octobre 22nd, 2018

La politique est-elle en train de se dissoudre totalement dans les nouvelles technologies ? Longtemps, dans la bouche de nos élus, les mots « réseau », « sécurité », « informatique » et autres néologismes électronico-techniques n’étaient qu’une forme dérivée d’une logorrhée scientiste, prometteuse d’un développement économique futur ou d’un renforcement du fichage de masse sous prétexte de protection de la veuve et de l’orphelin et des ayant-droit de l’industrie des loisirs.

Mais après avoir chanté les louanges des TIC, voilà que ces mêmes élus voient leurs certitudes s’évanouir. Et si, après tout, ils n’avaient pas favorisé l’émergence de ce qui sapera le fondement même de leur pouvoir, et notamment les mécanismes électoraux ? Aux USA, en tous cas, le bourrage d’urnes et l’intoxication sont un peu plus que de vagues craintes.

Nos confrères de ZDNet se plongent notamment sur les ventes en gros des fichiers d’électeurs. Dans un pays où le démarchage téléphonique utilise les mêmes méthodes pour refourguer de la lessive ou du candidat, la mise en vente des fichiers électoraux de 19 Etats, soit près de 35 millions d’identités et coordonnées, fait l’effet d’une petite bombe. Une fuite vérifiée et analysée conjointement par deux cabinets spécialisés dans la « threat intelligence », Anomali et Intel471.

Les deux cabinets se complaisent simplement à commenter une sorte de guerre du Golf de la vente de fichiers sur le « darkeunaite », en passant pudiquement sur le fait que ces fichiers ont assez peu d’importance d’un point de vue stratégique. Car la liste ne comporte que 4 « Swing States” (Iowa, Minessota, Ouest Virginie et Wisconsin). Les vendeurs ne s’y sont d’ailleurs pas trompés, puisque c’est le fichier Wisconsin qui est vendu le plus cher, à 12500 USD pour 6 millions de votants, alors que le Texas, qui n’a été un Etat-charnière qu’en 1960, est bradé à 1300 USD pour 14 millions de votants, en très grande majorité Conservateurs. Rien ne prouve non plus que ces mises en vente aient effectivement eu lieu et que les tarifs proposés aient été payés rubis sur l’ongle. Les vendeurs du darkeunaite ressemblent souvent à ces hommes politiques dont la valeur réelle est souvent bien en deçà de celle à laquelle ils s’estiment eux-mêmes.

La campagne de presse orchestrée par les deux « vendors » fait vibrer la corde de la manipulation de masses par une armée de l’ombre à la solde de forces occultes. Ce qui confirme l’idée que les grands messages conspirationnistes et les premiers propagateurs de peur, d’incertitude et de doute sont souvent émis par des professionnels de la prestation sécuritaire facturée à l’heure. Mais il faut reconnaître que l’opération marketing est belle, avec plus de 18 000 résultats Google mentionnant cette étude. Seul le DHS, le département de la sécurité intérieure US, minimise l’importance de l’analyse, non pas parce qu’elle ressemble à une outre remplie de vent, mais parce qu’il est « fortement improbable que ces fichiers soient le résultats d’un hack des serveurs de l’Administration Fédérale ou des Services d’Etats chargés des élections », témoigne Defense One. Une fois de plus, sauver les apparences plutôt que de peser les conséquences de l’événement.

La sécurité dans un monde d’ordinateurs doués de capacités physiques . C’est le titre d’un article de Bruce Schneier paru dans les colonnes du New York Times et qui sera l’un des sujets abordés dans un de ses prochains livres.

Le point de vue de Schneier peut être résumé de la manière suivante : tant que les cyber-attaques ne faisaient que des cyber-morts (quand bien même celles-ci impliqueraient des pertes financières importantes), le niveau de « crainte » demeurait assez bas. Mais avec la généralisation des objets de l’internet, une cyber-attaque peut se traduire par des dommages physiques et mécaniques. Quand bien même le niveau de « risque » est encore assez bas en matière de blitzkrieg visant les pompes à insuline et les stimulateurs cardiaques, le niveau de « crainte », quant à lui, est en forte croissance.

Et Schneier d’expliquer que les chose ne vont pas en s’améliorant pour une raison structurelle simple. Tout, dans le secteur informatique, a été prévu pour que bon nombre de hiatus logiciels puissent être corrigés. C’est le principe du déploiement de correctifs, rendu nécessaire pour que le niveau de confiance accordé aux outils et aux logiciels ne vienne pas entraver les chiffres de ventes. Le monde IoT est pratiquement dépourvu de ce genre de roue de secours. Soit parce que les moyens de communication numériques et de mise à niveau sont inexistants ou inadaptés, soit parce que la course au time to market fait que la version prochaine arrive sur le marché avant même qu’ait pu être développée une rustine.

