étonnant que, dans ces conditions, aucune collectivité locale de petite ou moyenne envergure ne considère l’Anssi autrement qu’un rouage essentiellement destiné aux Ministères et grandes entreprises ou que les moyennes entreprises ne prêtent que rarement attention à ses initiatives. Pour 80% (en volume) du parc informatique Français, l’affaire Snowden pose des questions auxquelles personne ne semble pouvoir répondre, ou alors seulement par le biais de brochures papier. Les grands suivent le guide, les autres lisent les dépliants.