L’auscultation d’un ordinateur à distance (prolégomènes à l’exploitation également distante) est un classique de la sécurité réseau. Thibaut Gadiolet, sur le blog du Cert Lexsi, revient sur ces anciennes pratiques remises au goût du jour… par la NSA et l’un de ses mille-et-un gadgets d’espionnage baptisé Hacienda. Cette version hispanisante du principe « barbouze, téléphone maison » n’est rien d’autre qu’un outil de scan massif de l’espace IPv4, un peu comme le fait Zmap. Son but est de balayer Internet et inventorier, pays par pays, les machines vulnérables, de les situer géographiquement (plus ou moins), afin de faciliter la phase suivante qui consiste à exploiter d’éventuelles failles propres à telle ou telle version de service ou noyau. Selon la source originelle d’information qui, la première, a révélé l’existence de Hacienda ( CT magazine, édition Heise) 27 pays au moins auraient été ainsi auscultés par les espions britanniques du GCHQ.
Hacienda ne se contente pas de dresser un simple inventaire. Sont également collectées les informations complémentaires délivrées par le verbiage des « handshake » TCP, ainsi que le contenu des « bannières », parfois très indiscrètes sur la nature, la version, l’âge d’un service TCP (et par conséquent sur ses failles probables. Autant de renseignements qui, une fois triés, offriront à l’agresseur la possibilité soit de mettre en œuvre des exploits capables de compromettre la machine cible pour en extraire des informations sensibles, soit, si l’ordinateur ne contient aucun donnée digne d’intérêt, de la transformer en proxy qui pourra, par la suite, servir à masquer les traces d’une future attaque et brouiller les pistes permettant d’identifier la provenance de l’attaque. Est-il utile de préciser que sont visés en priorité les serveurs des services gouvernementaux de l’adversaire.
Contre ce genre d’agression, il existe peu de parades. Filtrage et détection des scans de ports, fermeture de tous les services tcp (et udp !) qui ne sont pas vitaux, saupoudrage de honeypots, modification « à la main » des signatures afin d’embrouiller un peu plus les analyses de fingerprinting… Côté protection légale, en revanche, les choses sont nettement moins claires. Si une intrusion attire les foudres de la loi, un scan de port n’est pas juridiquement considéré comme un acte illégal « Suivant l’interprétation des textes de loi, il ne constitue qu’un acte préparatoire et n’est pour le moment sanctionné par aucune jurisprudence. Même s’il est peu probable que la révélation du programme Hacienda fasse bouger les lignes, il n’est cependant pas impossible qu’un juge en décide autrement un jour » précise Thibaut Gadiolet.
Il est à craindre qu’un juge un peu trop influencé par un mouvement politique radical serait enclin à faire basculer le scan de port dans la catégorie des actes répréhensibles. Cela s’est déjà vu. Ce serait un levier de plus à l’encontre des usagers « normaux » d’Internet, mais en aucun cas un bouclier contre les organisations mafieuses ou les services de renseignements étrangers. D’Echelon à Carnivore, de Prism aux mille et un gadgets de flicage téléphonique ayant touché tant les citoyens que les infrastructures gouvernementales Françaises, jamais l’on a vu, jamais l’on a entendu le moindre magistrat à mortier décider d’ouvrir une enquête visant le GCHQ, une agence à trois lettres ou un « ring » de botherders slaves. Vérité en deçà des Pyrénées, mensonge au-delà.