L’on pourrait développer cette idée (ce que ne fait pas l’auteur) et aller jusqu’à affirmer que précisément, il n’est pas dans l’intérêt même des industriels de l’IoT (de l’atomixeur à la peluche bébé) de « patcher » et améliorer le moindre objet, puisque la découverte de failles, voire l’entretien de ces mauvaises pratiques quasi institutionnelles, pourraient pousser ipso facto à l’achat systématique du dernier modèle en date qui, espérons-le, serait dépourvu des tares de la génération précédente. L’insécurité des IoT dans le secteur de la grande consommation est une forme d’obsolescence programmée, en d’autres termes une démarche visant au vieillissement volontaire du produit vendu.

Le fondement de ce profond clivage sécuritaire vient de la nature de ce qui est vendu. Schneier l’explique bien : les uns vendent de l’immatériel et de la « confiance », et se doivent d’entretenir ce qui est vendu, les autres vendent de l’objet, du tangible, donc du périssable, et n’ont strictement aucun intérêt à entretenir ce qui est vendu et encore moins d’entretenir le plus petit atome de confiance, laquelle est synonyme de conservation et de stase marketing. Et il est très peu probable que les choses changent, puisque la seule chose qui pourrait faire évoluer les pratiques vertueuses des industriels de l’IoT serait une contrainte financière imposée par une instance de régulation ayant le pouvoir de se faire respecter. Or, dès lors qu’il s’agit de condamner, d’imposer des amendes lourdes ou de taxer, les institutions politiques deviennent soudainement très cauteleuses, avançant les « freins à la création d’entreprise et à l’essor économique ». Le brick and mortar est bien plus protégé par 200 ans de logique industrielle que le secteur des « matières molles ».

S’ajoute à cette escalade au gaspillage un bilan écologique néfaste. L’on accuse, souvent à raison, le secteur des nouvelles technologies de tous les maux en matière de bilan carbone. La consommation d’électricité tant des grands datacenters que des stations de travail a un impact sur l’écosystème, reconnu par ceux-là mêmes qui vendent du service en ligne et qui construisent lesdits datacenters avec force greenwashing. Le secteur de l’IoT, s’il n’est pas encadré dès ses premiers pas, non seulement s’avèrera aussi négatif en termes de consommation d’énergie dans le Cloud (il n’est de bon IoT que d’IoT connecté) qu’en matière de résidus non recyclables des milliards d’objets frappés d’obsolescence organisée. Le problème du recyclage des ordinateurs n’est rien comparé à celui posé par l’informatique embarquée du quotidien. Les échelles ne sont pas les mêmes.

Vient enfin l’un des derniers « points noirs » de l’IoT, la fiabilité de la « supply chain » ou de la source originelle produisant des modules OEM. Comme le prouve la très récente affaire des caméras Xiongmai, et sans pour autant imaginer de sinistres espions à la solde de Pékin capables d’infiltrer la quasi-totalité des appartements-maisons truffés d’Alexa ou Google Home, la succession de sous-traitants est un facteur d’opacité, donc de risques. Risques d’autant plus importants que les failles et abus d’usage de ces IoT ne sont, pour l’heure, audités que par quelques chercheurs. Rien n’est systématique en matière d’analyse de dangerosité cyber ou physique, rien ou presque n’est soumis à la moindre règlementation, et quand bien même ce le serait que le respect des contraintes légales telles que celles imposées par les Cnil d’Europe ne semble pas franchement inquiéter les producteurs d’Orient ou d’Outre Atlantique. Il est plus facile aux services des douanes d’intercepter une cargaison de faux sacs de marque qu’un wagon d’aspirateurs autonomes ou de poupées « intelligentes » intégrant un login admin, mot de passe 1234.

La question divise le monde InfoSec. D’un côté le parti du principe de précaution, la NSA en tête, qui estime « plausible » les allégations publiée par Bloomberg, affirmant qu’un des sous-traitants Chinois du constructeur Super-Micro aurait ajouté des composants espions sur une des cartes électroniques. De l’autre, les pragmatiques qui ne croient que ce qu’ils voient. Principalement d’ailleurs des gourous du secteur SSI, qui préfèrent demeurer prudent tant que des preuves tangibles n’ont pas été apportées. D’autres enfin font enfler la rumeur et estiment que le cas Super Micro n’est pas isolé. Bloomberg, de son côté, persiste et signe un second papier affirmant sa position.

