septembre 8th, 2014

L’auscultation d’un ordinateur à distance (prolégomènes à l’exploitation également distante) est un classique de la sécurité réseau. Thibaut Gadiolet, sur le blog du Cert Lexsi, revient sur ces anciennes pratiques remises au goût du jour… par la NSA et l’un de ses mille-et-un gadgets d’espionnage baptisé Hacienda. Cette version hispanisante du principe « barbouze, téléphone maison » n’est rien d’autre qu’un outil de scan massif de l’espace IPv4, un peu comme le fait Zmap. Son but est de balayer Internet et inventorier, pays par pays, les machines vulnérables, de les situer géographiquement (plus ou moins), afin de faciliter la phase suivante qui consiste à exploiter d’éventuelles failles propres à telle ou telle version de service ou noyau. Selon la source originelle d’information qui, la première, a révélé l’existence de Hacienda ( CT magazine, édition Heise) 27 pays au moins auraient été ainsi auscultés par les espions britanniques du GCHQ.

Hacienda ne se contente pas de dresser un simple inventaire. Sont également collectées les informations complémentaires délivrées par le verbiage des « handshake » TCP, ainsi que le contenu des « bannières », parfois très indiscrètes sur la nature, la version, l’âge d’un service TCP (et par conséquent sur ses failles probables. Autant de renseignements qui, une fois triés, offriront à l’agresseur la possibilité soit de mettre en œuvre des exploits capables de compromettre la machine cible pour en extraire des informations sensibles, soit, si l’ordinateur ne contient aucun donnée digne d’intérêt, de la transformer en proxy qui pourra, par la suite, servir à masquer les traces d’une future attaque et brouiller les pistes permettant d’identifier la provenance de l’attaque. Est-il utile de préciser que sont visés en priorité les serveurs des services gouvernementaux de l’adversaire.

Contre ce genre d’agression, il existe peu de parades. Filtrage et détection des scans de ports, fermeture de tous les services tcp (et udp !) qui ne sont pas vitaux, saupoudrage de honeypots, modification « à la main » des signatures afin d’embrouiller un peu plus les analyses de fingerprinting… Côté protection légale, en revanche, les choses sont nettement moins claires. Si une intrusion attire les foudres de la loi, un scan de port n’est pas juridiquement considéré comme un acte illégal « Suivant l’interprétation des textes de loi, il ne constitue qu’un acte préparatoire et n’est pour le moment sanctionné par aucune jurisprudence. Même s’il est peu probable que la révélation du programme Hacienda fasse bouger les lignes, il n’est cependant pas impossible qu’un juge en décide autrement un jour » précise Thibaut Gadiolet.

Il est à craindre qu’un juge un peu trop influencé par un mouvement politique radical serait enclin à faire basculer le scan de port dans la catégorie des actes répréhensibles. Cela s’est déjà vu. Ce serait un levier de plus à l’encontre des usagers « normaux » d’Internet, mais en aucun cas un bouclier contre les organisations mafieuses ou les services de renseignements étrangers. D’Echelon à Carnivore, de Prism aux mille et un gadgets de flicage téléphonique ayant touché tant les citoyens que les infrastructures gouvernementales Françaises, jamais l’on a vu, jamais l’on a entendu le moindre magistrat à mortier décider d’ouvrir une enquête visant le GCHQ, une agence à trois lettres ou un « ring » de botherders slaves. Vérité en deçà des Pyrénées, mensonge au-delà.

A qui appartiennent-elles ? nul ne sait. D’où viennent-elles ? C’est un mystère. A quoi servent-elles ? Les supputations les plus folles vont bon train. Elles, ce sont des tours hertziennes qui se multiplient aux Etats-Unis (et probablement dans d’autres pays), s’indigne Popular Science. Chose étrange, ces tours se comportent très exactement comme des cellules de téléphonie cellulaire, à ceci près qu’elles ne diffusent pas l’identifiant d’un opérateur et qu’elles forcent les terminaux qui s’y connectent à se replier sur des modes peu sécurisés (en 2G notamment). Pis encore, ces cellules d’interception seraient capables d’attaquer les étages « bande de base » des téléphones cellulaires, ce qui laisse à penser que leurs mystérieux propriétaires entretiennent de très étroites relations techniques avec les fabricants de circuits intégrés spécialisés. Car les détails intimes de ces modules bande de base sont très souvent recouverts d’une chape de silence et de fonctions secrètes, connues des seuls OEM et opérateurs.

Si l’on ajoute que ces cellules fantômes ont une fâcheuse tendance à se multiplier à l’approche des terrains militaires, on peut y voir la main invisible des services de renseignement surveillant les conversations des citoyens US sous le prétexte rebattu d’une intense chasse aux terroristes.

Les ingrédients sont réunis pour écrire un grand roman d’espionnage, d’amour et d’aventure… ou faire la première page d’un prochain numéro de Wired illustré par l’écusson de la NSA ou du Department of Defense.