novembre 1st, 2008

Il s’agit là d’un tout petit hack se contentant d’afficher, durant un bref instant, l’écran bleu d’un Bsod sous Windows. Rien là que de très classique, pour qui aime pratiquer ce genre de blague de potache. Des versions logicielles existent depuis belle lurette, certaines même pouvant être téléchargées sur les serveurs même de Microsoft. Pourtant, ce générateur « d’écran bleu de la mort » est nouveau à bien des égards.

Tout d’abord, il s’agit d’un « dongle » matériel s’insérant sur la sortie vidéo d’un PC. Un dongle utilisant une interface vidéo bidirectionnelle MAXim et un microcontrôleur Parallax et un récepteur InfraRouge RC5 histoire de télécommander la plaisanterie de mauvais goût. De quoi monter une attaque « electronic in the middle » en quelques sortes.

Ensuite, on ne peut que s’étonner de la somme d’efforts nécessaires à la mise au point de ce techno-bizutage : composants au format 8905, circuits intégrés en boîtiers TQFP, circuit imprimé quadruple couche, technique de soudure par refusion obligatoire… Un hack qui prouve au moins une chose : la perception des moyens en fonction d’une fin à atteindre est une chose très relative. Ce qui peut paraître impensable –car trop dispendieux- à un informaticien sevré à l’école du logiciel relèvera de la plus extrême banalité à un électronicien moderne.

La communauté scientifique toute entière s’interroge : et si la perte de données n’était que le fruit d’une prédisposition congénitale, d’une variation génétique ? Car, cela semble un fait acquis, il suffit qu’une population contienne une majorité d’anglo-saxons pour que les informations s’éparpillent comme miettes de pain sur les pas du Petit Poucet. En France, exception faite de rarissimes cas d’escroquerie à la carte de crédit ne touchant qu’une frange très réduite de sympathisants atlantistes, de telles choses n’arrivent jamais.

Mais revenons à nos crédences en décrépitude. Et plus particulièrement celles appartenant à de Grands Commis de la Couronne d’Angleterre, distraitement égarées par un ingénieur d’Atos Origin, sous-traitant by appointment of Her Majesty the Queen. Egarées… voilà qui n’est pas très grave. Mais lorsque la clef USB contenant lesdites identités et mots de passe est retrouvée dans le parking d’un pub de Cannock, Staffordshire, la presse s’en empare, avec des envolées d’autant plus virulentes que les affaires de ce genre se multiplient. L’édition longue de la BBC ou l’ « expurgated version » du Sun font toutes deux remarquer qu’il ne se passe plus une semaine sans que l’on apprenne la perte d’un fichier, tantôt militaire, tantôt administratif, tantôt ministériel… Des mauvaises langues diraient même qu’il y a plus de trous dans les procédures de sécurité de Sa Gracieuse Majesté que sur les routes de Blackburn, Lancashire. La palme du titre tapageur revient à nos confrères du Mail Online qui titre « Tax website shut down as memory stick with secret personal data of 12 million is found in a pub car park ». Les crédences situées dans la clef offrait un droit d’accès au système de l’administration fiscale, et très indirectement aux 12 millions de « happy taxpayers »Britanniques.

Fort heureusement, le fait même d’avoir retrouvé la clef fugueuse prouve que ce n’était là qu’un « léger incident ». Comparativement parlant, les statistiques publiées par RSA sur les méfaits officiellement comptabilisés du spyware Synowal semblent bien plus éloquentes : « 270 000 crédences d’accès à des comptes en banque en ligne, près de 240 000 numéros de cartes de débit ou crédit, le tout accompagné des noms, prénoms et autres données personnelles complétant généralement ce genre d’information » nous apprend Brian Krebs du Washington Post. Et ce ne sont pas là de vagues estimations catastrophistes tirées de la boule de cristal d’un Directeur Marketing spécialisé dans la vente d’antivirus. Ce sont très exactement les résultats comptables des données récupérées sur l’un des serveurs chargé de collecter les informations émises par chaque Troyen. En tout, ce sont près de 300 000 comptes qui ont été compromis, forfait perpétré sur une durée s’étalant sur un peu moins de 3 ans explique en détail le blog de RSA. Trois longues années, durant lesquelles le programme espion et ses différentes variantes ont travaillé dans l’ombre, avec efficacité. De quoi faire pâlir de jalousie les gourous du « development lifecycle », du code « réutilisable » et de l’écriture de programmes « trustworthy ».

Et lorsque la fuite n’est ni criminelle, ni accidentelle, elle est le fruit d’une négligence administrative. Le GAO, Government Accountability Office des USA, publie un rapport assez explosif sur les « fuites » plus ou moins organisées par les administrations locales des « comtés ». Il est, il a toujours été possible de consulter les registres communaux dans les locaux des mairies. L’accès à ces données parfois privées étant d’ailleurs souvent soumis à la présentation d’une pièce d’identité prouvant que le demandeur n’est pas un professionnel du pillage d’informations. Or, depuis la généralisation d’Internet dans les services de l’Etat Civil Américain, cet accès non seulement n’est plus limité aux seuls habitants du comté, mais il est en outre très rare (23% seulement des cas) que l’identité du consultant soit vérifiée ou même demandée. Pis encore, les fichiers mis en pâture à la curiosité publique contiennent parfois bien plus que ce qu’il est prudent de communiquer. A commencer par les numéros de sécurité sociale. Du coup, le GAO dénonce la multiplication de véritables « étalages publics » de données privées.