Plusieurs éléments viennent contredire la thèse de l’ajout de composant-espion. A commencer par la description qu’en fait Bloomberg, en substance une pièce pas plus grande qu’un grain de riz et qui peut se confondre avec un élément couramment utilisé. « Some of the chips were built to look like signal conditioning couplers” precise l ’article original. L’auteur n’étant probablement pas électronicien, on peut supposer qu’il mentionne un composant de découplage/filtrage, condensateur ou ferrite. Là où tout ça devient plus difficile à admettre, c’est lorsque ce même auteur affirme que ce grain de silicium embarque également de la mémoire, une interface réseau et un processeur « assez puissant pour conduire une attaque » ( they incorporated memory, networking capability, and sufficient processing power for an attack). Outre la difficulté technique qu’implique un tel niveau d’intégration (même un petit processeur ARM nu est plus gros qu’un condensateur format 1206), de telles caractéristiques impliqueraient une refonte du circuit imprimé lui-même pour que des rails d’alimentation, bus de commande même minimaliste et réseau, puissent aboutir en interface de cet agent dormant en silicium.

Et ce genre de modification ne peut pas passer inaperçu aux yeux du contrôle qualité d’un fabricant de serveurs lorsqu’il reçoit les cartes d’un de ses sous-traitants.

La « puce grain de riz » est donc peu probable, ce qui de toute manière n’exclut pas définitivement les risques d’un virus injecté « usine ». Pas plus qu’il n’écarte la possibilité d’un hack matériel, mais camouflé cette fois dans un composant tout à fait légitime. Techniquement, la chose est tout à fait réalisable et échappe à tout contrôle visuel, voir même tout test logique si l’espion ne se réveille que sur une séquence de signaux peu probables.

Et puis il est si simple de recourir à des méthodes plus traditionnelles, plus directes et moins coûteuses, rappelle un récent article du Reg rapportant l’arrestation de Yanjun Xu en Angleterre, extradé aux USA et inculpé pour espionnage industriel. Selon le DoJ (https://www.justice.gov/opa/pr/chinese-intelligence-officer-charged-economic-espionage-involving-theft-trade-secrets-leading), ce personnage officiel faisait la tournée de la diaspora Chinoise Han pour y recruter des honorables correspondants.

Depuis plus d’une petite semaine, l’ensemble de la presse en ligne reprend les constatations de l’étude conduite par SEC Consult, laquelle accuse le constructeur de caméras IP d’avoir diffusé plus de 9 millions d’appareils vulnérables. Brian Krebs, le vautour Britannique sous la plume de Shaun Nichols, le HNS, ZDNet jouent les caisses de résonance.

Il faut dire que l’accusé, Xiongmai, n’en est pas à son coup d’essais. Déjà, par le passé, ses caméras vendues soit sous sa marque, soit « rebrandé » par une foultitude d’intégrateurs, avaient largement servi à la propagation du botnet Mirai. Echaudés par l’ampleur des désastres résultants, bon nombre de concepteurs d’objets de l’Internet avaient renforcé leurs politiques de sécurité, supprimé les mots de passe par défaut, les comptes admin « ouverts », les failles trop évidentes des serveurs Web embarqués, les outils de chiffrement plus symboliques qu’efficaces (lorsqu’il étaient présents) et autres grands classiques des vulnérabilités que l’on peut trouver dans les manuels « le fuzzing pour les nuls ».

Bon nombre de concepteurs… mais pas Xiongmai, qui, dévoilent les chercheurs de Sec Consult, reste accroché à ses mauvaises pratiques comme une moule à son bouchot. Des mauvaises pratiques amplifiées par d’autres habitudes, toutes aussi mauvaises voir singulièrement illégales. Toujours selon l’équipe de Sec Consult, l’industriel Chinois aurait largement pillé des blocs d’identifiants USB à Cisco, Koenig & Bauer ou Metrohm notamment. Il faut rappeler que les blocs d’identifiants USB (le couple VID/PID) sont loin d’être gratuits. Cette découverte a pu être faite en analysant les métadonnées des appareils connectés au Cloud public Xiongmai sur lequel s’enregistrent les IoT. Pis encore, aucun bloc n’est officiellement détenu par la société, alors que la majorité de ses produits à destination grand public se compte en millions de pièces et nécessite une liaison de ce type. Ajoutons à ces défauts le traditionnel compte « admin » sans mot de passe, l’absence de certificat dans les procédures de mise à jour, la possibilité de créer de faux services Cloud aux couleurs de Xiongmai…

Gardons également à l’esprit que les inconsistances des caméra connectées de cette marque sont également présentes dans tous les modèles OEM vendus sous près de 100 noms différents, de Abowone à ZRHunter, certains d’entre eux étant commercialisés en France. Un appel à la page d’erreur (www : //http/numéro_ip_camera/err.htm) affiche, le cas échéant, un message contenant l’origine du produit et un lien pointant vers Xiongmaitech.com, site officiel de l’équipementier.

