février, 2010

L’attentat manqué du Vol 253 a immédiatement été suivi d’une série de mesures prétendant corriger les erreurs tant des infrastructures de sécurité à l’embarquement que des services de l’immigration. Après la mercuriale qu’ont dû essuyer les responsables de la Sécurité Intérieure des Etats-Unis, et après une campagne de presse dévastatrice conjuguée sur le temps de « on aurait pu l’éviter », fleurissent les premiers rapports et contre-arguments.

En tout premier lieu, ce rapport à l’Intérieur intitulé « Flight 253: Learning Lessons from an Averted Tragedy » que nous offre Cryptome. Beaucoup de précautions de langage, des tonnes de « nous sommes déterminés à faire mieux ». Mais surtout quelques points importants, à commencer par l’aveu d’impossibilité d’abaisser un peu plus le seuil d’alerte à l’attaque anti-terroriste. C’est là un point que les administrateurs d’IDS ou d’antispam connaissent bien : au-delà d’une certaine limite intrusive, il se crée un phénomène d’avalanche tel que le niveau d’alertes bloque le bon fonctionnement du service ou l’écoulement du flux. Bits, octets et voyageurs transatlantiques : même combat.

Le second point important tient en une phrase, situé en fin de ce bref rapport : « Chaque jour, le NCTC (National CounterTerrorism Center,ndt) reçoit littéralement des centaines de renseignements du monde entier, et vérifie des centaines de noms différents, et ajoute à la «liste de surveillance » (la liste des « interdits de vol ») plus de 350 noms »… et d’ajouter que les indices en question sont « autrement plus sérieux » que ceux qui avaient été collectés à propos d’Abdul Mutallab. 350 noms par jour, c’est près de 130 000 identités de plus qui viennent s’ajouter soit à la « no flight list », soit aux fichiers d’individus suspects nécessitant un filtrage plus attentif ou un traitement particulier. Or, le NCTC sait fort bien que cette escalade du filtrage entraîne non seulement un engorgement des structures chargées de la vérification desdites listes : les services de renseignements occidentaux utilisaient eux-mêmes ces méthodes dans les années 80 pour saturer la capacité d’analyse du KGB. Si les outils de tri et de traitement moderne (surtout américains) n’ont rien à voir avec ceux de l’URRS d’autrefois, le volume de « faux positifs » que génère cette nouvelle forme de conflit asymétrique a également crû de manière exponentielle.

Sur le chapitre du « on aurait pu éviter », Bruce Schneier rebondit sur un article publié sur le blog QandO et à la réponse qu’en fait le journaliste d’investigation Kevin Drum sur Mother Jones : il est toujours tentant de confondre analyse post-événement et critique à posteriori. Il est tout aussi aisé de découvrir les « faisceaux d’évidence » une fois les catastrophes survenues. Surtout si certaines de ces évidences sont grossies à la lueur du passé, relèvent de l’invention, du fantasme, ou de la « preuve par répétition d’une information non vérifiée », voir de la juxtaposition de faits sans rapport direct. Ainsi le récent battage médiatique à propos de l’espionnage de l’industrie pétrolière américaine dévoilé par hasard dans la semaine suivant l’affaire Google. Tout çà n’est ni du journalisme, ni de « l’analyse forensic » sérieuse.

Qu’il s’agisse de la tentative d’attentat d’Abdul Mutallab ou de la cyber-attaque Chinoise, il n’y a pas de différence fondamentale dans les réactions des médias d’actualité : toujours la même confusion entre la critique à posteriori et la tentative d’analyse « post mortem ». Dans les colonnes d’InformationWeek, rubrique Government Blog tenu par John Foley, l’on peut lire un déchirant « Nous le savions, nous avions les signes » et de citer le fameux rapport Grumman dont nous mentionnions l’existence début novembre dernier. Las, cela fait déjà plusieurs années que les chefs militaires de la République Populaire de Chine mentionnent dans leurs études les avantages économiques d’une cyber-guerre : investissements faibles, parades pratiquement impossibles compte tenu de la surface de vulnérabilité de l’adversaire et du prix des contre-mesures, absence de « preuves » tangibles quand à l’origine de l’attaque, effet de levier médiatique entraînant des réactions disproportionnées de la part du pays visé, totale opacité des liens entre les « groupuscules nationalistes incontrôlés » et les hautes sphères de l’Etat…

