août, 2015

« Nous achetons du Zero Day accompagné de son exploit, surtout si celui-ci concerne un navigateur, un noyau, un lecteur de fichier multimédia, des téléphones mobiles, des serveurs Web ou d’applications, des applications Web… et tout ce qui pourrait tourner autour, des équipements réseau aux passerelles et produits de sécurité ». Le programme qu’affiche Zerodium sur sa page de garde ne laisse planer aucun doute, Vupen, après son installation aux USA, diversifie sa collecte de matière première.

Jusqu’à présent, l’entreprise de Chaouki Bekrar effectuait ses propres recherches de faille, développait ses propres exploits. Un fonctionnement en interne garantissant à la fois une maîtrise et une cohérence des processus d’écriture. Mais la militarisation intensive du marché de l’exploit nécessite parfois un volume de production qu’il est difficile de maintenir en permanence. «Nous payons beaucoup, nous exigeons des fournitures de qualité, à la hauteur de nos tarifs et des espérances de nos clients, généralement des organisations gouvernementales, financières ou des nouvelles technologies » affirme en substance la FAQ . Mais la valeur d’achat des exploits n’est pas divulguée, chaque travail étant discuté de gré à gré selon son efficacité, la taille de sa cible potentielle et son degré de furtivité.

Cette création d’entreprise (et diversification d’activité) survient quelques semaines après le scandale Hacking Team, après que bon nombre de médias grand public aient littéralement découvert l’existence de ce marché du trou de sécurité et son intrication avec le monde du renseignement.

Un mouvement stratégique et politique

Car il n’y a pas de hasard dans cette création d’entreprise. « Grâce » à l’affaire Hacking Team et plus particulièrement aux courriers mentionnant son refus de traiter avec le Kurdistan, Vupen sort grandi de cette histoire. Son intégrité n’est plus à mettre en doute, l’entreprise se situe bien du côté des « gentils occidentaux ». C’était maintenant ou jamais qu’il fallait lancer Zerodium, même si le projet traînait déjà dans les cartons depuis quelques temps. Le moment est à la fois politiquement bien choisi et stratégiquement opportun.

Stratégiquement, car le marché des cyber-armes est en plein développement d’une part, et commence à soulever quelques questions éthiques d’autre part, surtout depuis la publication des fichiers Snowden et la révélation des activités de Hacking Team. Interrogations qui pourraient bien conduire à l’établissement d’un contingentement des armes et des fabricants d’armes patentés, et par conséquent interdire l’apparition de nouvelles initiatives ou bloquer les développements des sociétés déjà en place.

Pourquoi un contingentement ? Parce qu’indirectement, l’affaire Hacking Team est l’évolution civile et commerciale logique des affaires des écoutes de la NSA ou des armes logicielles à la Stuxnet. Parce qu’il apparaît clairement qu’officieusement, les USA et les principaux Etats d’Europe, parfois par le biais de sociétés privées, pratiquent, sur le front des NTIC, ce que l’on appellerait des « incursions tactiques » chez les uns et « de graves ingérences dans les affaires d’un pays » chez les autres. Et que, pour mieux jeter un voile pudique sur ce marché des armes informatiques et imposer le secret sur les transactions, rien de tel qu’un accord Wassenaar, qui fera taire les journalistes et fuir les curieux. Le contingentement est inévitable, il fait l’objet de campagnes de presse adroitement orchestrées depuis plus de deux mois aux Etats-Unis.

C’est donc maintenant et pas plus tard que Bekrar devait agir. Car le marché est quasiment sur le point de se stabiliser, voire de se figer, autour de deux axes principaux. Les fournisseurs d’exploits « certifiés » par les Anssi et autres DoD, sous-traitants privilégiés des agences à trois (ou quatre) lettres, ayant patente de vente pour les produits finis et licence d’achat pour les matières premières. Et les francs-tireurs, les Hacking Team, les Crypto AG dont le blason, terni pour maintes raisons, ne peuvent trouver d’autres débouchés que sur le marché noir ou gris. A terme, des techno-mercenaires qui travailleront pour le plus offrant que refusent d’alimenter les vendeurs « officiels », mais qui pourraient aussi bien œuvrer pour le compte des 5 ou 8 yeux lorsqu’une implication directe semblerait trop compromettante ou risquée.

L’existence même de ces « gendarmes katangais du code » est parfois comparée à l’activité des « pirates incontrôlés » (ou groupe de patriotes qui agissent spontanément) de Chine ou de Russie et qui font souvent la manchette des journaux. Des troupes de cyber-assaut d’ailleurs spécialisées dans le harcèlement de sites Web et le déploiement d’APT, des troupes qui nécessairement disposent de leur propre marché des exploits, pour l’heure encore très peu cartographié. Garçon, un Coca-Root Beer, à la cuillère, pas au shaker.