Les probables 9 millions d’objets vulnérables risquent fort de le demeurer longtemps, et continueront à représenter une menace. Le marché grand public, quels que soient les efforts de sensibilisation déployés par les hérauts du mois de la sécurité, est peu enclin à déployer le moindre correctif sur des périphériques réseau.

Inlassable témoin des activités sénatoriales US, le magazine The Hill attire l’attention de ses lecteurs sur une nouvelle proposition de loi visant à dissuader l’achat et l’usage de machines à voter provenant d’équipementiers étrangers ou d’entreprises qui seraient contrôlées par des ressortissants d’un autre pays. Contrevenir à cette loi serait sanctionnée par une amende de 100 000 USD, une paille comparée au chiffre d’affaires réalisé par n’importe quel acteur de ce secteur. Une clause particulière exclue de ce bannissement les sociétés situées sur les terres des « Five Eyes » (Royaumes Unis, Canada, Nouvelle Zélande et Australie).

La France, toujours en avance sur la législation d’Outre Atlantique, supporte cette proposition avec entrain puisqu’une partie des isoloirs électroniques utilisés dans l’hexagone est fabriquée aux Etats Unis (Ivonic). Le gros du marché est détenu par des productions Hollandaises (Nedap) et Espagnoles (Indra).

Après les médailles des Passi, des Pris, des Secnumcloud, des Psce, des Pdis, des Psco, un nouveau label pourra être accroché à la vaillante poitrine des intervenants SSI : l’ordre des Pams, ou «  Prestataires d’Administration et de Maintenance Sécurisées « . En simplifiant à l’extrême, avant, il y avait un « spécialiste » externe avec droits « root » ou « admin » que l’on appelait chaque fois que la comptabilité tombait en panne, désormais, il y aura ce même spécialiste, mais dont la certification garantira une absolue discrétion quant aux secrets de l’entreprise. Un « gardien des clefs » facturé à la prestation en d’autres termes.

C’est là une fonction importante et nécessaire, particulièrement dans le cadre de grandes et moyennes entreprises qui ont parfois bien du mal à déterminer les limites de leurs différentes externalisations (lorsqu’elles les connaissent). Ce sera surtout un véritable sport de combat pour déterminer combien de fonctions stratégiques doivent ou non dépendre d’un Pams, et à combien de Pams il faudra faire appel…

Le second bouclier magique brandi par l’Anssi est une variante de la célèbre méthode Ebios ( Expression des besoins et identification des objectifs de sécurité), poussée par le Clusif depuis de nombreuses années. Cette fois, il s’agit d’une extension spécifiquement destinée à l’analyse de risques, explique le communiqué de l’Agence Nationale. Une méthode de plus ? Plutôt un moyen de formaliser l’analyse de risques en impliquant les différents responsables et acteurs de l’entreprise. Et pour que cette implication fonctionne, il faut également que participent à la mise en œuvre de cette méthode bien entendu le RSSI, mais également les responsables métier et surtout les directions opérationnelles et stratégiques. L’avantage évident d’Ebios « analyse de risques » est de décentraliser et déporter la responsabilité en dehors du cercle restreint de la SSI. En toute logique, si la recette Anssi fonctionne, on devrait moins entendre dans le cercle que « la sécurité est un échec ».

Si l’on en croit les statistiques du « DataVisor Fraud Index Report: Q2 2018 » (attention, versement d’une pinte d’identité en échange dudit rapport), les blackhats usent et abusent des services de traitement dans le cloud. L’échantillonnage de l’étude, qui s’est étendue d’avril à juin, porte sur 1,1 milliard de comptes actifs, 1,5 million de domaines de services de messageries, 231000 types d’équipements et 512 prestataires de services cloud et data center. Le total des assauts répertoriés durant ce trimestre gravite aux environ de 603 millions, dont 356 000 attaques concertées.

Les USA et la Chine sont les meilleurs pays d’hébergement, avec respectivement 21% et 17 % de « fausses identités » impliquées dans des attaques visant des services financiers ou de fourniture de services. Si l’on ne considère que les cyber-raids visant les Etats Unis, plus de 45% des attaquants étaient situés sur le sol US. On n’est jamais mieux trahis que par les siens.