Et c’est avec un à-propos (ou un opportunisme) singulier que l’Avert de McAfee publie un pavé de 44 pages : In the Crossfire, Critical Infrastructure in the Age of Cyber War. Il y est question des risques probables d’attaques contre les infrastructures Scada aux USA comme dans le reste du monde. L’étude s’est penchée sur les témoignages de 600 responsables IT d’infrastructures nationales répartis dans 14 pays, qui, tous, semblent avoir connu des expériences semblables : Près de 40% de ces responsables avouent avoir essuyé des assauts à grande échelle ou des tentatives d’infiltration sophistiquées qui « seraient probablement provoquées à l’initiative de gouvernements étrangers » (sic). Pessimistes, les personnes interrogées pensent que le problème ne peut qu’empirer et que 80% des architectures pourraient faire les frais d’une compromission dans les 5 ans à venir. Un « étranger » étant, dans 36% des cas, les Etats-Unis, et dans 33% des cas la Chine. Le seul coût des temps d’immobilisation de ces attaques est estimé par les chercheurs de McAfee à près de 6,3 millions de dollars par jour. Si l’on se penche spécifiquement sur les responsables d’infrastructures Scada, près de 76% d’entre eux avouent que leurs systèmes sont connectés à Internet ou à d’autres réseaux IP, et que ce pontage pose, dans la moitié des cas, des « problèmes de sécurité non résolus ».

Ces craintes et ces constats chiffrés impressionnent par leur ampleur… peut-être moins par leurs conséquences. Plusieurs passages du rapport de McAfee soulèvent un point rarement évoqué dans d’autres études du même genre : la gravité, les conséquences d’une cyberattaque sont directement proportionnelle à l’état d’avancement technologique du pays victime, quelque soit l’importance de son réseau de machines. Cela s’explique probablement par la possibilité (ou la croyance) d’un retour aux techniques de traitement traditionnelles « d’avant l’informatique » et de la proportion que représente l’informatisation des réseaux sensibles. A cela s’ajoute le niveau de sensibilisation de la population. Ainsi, malgré le niveau très élevé des investissements consacrés à la protection des réseaux, le « taux de victimisation » est considérablement plus faible en Chine qu’aux USA ou en Europe. A contrario, la situation est considérablement plus critique en Inde, où le niveau de protection est considéré comme très bas. En conséquence de quoi, le nombre de botnets et de postes infectés y atteint des taux plus élevés que ce que l’on peut mesurer en additionnant les métriques de Chine et de Russie.

S’ajoutent aux risques grandissants de perméabilité des réseaux d’infrastructure la rapide obsolescence des logiciels spécialisés… qui, eux, sont rarement remis à jour. Une lenteur attribuée à la trop grande interdépendance entre le logiciel et le matériel à asservir, lequel date parfois des années d’après guerre. Les remplacer serait à la fois excessivement complexe et coûterait une fortune. Dans ces conditions, explique l’un des interviewés, « il ne peut y avoir le moindre mécanisme pour revoir le système et le modifier chaque fois qu’une vulnérabilité y est découverte ».
Un chapitre entier du rapport s’attache à une question quasi surréaliste : « pensez vous que le cadre juridique en place offre une quelconque efficacité contre les cyber-attaquants ». Question à laquelle, en moyenne, 48 % des personnes interrogées pensent que « non » (dont plus de 70 % en Russie, et à peine plus de 35% en Allemagne, 48% en France). Cela montre à quel point les DSI ont une vision très éloignée de celles des responsables des cellules sécurité : dans l’état actuel du droit international, les chances de voir une loi « fonctionner » en dehors des frontières est proche de l’inverse de l’infini. En revanche, une large majorité de personnes pense effectivement qu’un surcroît de règlementations et de législation représenterait « une masse d’activités aussi inutiles que coûteuses, et qui n’apporterait que très peu, voire pas la moindre amélioration de la situation d’un point de vue sécurité ».

Le dernier volet de l’étude est de loin le plus intéressant, car il dessine une « nouvelle carte » des influences militaro-politiques revues à la sauce cyber. A la question « quel est l’ennemi que vous craignez le plus, les Etats-Unis sont cités essentiellement par les responsables Chinois, Brésiliens, Espagnols, Mexicains, Russes et Allemands. La Chine, quand à elle, effraye majoritairement les Britanniques, Français, Italiens, Japonais et bien entendu les Etats-Uniens. L’Arabie Saoudite est plus inquiète lorsqu’elle regarde du côté de la Russie. Les craintes, fantasmées ou non, s’avèrent donc parfois relativement éloignées de ce celles provoquées par les tensions géopolitiques classiques. C’est notamment le cas d’un Mexique qui se méfie très nettement de son voisin immédiat. C’est le cas également des Allemands qui, historiquement, d’un point de vue politique, défendent généralement une position atlantiste. Peut-être est-ce là le résultat d’une perception équilibrée qui reflète l’inconscient des deux Allemagnes d’antan. Une position qui tranche d’ailleurs d’avec celle observée par les autres pays-membres, qui tremblent devant cette marotte d’un nouveau péril jaune.