Lundi noir pour les Grands Bretons, qui apprennent par le biais du journal télévisé que Carphone Warehouse, l’une des principales chaînes de magasins spécialisés dans la téléphonie mobile s’est fait dérober près de 2,4 millions d’identités. Sur le nombre, au moins 90 000 d’entre elles comporteraient un numéro de carte de crédit, information chiffrée précise l’entreprise, sans mentionner dans quelles conditions. La grande majorité des fiches personnelles comporterait une adresse de messagerie, les risques de phishing massif ne sont donc pas à écarter. La direction demande urgemment à sa clientèle de s’enquérir d’éventuels retraits suspects auprès des banques. Lundi noir, par voie de conséquence, dans le secteur bancaire qui va recevoir d’un coup la bagatelle de 2,4 millions de coups de téléphones affolés. Ou peut-être moins, car la « home page » de Carphone Warehouse ne fait aucune mention de cette mésaventure. Il faut avoir un peu l’instinct d’Arthur Dent pour découvrir, au détour d’une page, la Foire Aux Questions officielle. Et il apparaît que d’autres clients risquent d’être concernés par ce hack : les sites de OneStopPhoneShop.com, e2save.com, Mobiles.co.uk, TalkTalk Mobile et Talk Mobile ont également subit les conséquences de cette intrusion.

Discrétion toute aussi grande pour ce qui concerne les méthodes utilisées par les pilleurs de données. Tout au plus apprend-on que le hack remontait au moins à deux semaines avant sa découverte et que « les failles le permettant ont été immédiatement fermées ».

Yisroel Mirsky, chercheur à l’Université Ben Gurion, présente dans le cadre de la conférence Usenix une méthode d’espionnage assez subtile : l’exfiltration de données par des méthodes « sans-fil » sans que l’ordinateur espionné ne bénéficie de la moindre connexion, qu’elle soit par câble Ethernet ou autre brin radio (Wifi, Bluetooth, Zigbee ou autre). Preuve vidéo à l’appui.

Le principe est assez simple et nécessite tout de même un accès console et un terminal mobile (pas nécessairement un smartphone d’ailleurs). Dans un premier temps, la machine visée est compromise par un keylogger un peu particulier, qui va récupérer l’ascii de la touche enfoncée et s’en servir pour moduler un signal radio… lui-même généré en effectuant des accès mémoire à fréquence élevée. En général, une écriture en RAM ne rayonne que très peu d’énergie électromagnétique, mais en parallélisant plusieurs cycle simultanément, le niveau d’énergie s’élève légèrement. Il devient assez puissant en tous cas pour être reçu par le circuit « bande de base » d’un téléphone GSM (compromis lui aussi) situé dans la même pièce. Précisons au passage qu’il n’est même pas nécessaire que le téléphone soit équipé d’une carte SIM puisque rien, dans ce hack, ne nécessite la présence d’un réseau d’opérateur.

Cette attaque tirée par les cheveux n’est pas particulièrement nouvelle si l’on suit avec attention les différents travaux de Mirsky. Il y a un an environ, une extraction de données utilisant des fréquences plus basses (bande des radios FM, 88 à 108 MHz), donc plus faciles à générer et pouvant porter plus loin, avait été mis au point, utilisant notamment le récepteur FM que l’on trouve de plus en plus souvent sur les téléphones récents. Elle rappelle d’ailleurs la conférence donnée durant Hack in Paris par deux chercheurs de l’Anssi

La probabilité d’une telle attaque est excessivement faible et, dans le large spectre des compromissions utilisant des bidouilles radio, le Poc de l’équipe Mirsky fait partie des moins probables. La portée effective est très faible, l’attaque nécessite deux hacks successifs dont un avec accès console (détectable donc, même si, comme le prétend le chef de projet, l’empreinte du malware est imperceptible) et surtout le débit de transmission est d’une lenteur excessive, de quelques centaines de caractères par seconde au grand maximum. Ce n’est pas avec cette méthode qu’on risque de kidnapper l’intégrale des versions de Windows 10. Mais un simple mot de passe … Pourquoi pas.

