Provocation ou idée à creuser ? Le Français Laurent Oudot (Tehtri Sec, ex CEA), lors de la dernière Syscan de Singapour, donnait un discours légèrement à contre-courant par rapport à ce que l’on a l’habitude d’entendre : et si l’on envisageait sérieusement de contre-attaquer les « intrus » qui viennent jusque dans nos bras, égorger nos machines et nos programmes ? Et de donner ainsi l’exemple de 13 ZDE visant non pas la dernière édition d’Acrobat Reader ou d’Internet Explorer, mais de « packs d’exploits » utilisés par quelques malwares les plus en vue. Liste d’ailleurs donnée sur la ML Full Disclosure. « C’est une manière de dire que vous pouvez réagir en cas d’attaque » précise le bulletin. La presse Britannique a immédiatement réagi. La BBC et El Reg notamment.
Inutile de préciser que ce genre de sport est réservé aux gens du métier et infrastructures fortement pourvues. Tenter d’attaquer les cybertruands, c’est s’exposer immanquablement à des représailles (dénis de service, attaques différentes…). Il est donc souhaitable de disposer d’un arsenal conséquent et d’une infrastructure musclée, puisqu’à ce petit jeu, le dernier mot reviendra à celui qui saura le mieux encaisser et tenir la distance en termes de diversité offensive. D’un point de vue déontologique, cette proposition repose une fois de plus la question des méthodes et de l’éthique de la profession : a-t-on le droit d’utiliser les mêmes outils que les truands, peut-on justifier l’usage de procédés que nous réprouvons nous-mêmes ? A ces questions, la réponse des gens du métier a toujours été la même : jamais. L’aspect légal, enfin. Car si publier une faille, décrocher un numéro CVE pour un exploit n’a pas beaucoup de chance de provoquer une réaction des avocats de la Causa Nostra du bit et de l’octet, ces contre-feux sont bel et bien des outils destinés à « compromettre un système d’information »… La détention, la diffusion, l’usage de ce genre d’arme est interdit par plusieurs lois, dont la LCEN en France.
Cela veut-il dire que l’on risque de voir un juge Français poursuivre une entreprise Française de sécurité pour publication d’Exploit ? Cela s’est déjà vu. Mais ce n’est probablement pas pour ce motif que l’équipe d’Oudot est demeurée relativement évasive sur la nature même des failles découvertes. Un autre risque, très palpable quant à lui, serait de voir ce genre d’information exploité par des « bandes rivales » ou des francs-tireurs isolés qui verraient ainsi un moyen très simple soit d’accroître, par « croissance externe », la taille de leur propre botnet. Rien n’interdit également de considérer, comme l’expliquait d’ailleurs Rsnake dans un récent billet, le code d’exploitation d’une machine zombifiée comme un moyen très pratique pour pénétrer dans une entreprise et y dérober des informations. Sans divulgation, les victimes sont infectées par un et un seul groupe de cyber-truands qui contaminent les machines un peu à l’aveuglette. Après divulgation, toute machine « rootée » devient potentiellement un self-service pour script-kiddies, spécialistes du « targeted attack » et du « spear phishing/leaking ». Et généralement, cette seconde catégorie de mafiosi numériques est bien plus dangereuse que les bot-herders de base. Mais revenons-en à l’idée de militarisation des vulnérabilités et de contre-attaque numérique émise par Laurent Oudot.
Les esprits évoluent et les interdits s’effondrent. Pour quelle raison la sécurité « informatique » n’aurait-elle pas le droit de recourir à des outils d’infiltration, à des contre-feux offensifs, à des systèmes d’intoxication comme le pratiquent les polices et les armées –secrètes ou non- du monde entier ? La réponse est simple : ce sont précisément des corps constitués, des polices et des armées dépendant d’un pouvoir exécutif, dans le cadre de lois locales. Un « civil » qui contre-attaque avec des armes de truands devient ipso-facto un truand lui-même, par simple effet mécanique.
Mais cette frontière entre le droit régalien d’un état et le no man’s land du mercenariat binaire tend à s’estomper de plus en plus. Dans la « vraie vie », les Halliburton vont faire le coup de feu sous contrat, les polices et gendarmeries reculent devant la généralisation de milices locales et les entreprises commerciales (Sony BMG, Orange…) trempent dans la fabrication de « presque malwares ». Ceci sous l’œil complaisant des politiques ? Des politiques, qui, semblerait-t-il, acceptent ces « coups de canif à la morale et aux institutions ». Le prétexte de faire respecter la loi par tous les moyens, pourrait-il être suffisant pour justifier ces entorses à des règles établies a priori pour tous ? Des Microsoft, des éditeurs d’antivirus clament parfois haut et fort avoir tantôt éradiqué un botnet de la surface de la planète, tantôt « logé » un baron du phishing, un roi du spam, le cerveau d’un virus. Actions conduites bien sûr en collaboration avec les polices, mais sans que la part d’activités respectives des forces en présence ne soit réellement précisées. Et si l’on en croit certains communiqués triomphants, c’est tout juste si ces derniers ne sont là que pour être présents sur la photo de famille finale … Du coup, Internet pourrait bien lui aussi tourner au Far West. D’un côté les « outlaws » avec leurs spywares masqués, de l’autre les chasseurs de primes mandatés par la Loi, qui utilisent des procédés expéditifs. Alors, pourquoi ne pas imaginer que puissent se constituer des sortes de « milices d’auto-défense », sorte de remake des « Sept Mercenaires » sur fond de musique binaire, faisant Fort Chabrol derrière un empilement de ZDE à la Tehtris ?
Pris entre les feux de ces « supplétifs » légaux et de ces éventuels « redresseurs de torts privés », les usagers-péons-internautes pourraient bien écoper de quelques balles perdues. Accès coupés par des tempêtes de dénis de services, machines quadruplement infectées par les spywares, les exploits d’exploits, les Albaniciels divers, les exploits d’Albaniciels, les chausse-trappes des campagnes de phishing et mines Claymore à la sauce virale, le cyber-surfeur de demain aura la peau dure ou ne sera plus…
Oups, le filet a également « fôté » en laissant passer un Christian au lieu d’un Laurent …;-)
Je tâcherai également d’être plus attentive à l’avenir, promis !
ouch! … Merci maître Kostya.. la confusion est impardonnable. @JB : Je ne vois pas du tout qui oserait confondre piratage et pentesting sur ce site 😉 (signé : le rédacteur de cet article qui n’aurait jamais imaginé être lu un jour par K.K.et qui en bafouille d’émotion) (si)
La loi évolue, ce qui est illégal un jour peut ne plus l’être le lendemain. Il y a quelques siècles, n’existaient que les marines royales et les pirates. Puis, un jour, sont apparus les corsaires.
Le parallèle s’arrête là : je ne voudrais qu’on imagine que les spécialistes en sécurité offensive puissent être assimilés à des pirates repentis 😉
C’est Laurent Oudot, pas Christian 🙂