Le blog de RSA nous offre, en ce début de semaine, un roman policier captivant : la version « cyber » de la Fée Carabine, une nouvelle noire dans laquelle une grand-mère de 77 ans (ou ce qui pourrait passer pour ladite grand-mère) parvient à usurper l’identité d’un porteur de carte de crédit et effectuer un « changement d’adresse de facturation ».

Jusqu’à présent, expliquent les expertes de RSA, les voleurs d’identités bancaires devaient faire appel à des complices parlant la langue de la victime, afin qu’un virement ou un achat important effectué ou livré à une adresse autre que celle du porteur de carte, puisse être « validé » par téléphone de façon plausible. Désormais, ce service n’est plus nécessaire : il est en train de se développer une industrie des services à la personne « spécial truand » sous la forme de call centers spécialisés dans l’arnaque à la carte. L’on y trouve tout un panel d’opérateurs et d’opératrices, avec des voix jeunes ou âgées, dans presque toutes les langues parlées en occident. Le coût du service serait facturé entre 7 et 15 dollar par appel. Sans le moindre doute, le rendement est considérablement plus lent et plus coûteux qu’une exploitation intensive de l’identité bancaire dans le cadre d’une succession d’achats de faible valeur, mais le rendement est meilleur et plus rapide.

Cet article de RSA repose la question de la double authentification attachée aux achats en ligne.

Le message de Dino Dai Zovi et de Intervidis –à moins que ce ne soit l’école du ZDI – commence à faire son chemin. Google, dans un message adressé la semaine dernière à la communauté Chromium, promet de payer les failles au juste prix du travail nécessaire à leur découverte. « our base reward for eligible bugs is $500. If the panel finds a particular bug particularly severe or particularly clever, we envisage rewards of $1337 ». 500 dollars le bug de base, 1337$ (admirons au passage l’usage chiffré du “ leet speak”) pour les trous les plus béants. Rappelons que la fondation Mozilla contribue également à l’effort de recherche de ses « bug hunters ».

Les clients Allemands de la HSBC peuvent trembler, titre le Financial Times Deutschland. Car, selon certaines sources, après avoir tenté de vendre son fichier au Liban puis « offert » son contenu au fisc Français, Hervé Falciani serait en train de proposer à l’Allemagne, dans la famille « grands fraudeurs fiscaux », le cousin Germain. Ce service serait proposé pour 2,5 millions d’Euros précisent nos confrères. Pour cette modique somme, Berlin possèderait assez d’éléments pour poursuivre 1300 fraudeurs, dont le montant total des redressements serait estimé à près de 100 millions d’euros.

Bien plus qu’en France, l’origine douteuse de cette source d’information pose problème. Notamment au chef de file de la CDU pour qui un acte délictueux est un acte délictueux, fraude fiscale ou fraude informatique. L’achat de ces fichiers, pense Volker Kauder, rend l’Etat coupable de complicité de vol. Le Ministère Fédéral des Finances, de son côté, estime que l’achat en vaut la chandelle. Un précédent avait déjà agité l’Etat Fédéral il y a presque deux ans jour pour jour, alors que des fichiers volés dans une banque du Lichtenstein avaient également été marchandés pour un montant de 5 millions d‘€.

Bien qu’il soit impossible d’avoir la moindre certitude à ce sujet, il paraîtrait qu’Hervé Falciani n’aurait pas été payé pour services rendus à Bercy. Ses révélations ont été faites suite à son arrestation en janvier 2009 et l’ouverture d’une enquête pour « soupçons de blanchiment d’argent »,mi-juillet, par le parquet de Nice. Depuis, l’informaticien se serait mis spontanément à table, et, tout aussi spontanément, les autorités Helvétiques –donc techniquement la HSBC-, auraient fourni à la France les clefs de chiffrement destinées à percer le secret des fichiers dérobés.