Carli Fiorina, ex patronne de HP (bilan de gestion catastrophique et parachute doré de 42 millions de dollars), aurait lors d’une intervention publique, rapportent nos confrères d’IDG News Service, demandé aux dirigeants d’Apple et Google de « fournir, pour le compte du FBI, des moyens d’accès simplifiés aux données de leurs clients ». Histoire de ne pas trop enflammer le débat, elle précisait que « ces informations pourraient être fournies en fonction de demandes ciblées ».

Une allocution télévisée purement politique en tant que candidate républicaine à la course pour la Maison Blanche ? Probablement plus que ça, car d’autres informations laissent croire que ces demandes d’accès de la part du gouvernement US deviennent de plus en plus courantes et pressantes. <ahref= »https://www.schneier.com/blog/archives/2015/08/nicholas_weaver_1.html »target=_new> Dans un billet de blog consacré précisément à la sécurité des données contenues dans les sauvegardes des iPhones et la transmission des iMessages, Bruce Schneier fait mention d’une rumeur concernant une demande de la Fisa (contre-espionnage US ) contraignant Apple à mieux « ouvrir » l’accès aux données de ses appareils. Ce serait cette exigence qui aurait touché la corde sensible du CEO Tim Cook, devenu pour l’occasion et soudainement un fervent défenseur de la vie privée.

Paul Stone et Alex Chapman ont présenté, lors de la Black Hat Conference une nouvelle méthode d’attaque « man in the middle » visant un chaînon que l’on croyait invulnérable : le serveur de déploiement de correctifs Microsoft Wsus. Avant d’aller plus avant, il est important de préciser que ce type d’attaque ne concerne que les machines dont la configuration sécurité n’a pas été renforcée avec une diffusion protégée par SSL comme le conseille Microsoft. Mais la configuration par défaut du serveur de patch est hélas pas sûre du tout, ce qui ouvre la voie à toutes les possibilités d’injections de malware qui, à leur tour, pourront être consciencieusement déployées par Wsus comme s’il s’agissait d’une rustine officielle. Au nombre des vecteurs d’infection qui semble particulièrement pratiques, affirment Stone et Chapman, on trouve les pilotes USB généralement écrits par des « tierces parties », dont les multiples versions peuvent cacher soit des défauts exploitables localement, soit des codes exécutables dès leur lancement.

Sur plus de 17 pages, huit chercheurs Coréens expliquent par le menu comment faire la chasse aux drones indiscrets en utilisant des « bombes sonores ». Selon eux, la pression acoustique provoquée par un bruit violent perturbe le fonctionnement du gyroscope, pièce maitresse qui assure la stabilité de l’aéronef. Après quelques bruits d’explosion, le véhicule radiocommandé finit par « casser du bois ». Ce genre de recherche dont raffolent les participants à la conférence Usenix peut laisser le lecteur dubitatif. La chasse aux drones est le sujet « hype » du moment, et l’on voit fleurir çà et là des outils et systèmes de contre-mesure, certains fantaisistes, d’autres plus réalistes, tous cherchant à exploiter le marché de la peur. L’analyse Coréenne est astucieuse, mais probablement moins efficace qu’un bon déni de service radio en « bande étroite » (émis si possible par un vecteur lui-même soit autonome au moment de l’attaque, soit utilisant des fréquences très éloignées).

Bruce Schneier préfère se pencher sur une autre méthode, toute aussi radicale : l’usage d’armes à feu. Un citoyen des Etats-Unis, armé comme l’autorise le second Amendement, a pris un quadcoptère pour cible sous prétexte qu’il survolait son jardin et celui de sa voisine, mère de deux jeunes filles en train de profiter de la piscine familiale au moment des faits. Soupçons de détournement de mineurs et intrusion inadmissible pour les uns, destruction gratuite et injustifiée du bien d’autrui pour les autres (qui arguent du fait qu’ils ne survolaient pas le terrain)… l’enquête et en cours et a valu l’arrestation du tireur. Lequel passe, dans la presse généraliste Américaine, pour le chevalier blanc de la vie privée

S’il arrive effectivement que certains pilotes de drones abusent un peu des avantages voyeuristes de la réalité augmentée, la surmédiatisation du phénomène rappelle la « panique du Warchalking » des années 90, ce marquage indiscret qui signalait, sur la voie publique, la présence d’un point d’accès WiFi. Depuis, les cartographies des réseaux sans-fil font partie du décor, grâce en soit rendue à Google notamment. Tout laisse à penser que le drone va se banaliser au fil de la décennie à venir. Il se pourrait que ce combat désespéré pour la préservation de la vie privée soit perdu d’avance.

