… mais il n’y a pas que les usagers professionnels des messageries qui sont visés. Le secteur grand public microsoftien fait également l’objet d’une attention soutenue de la part des pirates du login/password. Cela commence avec une annonce, celle de la découverte du vol de plus de 10 000 sésames MSN dont le nom commence par les lettres A et B. Un « scoop » déjà ancien, signé Sophos.
Par quel moyen ce genre de fichier a-t-il pu tomber entre des mains inamicales ? Très probablement par le truchement d’opération de phishing. L’une des filières les plus actives du moment prend l’aspect d’une application Web baptisée « Pics for MSN Friends 1.1c », hostée généralement chez des hébergeurs Chinois, avec des noms de domaine gérés par des registrars Chinois, et « poussés » par des vagues de phishing véhiculées via MSN même. Une vague qui succède à une autre campagne qui vantait les mérites de différents services prétendant indiquer « qui vous a banni de sa liste d’amis Messenger ». Un drame d’ado pour une poignée de crédences.
Il s’en est naturellement suivi une avalanche de communiqués, articles et notes de blogs expliquant combien les gens sont méchants, combien le vol d’identité est une mode ravageuse, combien il est urgent de légiférer sur le sujet.
Un détail cependant semble avoir échappé à tous ces témoins, détail qui nous fait dire « on l’a échappé belle ». Petit retour historique sur les crédences MSN.
C’est au début des années 90 que que Redmond –alias « Corp », alias Microsoft- décide de se lancer dans le business de l’identité numérique. Par hasard ? Que nenni, par désir d’occuper une place convoitée par le ban et l’arrière ban de l’industrie. Chez Novell par exemple, çà s’appelle DigitalMe, chez les équipementiers qui ont loupé magistralement le marché de l’annuaire d’entreprise, du service Web et des services télécom, çà prend le nom de Liberty Alliance. Du côté de Microsoft, le projet prend pour nom Passport, produit reposant sur un monumental annuaire inspiré d’X500, et essentiellement destiné aux grandes organisations, instances gouvernementales, structures internationales. Pas question, en ce temps là, d’en faire un mécanisme de reconnaissance pour gamins en mal de kikooo-lol-mdr.
En d’autres termes, le Passport des années 90, c’est la carte d’identité numérique que Microsoft tente de vendre avant tout à l’Administration Clinton, à Matignon et –au passage- à France Telecom. Lesquels, comme un seul homme, déclinent l’invitation sous prétexte de coûts pharaoniques. Le prix des licences MS ? Non, car sur de tels marché, on ne vend pas, Monsieur, on offre. On offre parce que la mise en œuvre d’une infrastructure de gestion d’identité nationale ressemble au picon-citron-curaçao du César de Pagnol : Un petit tiers de logiciel, un tiers d’architecture matérielle/réseau, un très gros tiers de services et un bon tiers de dépenses dérivées imprévues. Les prémices d’un bigbrotherisme transnational des identités reculaient donc devant de vulgaires conditions économiques.
Pourtant, les discours de MM Gates et Balmer ne laissaient place à aucun doute: le système était inviolable, le mécanisme fiable, la protection absolue. Devant le refus dédaigneux des grands clients, Microsoft abandonne le projet et utilise cette danseuse technologique pour sécuriser ses propres services. Et pour commencer sa messagerie instantanée Messenger (à l’origine de MSN) ainsi que l’accès aux abonnements aux divers services tels que le Technet, le Microsoft Developers Network, sa messagerie Hotmail… et peut-être ses futurs services « cloud » ?
En d’autres termes, dans le lot des adresses ainsi collectées, il se trouve statistiquement quelques milliers mots de passe ouvrant la voie à des licences Windows 7, Office, serveurs d’applications et 2008 R2 « officielles »… Tout çà va faire des heureux au marché noir. Et l’affaire aurait pu avoir des conséquences bien plus désastreuses si Passport avait été autrefois adopté pour servir de base à une hypothétique carte d’identité numérique nationale. On l’a échappé belle.
Rétrospectivement,cette fuite d’information est, sur l’échelle de Richter des sinistres informatiques, aussi déflagrante qu’un essai nucléaire comparé au pétard à mèche d’une faille SMBv2 ou d’un trou ftp/IIS. Fort heureusement, seuls quelques milliers de clients Microsoft et une armée de « chateurs » en ont fait les frais, grâces en soient rendues à la clairvoyance des hommes politiques d’antan. De grands commis de l’Etat qui, bien que ne comprenant rien aux annuaires, n’ayant probablement jamais entendu parler de phishing ou de « social engineering », ont su ne pas tomber dans un tel piège. Les raisons et motivations –purement économiques, répétons le- étaient mauvaises, mais le résultat fut le même. Il reste à espérer qu’en cette période de sensibilisation à la sécurité des systèmes Scada –une base d’identité nationale n’est-elle pas apparentée à un système Scada ?- , les politiques d’aujourd’hui sauront agir avec autant de prudence, malgré l’amour immodéré que ceux-ci semblent vouer au fichage systématique et à l’informatisation du moindre bouton de guêtre.
1 commentaire