octobre, 2017

La mode est aux failles expansives, qui provoquent en général plus de dégâts internes après l’impact. Yahoo, dans un effort surhumain, est parvenu à transformer la « fuite d’informations la plus importante de l’histoire d’Internet » de 2013 (un milliard de comptes dans la nature) en quelque chose d’encore plus inimaginable, avec un bilan (provisoire ?) s’élevant à 3 milliards d’enregistrements « fuités ». Au-delà d’une certaine taille, un trou dont on ne distingue plus les limites est-il encore un trou ? La reprise de Yahoo par Verizon pèse chaque jour un peu plus dans le bilan sinon comptable, du moins moral de l’entreprise.

Deloitte, pour sa part joue la politique des petits pas … Après avoir assuré ses clients que « seuls quelques comptes email, 5 ou 6 tout au plus, auraient fait l’objet d’un vol de données », nos confrères du Guardian assurent que le sinistre touche au bas mot 350 comptes… pour l’instant. Et qu’aux nombres de ceux-ci, seraient concernés 4 ministères des Etats Unis (DHS, Défense, Energie, Affaires Etrangères), l’ONU et quelques grandes multinationales, dont USPS et Fannie Mae, le géant US des prêts hypothécaires.

Peut-on imaginer qu’un intrus parvenu, avec des droits « administrateur », jusqu’au système de messagerie d’une entreprise aussi tentaculaire que Deloitte n’ait point cherché à ratisser plus large ? Pour l’heure, point de communiqué en provenance de l’entreprise afin de rassurer la multitude de clients arguant, par exemple, d’un cloisonnement des différents comptes de messagerie…

Point de nouvelles également de la part des branches « InfoSec » de Deloitte, pourtant qualifiées de ténors du milieu, à même de rasséréner les clients au travers d’avis peut-être plus techniques sur les fuites.

Equifax aussi fait des efforts, puisque des quelques 400 000 identités Britanniques soutirées que révélaient le Register, on frise désormais les 700 000 constate Brian Krebs. Les détails des données volées forment une véritable panoplie pour spécialistes du phishing ciblé et le vol d’identité direct (tantôt l’adresse email, tantôt leur numéro de permis de conduire, tantôt leur numéro de téléphone, et parfois même un éventail de données regroupant le nom d’utilisateur, le mot de passe, la question secrète de confirmation d’identité, la réponse à ladite question secrète et des données partielles de la carte de crédit).

La presse US se déchaîne littéralement depuis que le Wall Street Journal a publié les confidences d’un « correspondant anonyme » semblant émaner de la NSA, et tendant à prouver (sans réelles preuves) l’implication de l’antivirus Russe dans une opération de vol de données confidentielles détenues par l’agence de renseignements US.

Il n’y a pas 4 ans l’affaire Snowden révélait à quel point la confidentialité des données de la NSA ne tenait qu’à un fil, celui de la probité de ses « sous-traitants » tels que Booz-Allen Hamilton. Et voici qu’une nouvelle fois l’employé d’un de ces sous-traitants dérobe des informations « hautement classifiées » des serveurs de la « No Such Agency » et les copie sur un ordinateur personnel (Russian government stole details of how the U.S. penetrates foreign computer networks and defends against cyberattacks after a National Security Agency contractor removed the highly classified material and put it on his home computer). Que, par la suite, les services de la Loubianka profitent de l’aubaine, avec ou sans le secours de failles découvertes dans les logiciels Kaspersky, et récupère au passage lesdites informations fait partie de l’éternel jeu auxquels se livrent les barbouzes des deux blocs depuis près d’un siècle.

Ce qui, en revanche, ne semble plus du tout émouvoir ni le WSJ, ni l’agence Reuter ni les dizaines de grands médias nationaux US qui ont repris l’information, c’est l’origine de la fuite. Après les 3 milliards d’identités évaporées de Yahoo, le trou croissant de Deloitte, le précipice sans fond d’Equifax, les Etats-Unis semblent accepter avec stoïcisme les saignées numériques provoquées par les sous-traitants indélicats et l’incapacité de la NSA à conserver le moindre secret en raison de sa taille tentaculaire et son recours systématique à des entreprises extérieures. Kaspersky est une victime expiatoire bien pratique servant à mal camoufler un dysfonctionnement endémique des rouages les plus secrets de l’Etat Fédéral. A tel point que le responsable de cette situation, qui, 3 ou 5 ans plus tôt aurait fini ses jours derrière les grilles de Guantanamo, voit son identité jalousement protégée par ceux-là mêmes qui souffrent des conséquences de ses impérities.

Pour Eugène Kaspersky, le seul tort, et il est de taille, aura été de se faire remarquer au mauvais moment, en déclenchant un triple procès en concurrence déloyale visant notamment Microsoft. Un pas de clerc très peu diplomatique et aux conséquences prévisibles. Pour tenter de calmer les esprits, le patron fait front avec bravoure et réitère sa proposition d’audit de code. Un audit qui prouvera, explique-t-il, l’absence de portes dérobées estampillées ou non par le KGB et ses successeurs.

Suggestion immédiatement taclée par au moins un de ses concurrents US, le Directeur Exécutif de Symantec. Celui-ci vitupère et explique que l’analyse de ses codes-sources « compromettrait la sécurité de ses produits ». Etrange affirmation de la part d’un ténor de la SSI… la sécurité par l’obscurantisme serait donc plus efficace qu’un algorithme mathématique.

Pendant ce temps, les « marchands de pépins et de waterproof numériques, se frottent les mains». Gadi Evron gazouille la photo d’une offre de la chaîne Office Depot qui propose d’échanger « gratuitement » les défenses périmétrique Kaspersky pour les remplacer par son pendant McAfee. Déjà, mi-septembre (bien avant les « révélations anonymes » de la NSA), ce même éditeur orchestrait une campagne publicitaire de « récupération de marché », témoigne Graham Clueley. Tandis que Kim Zetter s’insurgeait devant une autre campagne commerciale anti-Kaspersky, organisée cette fois par la chaîne de distribution Best Buy.

Rappelons que la crise d’espionite aigüe qui frappe les USA a été déclenchée par l’équipe Trump, invoquant de prétendues écoutes et tentatives d’influence du FSB au cours des dernières élections Présidentielles US. Si les preuves d’une manipulation brillent par leur absence, de lourds soupçons de contrôle massif de l’électorat par l’équipe du candidat Trump, et par Steve Bannon en particulier semblent se confirmer, témoigne notamment TV5 Monde.

C’est un petit « patch Tuesday »que ce mardi des rustines d’octobre 2017. Pas de trous déclarés chez Adobe, qui synchronise généralement ses bulletins avec ceux de Microsoft. Un Microsoft qui, ce mois-ci, abreuve ses usagers d’un lot de bouchons de taille moyenne. Une corruption de mémoire dans Office, une instabilité sérieuse dans le DNS, exploitable à distance, et surtout une possible attaque en dénis de service visant le support Linux bash sous Windows 10. Cette faille rappellera aux nostalgiques des toutes premières éditions de Windows NT les contournements de sécurité qu’autorisait déjà le support d’OS/2 et de la couche Posix.