Lorsque Xeno Kovah et Corey Kallenberg dévoilent l’omnipotence de leur virus-Bios « light eater » à l’occasion de la dernière CanSecWest, les principaux fabricants d’ordinateurs réagissent et corrigent. Pensez-donc, un virus capable de s’installer dans pratiquement tous les Bios de la création, là où aucun antivirus ne peut agir, et contre lequel même les mécanismes de sécurité à la sauce Uefi ne peuvent rien. Tous ? Non ! Car un village peuplé d’irréductibles constructeurs résiste encore et toujours à l’envahisseur. Appleix, Microsoftix, Samsungum, Acera, Asusis, Fujitsix, Panasonix, NECplusultrass, Vaiorum, MSIX et Gigabus.

Il n’en fallait pas plus à Kovah pour concevoir un PoC spécifiquement destiné à attaquer la plateforme Apple. Pis encore, le chercheur a même forcé son talent jusqu’à imaginer un vecteur d’attaque pouvant se propager en infectant tout périphérique possédant également son propre Bios et, tant qu’à faire, profiter de la Black Hat Conference pour révéler toute l’histoire. Nouvelle plateforme, nouveau nom de baptême, puisque la preuve conceptuelle s’appelle désormais Thunderstrike2. Un nom lié au fait que son efficacité est foudroyante, et surtout que parmi les périphériques pouvant servir de vecteur de propagation se trouve l’adaptateur ethernet Thunderbolt. « Tout ce qui supporte une « option ROM » est susceptible d’être infecté » explique Kovah. « Et l’infection reste absolument indétectable. Peut-on imaginer un utilisateur, même le plus paranoïaque, tenter d’analyser les firmwares de tous ses équipements ? De la carte Ethernet au disque SSD, en passant par l’adaptateur RAID. Quand bien même aurait-il des outils génériques pour le faire, ce qui n’est absolument pas le cas à l’heure actuelle ».

Ce genre de « virus de science-fiction » est pourtant bien plus courant qu’il n’y paraît. Les « fichiers Snowden » ont clairement prouvé que la NSA dispose depuis longtemps d’un arsenal de bootkits Bios… et la NSA n’est pas le seul service de renseignement au monde. Même la tristement célèbre équipe Italienne Hacking Team utilisait un bootkit exploitant les Bios UEFI. Et à l’heure actuelle, il n’existe toujours pas d’antimalware capable de vérifier l’intégrité d’un firmware.

Les journalistes de Netzpolitik accusés publiquement de « Haute trahison », le mot n’a pas été utilisé depuis les années 50. Une violence qui va jusqu’à faire débarquer le Procureur Fédéral Harald Range nous apprend le quotidien Libération. Range était chargé d’une enquête visant les deux journalistes de Netzpolitik, auteurs d’un article sur le cyber-flicage quasi sans limite qu’exerçait le BfV, le service de renseignements intérieur Fédéral, sur les citoyens Allemands. « Cette mise en examen nous vise, mais vise également nos sources d’information et la liberté de la presse en général » explique la rédaction du journal.

A peine l’article publié que le Ministre de la Justice (pressé par le patron du BfV) ouvrait une enquête pour haute trahison visant les deux signataires de l’article. Le Procureur, souhaitant que ladite enquête se déroule dans un climat plus serein, suspend l’instruction et demande un rapport d’expertise. La réponse du Gouvernement ne s’est donc pas fait attendre avec l’éjection immédiate du Procureur. L’indépendance de la presse et de la justice malmenées dans une même affaire liée à la surveillance d’Internet, voilà qui fait beaucoup pour une démocratie d’Europe.

Duncan Campbell est ce journaliste Britannique qui, bravant les menaces d’emprisonnement, les procès, les pressions politiques a, 35 ans durant, tenté de révéler au monde l’existence du formidable réseau d’espionnage Etats-Unien Echelon. C’est grâce à ses articles que le Parlement Européen prendra conscience de l’efficacité de cette formidable machine de guerre économique que les USA utilisent, contre l’Europe notamment, et créera une commission d’enquête forte de 36 membres durant l’été 2000. Commission qui ne peut que conclure que la NSA agissait dans une totale légalité, sous l’autorité des membres du Congrès. L’espionnage des NTIC était devenu le nouveau vecteur de techno-colonisation et de conquête industrielle et économique.

Ces 35 ans de recherches sont résumés dans un véritable roman-fleuve de plus de 6 pages, publié conjointement par The Intercept et The Register et signé par Campbell en personne. 35 ans durant lesquels les USA et ses alliés des five eyes ont tenté de noyer le poisson, et dont les dénégations ont été réduites à néant une fois que les « fichiers Snowden » ont pu formellement confirmer l’existence de ce réseau d’écoute et d’espionnage mondial.