Mais les membres de la pègre numérique n’aiment pas trop se mélanger, précise l’étude. Les spécialistes du siphonage de données mobiles ou provenant de services financiers se retrouvent plutôt chez DigitalOcean, tandis que les pro de la fraude sur les réseaux sociaux et assimilés préfèrent AWS.

Conséquences indirectes du succès du « voting village » de la DefCon, les voix en faveur d’un renforcement des contrôles du système électoral US se font entendre de plus en plus souvent.

C’est le NY Times qui ouvre le feu, avec un article au vitriol signé Kim Zetter. Tout y passe : omerta des fabricants de machine, opacité (ou absence) des systèmes de contrôle, collusion passive des partis de droite en faveur de l’automatisation du ballot, le tout reposant sur un passif de failles exploitables et un historique impressionnant d’attaques réellement constatées. Mais que faire pour y remédier ? S’interrogent tant les représentants des médias que les autorités. Le morcellement Fédéral, l’autonomie des circonscriptions, l’attitude viscéralement libérale et anti-centraliste de la société US a peu à peu fait croître un régime kafkaïen qui compte plus de 10 000 juridictions électorales sur l’ensemble du pays. Avec les incompatibilités et incohérences que cela implique, avec, insiste l’auteur, sur les failles à tous les niveaux que l’on découvre quotidiennement, que ce soit dans la gestion des bases de données des votants, des systèmes de vérification d’éligibilité, ou tout au long de la chaîne de collecte, de comptabilisation et de rapport des résultats, tous aussi fermés et opaques les uns que les autres. Et les quasi assurances de fraudes ou d’erreurs provoquées par ce système ne semblent pas émouvoir qui que ce soit.

Le Magasine Esquire, pourtant rarement porté sur les actualités High Tech, reprend de larges extraits du papier du NYT et titre « Fédéraliser le système électoral ». Une accroche qui plaide en faveur d’une tutelle des votes par l’Administration nationale, et donc l’élimination des 10 000 instances susmentionnées. Doit-on préciser que les vendeurs de machines à voter voient ce genre d’initiative d’un très mauvais œil, car elle impliquerait au moins un cahier des charges technique et un contrôle Fédéral des produits et services vendus.

Simultanément,ou presque, les Académies Nationales US des Sciences, de la Médecine et de l’Ingénierie viennent de publier un rapport intitulé « Sécuriser le vote, protéger la démocratie Américaine ». Rapport qui insiste, explique Steve Bellovin, sur des fondamentaux strictement identiques à ceux déjà énoncés dans le mémento de la DefCon : protéger les bases de données des votants, conservation des bulletins sous un forme humainement lisible (autrement dit avec une « trace papier »), garantir que tout recomptage doit être assuré par de véritables personnes, et non par des machines, et lancer le plus rapidement possible des audits de sécurité auprès de toutes les juridictions.

L’un des premiers, sinon le seul, argument en faveur du scrutin électronique est d’ordre économique. Si l’on doit y ajouter les coûts d’une véritable politique de sécurité et des normes à appliquer, les méthodes traditionnelles pourraient bien revenir en grâce. En France, « l’exemple Américain » si souvent invoqué pour justifier le recours à l’isoloir numérique pourrait faire long feu.

« Le FBI et le DHS recommandent aux hommes d’affaires d’analyser et de comprendre quels accès distants, leurs réseaux et connexions, et leur conseille de réduire les risques de compromission, notamment en désactivant le protocole RDP » clame un communiqué conjoint aux deux organismes Fédéraux US.

Il est peu probable que l’ensemble de la population informatisée d’Outre Atlantique comprenne un traître mot de ce message et soient en mesure « d’analyser et comprendre » les arcanes dudit protocole. Quant aux gens avertis (geeks, RSSI, responsables réseaux, passionnés de tous bords) tous, ou presque, ont protégé leurs arrières et conservent à l’esprit ces successifs « patch Tuesday » et les avalanches de correctifs qui tentent, depuis les premières verrues de Terminal Server, de boucher les nombreuses fuites de ce canal de communication. On hésite alors à qualifier ce cri d’alarme. Coup d’épée dans l’eau ou bouche-trou à l’occasion du mois de la cyber-sécurité ?

Cisco absorbe Duo, spécialiste de l’authentification à facteurs multiples, du SSO et de l’identification des accès distants, pour un montant estimé à 2,35 milliards de dollars. Son patron et fondateur, Dug Song, annonce cette absorption dans une lettre ouverte