En admettant que ledit fichier de 130 000 noms ait déjà été amputé de 4000 fraudeurs Français et de 1300 Allemands, il reste encore près de 125 000 identités à commercialiser. Soit, à raison de 2,5 millions d’Euros les 1300 comptes, un pactole d’environ 25 millions d’Euros au total potentiellement versé dans autant de pays étrangers qu’il n’y a de ressortissants cherchant à placer leurs économies au pays de Guillaume Tell. Soit le potentiellement heureux possesseur de cette somme se prépare à payer l’ISF, soit il s’expose à se voir dénoncer par une multitude d’employés de banque tentant d’appliquer à leur tour la méthode Falciani.

Comme chaque matin, l’équipe de CNIS-Mag ouvre les vannes de ses « favoris » et plonge (avec délice) dans le flot bouillonnant de l’actualité cybercriminelle. Or, vendredi dernier, 3 de nos confrères et non des moindres, El Reg, Network World et Infosecurity Mag se sont fait l’écho d’un hack particulièrement impressionnant : un « testeur », publiant ses essais sur un site totalement inconnu, déclare avoir cassé les 9 dixièmes des mécanismes de chiffrement de la voix utilisés dans l’industrie. Le tout à l’aide d’un « troyen propriétaire » dont même le principe de fonctionnement serait tenu secret, troyen accompagné de l’un de ces nombreux programmes de flicage pour téléphones cellulaires qui font le bonheur des amants jaloux et la ruine des honnêtes enquêteurs privés. Les seuls arguments reposant sur la fourniture de séquences vidéo peu convaincantes, notre rédaction décide de mettre l’affaire au chaud en attendant de plus amples renseignements. Après tout, cette histoire de « cassage de téléphones durcis » intervient un peu trop tôt après les conférences de la 26C3 , du papier théorique de Shamir et du viol de la majorité des « clefs usb chiffrées » perpétré par Syss. Trop tôt et sans soutenir la moindre comparaison sur le plan des preuves techniques avancées par les exemples susnommés.

Et c’est dans la matinée de lundi que nos proches voisins d’Infosecurity.ch reviennent sur l’affaire, après avoir tendu un petit piège traceroutable à Notrax (littéralement « pas de trace », admirons l’ironie du handle). Le « hack » serait en fait une opération marketing orchestrée par Securstar, vendeur Teuton de logiciels de chiffrement destinés au marché de la mobilité. Après un tel coup médiatique, il est peu probable que des clients sérieux envisagent de se porter acquéreur des programmes en question.

Cette affaire (qui une fois de plus remet sur le tapis la capacité d’intoxication de la presse en ligne) intervient au moment précis où 5 de nos confrères des médias radiophoniques se sont lancés dans une expérience inquiétante : voir, une semaine durant, le monde de l’information via Facebook et Tweeter. Benjamin Muller de France Info, Nour-Eddine Zidane de France Inter, Janic Tremblay de Radio Canada, Anne-Paule Martin de la Radio Télévision Suisse et Nicolas Willems de la RTBF internetiseront, coupés du monde, dans gîte du Périgord du 1er au 5 février. Toute tentative d’accès sur de véritables sites d’information est strictement prohibé (quid des « mini-urls » tweeter qui constituent le gros des infos ?) et nul appel téléphonique en dehors de ceux émis par leurs rédactions respectives n’est autorisé.

Comme il fallait s’y attendre, le premier bilan est concluant : 80 à 90 % des « buzz » qui secouent la planète Web 2.0 concernent des informations qui ont fait les gros titres de la presse traditionnelle. Statistiquement, il y a peu de chances qu’en 5 jours nos confrères se fassent intoxiquer par un « fake »… car la première qualité d’une information bidonnée, c’est la rareté de sa fréquence dans un flux de données réputées véridiques. Le premier danger d’une telle expérience, c’est que l’on puisse y voir la preuve d’une totale inutilité de la presse telle qu’elle existe encore, en oubliant le fait que les Tweets et autres avis Facebook s’alimentent généralement de cette même presse et ne sont que des réactions à des annonces. Le second risque, comme pourrait le prouver la triste expérience Securstar, c’est que les lecteurs finissent par jeter le bébé avec l’eau du bain, et n’accorde plus la moindre confiance à la presse en ligne elle-même. Ne resteraient en lice que les Directions Marketing des entreprises qui « font » l’information, sans la moindre possibilité de contrôle ou de vérification « à posteriori ». Digérer sans discussion ni mise en perspective le « hack Google », le « piratage de l’industrie pétrolière US par les Chinois » ou le « manque de fiabilité des outils de chiffrement de la voix dans la téléphonie cellulaire », c’est accepter de voir un jour disparaître le mot « journaliste » du vocabulaire courant. Et avec lui, l’idée d’une pluralité des sources d’information.