Par un discret message sur Twitter, Eric Walter, a annoncé qu’il n’était plus, depuis le premier août, à la tête de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi).

Walter était très critiqué par les tenants d’une industrie du divertissement qui, malgré des bénéfices records, ne parvient toujours pas à s’adapter au marché du numérique et pousse les instances gouvernementales à adopter une ligne répressive. On pourrait d’ailleurs se poser la question quand au rôle d’Hadopi dans le manque d’évolution comme de remise en question du business model de l’industrie du divertissement. L’institution semble considérée, dans le milieu du cinéma, comme une sorte d’assurance anti-piratage qui serait capable de préserver la France et son « exception ». Or le patron de cette Hadopi créée « parce qu’il fallait bien faire quelque chose », a toujours refusé cette ligne dure, celle de « l’éducation par la terreur ».

Du côté des internautes, Eric Walter représentait pourtant cette forme de répression policière aveugle qui tentait de préserver un modèle économique devenu caduque et totalement chamboulé depuis l’apparition d’Internet.

Situation intenable donc, dont la responsabilité incombe en grande partie aux opérateurs télécom, Orange en tête, qui, des années durant, ont insisté sur « la rapidité de téléchargement » de leurs offres respectives. Cette incitation indirecte à la contrefaçon est un problème de fond qui n’a quasiment jamais été évoqué par la commission Hadopi et sur lequel, pas une fois, les professionnels du cinéma et de la chanson de variétés n’ont fait mention. Pourtant, peut-on lutter contre le trafic de drogue ou la prostitution en ne cherchant à condamner que les consommateurs tout en s’efforçant de préserver les producteurs ?

Autre défaut congénital ayant entravé le travail d’Eric Walter, cette dérive sémantique dont s’est rendue coupable l’Hadopi : l’usage des mots « culture » et « industries culturelles » pour ne désigner qu’une activité commerciale, un secteur privé spécialisé dans les produits de divertissement. La création d’une institution gouvernementale chargée de veiller spécifiquement aux intérêts d’un secteur industriel en particulier n’a jamais fait partie des habitudes de la Vème République.

Ceci ne doit pas également faire oublier l’aspect financier de la chose. Dotée d’un budget totalement disproportionné par rapport aux résultats attendus (budget d’ailleurs constamment revu à la baisse au fil des lois de finance successives) le coût réel de l’Hadopi soulevait, et soulève encore, beaucoup de critiques.

Enfin, rarement institution nationale n’a fait preuve d’autant d’inefficacité technique, d’incompétence affirment certain. En 2011, TMG, le sous-traitant chargé de tracer l’activité des prétendus « pirates », se fait pincer pour manquement aux règles élémentaires en matière de préservation de la vie privée. Manquements qui ne déclenchent aucune sanction de la part de la Cnil. Sanctions, en revanche, qui menacent sans distinction les personnes s’étant rendues coupables d’un téléchargement occasionnel comme les stakhanovistes du download. Le principe de la proportionnalité des peines en fonction de la gravité des fautes, totalement absent des mesures de rétorsion imaginées par l’Hadopi, fait débat auprès des internautes.

A cela doit s’ajouter une totale incapacité de la Haute Autorité à réagir dans le cadre de sa mission, puisque le gros de son travail se limite à faire surveiller les réseaux peer to peer, alors que très rapidement, les « téléchargeurs compulsifs » les plus avides ont opté soit pour le téléchargement direct, soit pour les contenus hébergés sur des sites de streaming. Un streaming qui demeure, par ailleurs, l’argument majeur des vendeurs de 4G…

Devant cet Himalaya d’incohérences et de contradictions, le travail d’Eric Walter relevait de l’impossible. Il a, en permanence, tenté de suivre une voie médiane, qui n’a plu ni aux uns, ni aux autres. Mais pouvait-il agir autrement ?

Son successeur (si successeur il y a) devra nécessairement se charger d’une profonde réforme de l’institution. Peut-être sera-ce également l’occasion de reparler de la licence globale et d’autres modèles de rémunération des artistes, de remise à plat dans l’imbroglio des sociétés de gestion des ayant-droit, d’encadrement des stratégies affichées des opérateurs télécoms, de l’unification des différentes « taxe antipiratage » qui frappent les supports et certains terminaux numériques et qui partent du principe que, « par défaut », un usager est systématiquement coupable de contrefaçon… le récent rapport de l’Eurodéputé Julia Reda foisonne d’idées dont le prochain patron d’Hadopi pourrait s’inspirer.