Hack Kaspersky, une leçon pour l’Anses et l’Anssi

Actualités - Sécurité - Posté on 12 Juin 2015 at 11:12 par cnis-mag

Don Shall A moins d’avoir été invité durant les trois derniers jours à un apéro-surprise au fond de la Caverne de Platon, nul n’a pu ignorer l’attaque Duqu 2.0 que subit l’éditeur d’antivirus Kaspersky. Une annonce sur le bulletin d’information de l’entreprise, une alerte du département de recherche accompagnée d’un article détaillé sur l’attaque elle-même ainsi que l’indicateur de compromission (se reporter à l’outil de Mendiant. Vous avez dit transparence ?

Peu importe de savoir qui attaque. Les moyens mis en œuvre ne sont pas ceux d’un amateur, d’un journaliste en mal de titraille ou d’un dangereux utilisateur de Google. C’est du lourd, c’est du violent, c’est du persistant qui aurait pu passer inaperçu. La génétique du code d’attaque, une variant évoluée de Duqu, laisse penser qu’il ne s’agit pas d’une vengeance gratuite d’un second couteau du cyber-mitan pétersbourgeois, mais bien d’un Etat-nation. Et face à la virulence de l’intrusion, la direction de Kaspersky a pris la décision, alors que l’invasion n’est pas totalement circonscrite, de le faire savoir à ses clients en particulier et au monde en général par voie de presse notamment, et plus particulièrement dans les colonnes de Forbes. « Nous sommes la cible d’un assaut sérieux, les données de nos clients sont a priori en sécurité, nous mettons tout en œuvre (et nous le prouvons) pour faire cesser cet état de fait » dit en substance Eugène Kaspersky.

Pendant ce temps, à Champignac…

Quelques semaines plus tôt, Maître Olivier Iteanu signait un billet déprimant sur le site de nos confrères Reflets.info, déplorant la réaction de la Cour de Cassation dans l’affaire du « piratage Google » dont est accusé notre confrère Olivier Laurelli, alias Bluetouff. Que reproche-t-on à notre confrère ?

D’être Français tout d’abord, donc plus facile à appréhender qu’un supplétif de la NSA ou du Diaochabu. Car se faire pirater par un Etat-Nation ne pourrait souffrir la moindre publication puisque révélant un certain niveau de légèreté dans l’administration de la SSI et surtout créer quelques frustrations au sein de la Direction Générale et de la DSI du groupe, puisqu’aucune riposte n’est alors possible. D’ailleurs, une attaque de type Duqu 2.0 aurait-elle été remarquée par des RSSI incapables d’appliquer des conseils niveau Owasp 1.0 et verrouiller les pages d’un serveur Web ? D’autres, en leur temps (remember Areva), n’ont pas fait mieux, avec pourtant bien plus de moyens techniques. Tandis que de tomber à bras raccourcis sur un internaute avec toute la virulence et la puissance financière d’un organisme d’Etat, c’est pouvoir prouver que la Vengeance de la Fonction Publique peut s’abattre à tout moment pour peu que ce ne soit pas trop fatiguant. A vaincre sans péril on se fait de la gloire à pas cher.

De n’avoir pas « hacké » un système, mais révélé des failles inquiétantes affectant les serveurs d’information d’une Agence Nationale. Or, la communication de crise, que ce soit à l’Anses ou dans toute autre organisation nationale ou opérateur d’importance vitale (OIV) doit nécessairement passer par l’Agence Nationale de Sécurité des Systèmes d’Information (Anssi). La transparence et la divulgation n’a lieu d’être que dans les salons feutrés et insonorisés de l’Hôtel des Invalides. Les invalides… tout un symbole.

Quant aux services de communication de telles administrations, ils appliquent l’adage « no comment is the best comment », quand bien même l’intrusion aurait été provoquée par une absence totale de lecture des recommandations Owasp de premier niveau. Qui donc sont ces gugusses qui révèlent au monde nos erreurs de béotien sans en avoir obtenu de notre part l’autorisation de parler ? Ce sont des journalistes. Liberté de la presse, mes… aurait dit Zazie qui aimait autant les rimes que le métro et les bloudjinnzes. Il n’y a donc qu’aux USA que les fichiers de 4 millions de fonctionnaires fuitent par tous les trous des bases de données, que les banques et assurances se font retourner comme gants de toilette, et que des sites tels que Dataloss.db inventent jour après jour des calembredaines tout justes bonnes à effrayer le public. Les failles et exploits tiennent un peu des nuages radioactifs, ils respectent les frontières.

Disons-le tout net, ce culte du secret, cet amour de l’amère omerta, ce sublime mépris pour une « France vacharde de veaux incapables de comprendre quoi que ce soit aux choses techniques » qu’affectent nos Grands Commis de l’Etat ne peut signifier que deux choses : soit l’absolu certitude de leur invincibilité numérique (sic), soit la honte des OIV et Administrations, conscientes de l’état de délabrement de leurs défenses. La quasi-certitude de celle-ci de ne pas résister à un audit sérieux (vous avez-dit pentesting intégral ?) sans tomber sur deux ou trois barbouzes Chinoises, Allemandes, Britanniques et Etats-Uniennes qui, entre deux récupérations de fichiers, doivent taper le carton via IRC histoire de passer le temps.

« La sécurité est un échec », se plaisait à répéter un ancien responsable sécurité d’un grand groupe Français. Il aurait pu ajouter « un échec provoqué en grande partie par les décisions stratégiques de ceux censés décider de la politique SSI à suivre ». Un problème qui ne semble pas franchement en passe d’être résolu.

1 commentaire

Laisser une réponse