mars 9th, 2017

614 M$ en cash, c’est ce qu’apportera CA Technologies dans la corbeille de mariage, si les autorités financières US acceptent cette union avec Veracode. L’acquisition sera a priori totalement finalisée au premier trimestre 2018.

Cette opération de croissance externe apporte à CA un catalogue bien fourni en matière de « secure DevOps », autrement dit procédures et outils de sécurisation des applications, et plus particulièrement des développements Web, temple du « quick and dirty ». C’est également la formation d’un nouveau couple entre non pas deux entreprises, mais entre un géant de la sécurité informatique pour grandes entreprises et un homme, Chris Wysopal, aka Weld Pond, l’un des auteurs de L0phtcrack, timonier de L0pht Heavy Industries. LHI est absorbé par @Stake, un vivier d’analystes et reversers parmi lesquels on peut citer Katie Moussouris, Window Snyder (qui fonda Matasano, fut Chief Security Officer de Mozilla) ou le très explosif Dan Geer, parti avec pertes et fracas de @Stake pour avoir osé critiquer Microsoft. Lorsqu’en 2014 @Stake est reprise par Symantec, Wysopal quitte cette société pour bâtir Veracode… deux ans d’existence, 500 employés, plus d’un demi-milliard de dollars en valeur, la mariée est aussi jeune que riche. Wysopal ne figure pas au nombre des personnes citées dans le communiqué de presse.

« Sécurité numérique au passage des frontières à l’attention des journalistes». Le titre de ce billet de Robert Graham, Errata Security, ne peut que retenir l’attention des gratte-papiers de CNIS. Avec d’autant plus d’intensité que cet article est révélateur de l’état schizophrénique de bien des spécialistes de la sécurité de l’information et de leur décalage patent entre les nécessités métier et leur logique systématique.

A l’origine, un rapport très généraliste du Commitee to Protect Jounalists (CPJ), lequel distille régulièrement des règles de bon sens à l’attention de la gente rédactrice. Conseils portant parfois sur les différentes techniques de cyber-protection, ou dossiers complets sur les techno-réflexes à acquérir en matière de bonnes pratiques numériques.

Et le fondateur d’Errata Security d’analyser un à un ces conseils donnés via une infographie (retirée depuis), pour y ajouter son grain de sel et donner un éclairage plus radical en matière de sécurité de l’information. Tout y passe : politique de mots de passe renforcée, authentification multi-facteur, chiffrement systématique des disques, utilisation de logiciels d’échange chiffrés (Signal, Whatsapp… avec de véritables morceaux de closed source dedans)… en bref, une « hard security » d’entreprise au service des globe-trotters.

Seulement voilà. Graham est un citoyen US, qui ne semble jamais s’être retrouvé entre deux armoires à glace de l’Immigration Service, expliquant qu’entre fournir la clef de déchiffrement d’un disque ou un séjour tous frais payés dans un établissement d’Etat il n’y avait pas d’autre choix offerts à l’intéressé. Jamais, non plus, le défenseur du mot de passe inviolable, de Signal ou de GPG n’a envisagé que la possession ou l’émission d’un contenu chiffré était, dans bien des pays (USA y compris) le catalyseur d’une mise sur écoute systématique ou le déclencheur d’une perquisition musclée, en vertu du principe du « celui qui n’a rien à se reprocher n’a rien à cacher ». La liste des clients de la très respectable entreprise Française Amesys pourrait d’ailleurs suffire pour dresser la liste des pays en question, prouvant ainsi qu’il n’est pire bâillon que celui qui revêt les oripeaux d’une démocratie en lutte contre le terrorisme.

Les premières armes d’un journaliste traversant une frontière sont essentiellement la dénégation plausible et un ordinateur non chiffré et « décommissionné » entre chaque déplacement. Et accessoirement la connaissance de quelques techniques stéganographiques, de moyens de communication discrets, et d’une attitude numériquement « normale », consistant à consulter sa messagerie ou expédier des articles anodins à périodes régulières. Un journaliste qui se promène avec les éditions complètes du petit Kali-Linux illustré est aussi repérable par les barbouzes de tous poils qu’une première communiante dans une bacchanale de César (Jules).

En revanche, l’abus de chiffrement (si possible d’origine étrangère et le plus récent possible) est une garantie de protection des sources, y compris et surtout dans le pays d’origine de l’enquêteur. Tout comme l’emploi de canaux de communication chiffrés et autres boucliers numériques : Tor, Wire, GPG, services proxy hébergés, Proton Mail et serveurs de domaines/messagerie situés « hors juridiction » locale, téléphones le moins « smart » possible et abonnements « à la carte », machines virtuelles d’isolation, firewall configurés en mode parano, réseau local de travail confiné, duplicatas de données éparpillés géographiquement… mais pas dans le cloud ; la panoplie est vaste et nécessite souvent de solides connaissances tant en informatique qu’en droit international, accompagnée d’une certaine lucidité sur la capacité de nuisance des opérateurs télécom locaux. La sécurité et le journalisme sont deux corps chimiques instables qui ne peuvent être soumis à une norme ISO 27xxx, et qui demande une constante adaptation au milieu.

Nos confrères d’Ars Technica relatent l’abandon des charges retenues à l’encontre d’un consommateur avéré de contenus pédopornographiques… faute de preuves techniques, le FBI ne souhaitant pas révéler la nature de ses outils de collecte d’information.

A l’origine de l’affaire, Playpen, un site d’hébergement caché, localisé puis perquisitionné par les services de police et de renseignement intérieur des Etats Unis. Services qui décident de garder le serveur en ligne afin de repérer les consommateurs et fournisseurs de contenus illégaux. A partir de ce moment, chaque visiteur fréquentant le site via l’Onion Router est infecté, le « virus légal » utilisant ensuite un canal de transmission conventionnel pour renvoyer aux policier diverses indications sur les suspects : adresse MAC, nom de la machine, nom d’utilisateur et autres signatures.

Le Lawfare blog décrit dans les grandes lignes comment s’organise cette collecte… et explique la stratégie de défense adoptée par les avocats de Jay Michaud, l’un des présumés coupables. « Sans les détails du code du programme d’enquête réseau du FBI, impossible d’assurer la défense de notre client » expliquent en substance la défense. Code que les Fédéraux n’ont pas l’intention de rendre public. Ce qui marque un coup d’arrêt des poursuites et mises en examen pour, estiment les rédacteurs de Lawfare, près de 35 autres présumés coupables, 17 fournisseurs de contenus et 26 enfants victimes.

Ce difficile cas de conscience est comparable à celui soulevé par les travaux d’Alan Turing durant la dernière guerre mondiale. Des centaines de combattants et civils sont morts, des villes ont été bombardées, des navires coulés pour que jamais les services de l’Abwehr ou de la Kriegsmarine ne puissent soupçonner que leurs moyens de communication étaient écoutés et déchiffrés. Secret d’ailleurs qui fût maintenu bien après la fin de la guerre froide, toujours pour des raisons d’Etat et de secret entourant l’arsenal des services d’espionnage.

Melissa serait-elle parvenue à inspirer les Ministres de Sa Gracieuse Majesté ? Sans l’ombre d’un doute, révèle un article de Softpedia relayant la publication d’un rapport du Parlement sur l’état de la cyber-sécurité dans ce Royaume Uni près-Brexit. Au nombre des recommandations, celle de refuser systématiquement l’octroi d’un « bonus » à tout dirigeant dont l’entreprise aurait été victime d’un vol massif d’identités. Et de rappeler le très discutable triplement de prime de résultat votée en faveur du CEO par le Conseil d’Administration de l’opérateur Talktalk peu de temps après le monumental pillage de ses listes d’abonnés.

Toucher les dirigeants au portefeuille, envoyer les grands patrons au Pénal, c’est ce qu’ont promis les lois Sarbanes-Oxley, Bâle II et similaires, sans pour autant avoir pu émouvoir jusqu’à présent le moindre des champions de la fuite massive d’identités.

Surpris par les multiples hacks qui ont provoqué une fuite de 500 millions ou d’un milliard d’identités ? Pas un seul instant, révèle le bilan annuel de Yahoo. L’équipe de consultants chargée d’analyser les différents « incidents de sécurité » révèle que les responsables sécurité de l’entreprise avaient connaissance des compromissions successives de 2014, 2015 et 2016, ainsi que de la similitude des attaques via des cookies forgés ( the Company’s information security team had contemporaneous knowledge of the 2014 compromise of user accounts, as well as incidents by the same attacker involving cookie forging in 2015 and 2016). Pis encore, fin 2014, il est certain que la haute direction du groupe était au courant d’une attaque « orchestrée par un état-nation » et ayant utilisé les systèmes de gestion et d’administration des comptes des utilisateurs. Plusieurs passages laissent par ailleurs sous-entendre qu’il y aurait eu des fuites techniques internes ayant permis aux attaquants de fabriquer des exploits « sur mesure ». De là à oser imaginer que cette omerta ait été organisée dans le seul but de ne pas déprécier la valeur de Yahoo aux yeux de son futur repreneur Verizon, il n’y a qu’un pas.

C’est Ron Bell, Conseiller Général et Secrétaire Général du groupe qui a servi de fusible, soulevant l’émotion et l’indignation de bon nombre de collaborateurs. Mellissa Meyer, toujours en poste, et dont les émoluments s’élèvent à près d’un million de dollars chaque année, sacrifie avec une abnégation toute saint-sulpicienne son bonus de fin d’année. Trois jours plus tard, une partie des données Yahoo étaient disponibles en téléchargement sur Pastebin, canal officiel de divulgation des Etats-Nation qui s’adonnent au pillage de comptes de particuliers.