mars, 2012

Cas de conscience et dilemme cornélien au sein de la rédaction de Cnis-mag : devait-on ou non rédiger un article pour chaque conférence sécurité sous prétexte qu’elles se déroulent en France ? Simultanément, Hackito Ergo Sum, les vénérables Sstic, le gigantesque Hack in Paris multiplient leurs communiqués. La France Sécu bouge et montre à quel point cette profession est vivante.

Honneur aux Anciens, avec les Sstic, la plus ancienne réunion de spécialistes du genre, traditionnellement placée sous les hospices de l’armée en général (bien qu’il y ait plus de colonels et de commandants présents que bâtons étoilés) et du corps des transmissions en particulier. Le programme de cette année vient d’être publié, occasion de rappeler que la manifestation Rennaise se déroulera du 6 au 8 juin prochain… rappel de pure forme puisque les Sstic se jouent toujours quasiment à guichet fermé, les réservations se bouclant généralement en moins de 24 heures plusieurs mois à l’avance. C’est dire l’estime, voir le culte que vouent les spécialistes du métier envers cette grand-messe. Cette année, la provenance des « communicants » a tendance à se restreindre, une grande part des travaux portant la marque de l’Anssi. News0ft, sur son blog, fait remarquer que ces amours Anssilaires tirent un peu trop la couverture médiatique à eux. On ne peut totalement lui donner tort. Les Sstic sont la vitrine de la recherche Française, et ladite recherche tend à se concentrer un peu trop autour d’un pôle qui semble aimer autant l’information que les renseignements.

Les voies du seigneur sont pénétrables : Attaque en déni de service contre Vatican.va le 8 mars dernier, par des Anonymous présumés. L’organisation des télécoms Vaticane risque de devoir recourir aux méthodes traditionnelles des communications miraculeuses et autres voix Divines si ce genre de situation s’éternise.

Windows 8 Server 64 et Hyper-V « 8 » édition Core (pour installation « bare metal) sont disponibles en préversion sur le site MSDN. Une préversion marketing grand public de Windows 8 est également mise à disposition de tous les usagers sur le site Microsoft

Via Softpedia, les résultats d’une mini-campagne de tests visant les grands sites marchands « vérifiés par Verisign ». 25 d’entre eux seraient vulnérables à un script de test d’infection XSS.

Joanna Rutkowska annonce, à peine la version 1.0 de Qubes, que la prochaine édition 2.0 devrait pouvoir supporter directement Windows. Qube est un hyperviseur pour station de travail sécurisée, basé sur Xen.

A lire : une enquête policière conduite par Manuel Humberto Santander Pelaez, du Sans, sur les traces d’un malware utilisant une multitude de techniques de camouflage…

Alors que les marchands de canons Français ne perdent « que » quelques mallettes contenant d’éventuels plans de drones pour le simple plaisir de faire sourire la presse étrangère, les ingénieurs de la Nasa font plus fort, en se laissant dérober un ordinateur portable contenant les algorithmes nécessaires au pilotage et au contrôle de la station spatiale internationale ISS ( resulted in the loss of the algorithms used to command and control the ISS indique très exactement le rapport fait devant la Chambre des Représentants). Il faut avouer que depuis que les « quadcopters » téléguidés sont à la mode, il n’existe pas un geek qui ne rêve d’en piloter un encore plus gros, encore plus truffé d’électronique, encore plus « hard core »… La station ISS Pwnée pour les besoins d’une démonstration durant une CCC ? Pas impossible.

Pourtant,l’on pourrait se demander si la Nasa ne l’a pas vraiment fait exprès, si la Direction Générale de cette docte administration directement issue des cerveaux de Penemunde n’a pas négligé une information diffusée depuis fort longtemps par une filière de renseignement d’origine Belge et surnommée « l’équipe Spirou ». Les lecteurs de Franquin se souviennent fort bien qu’en bricolant une télécommande Russe appartenant à Bertrand Labévue, Gaston Lagaffe était déjà parvenu à faire effectuer des loopings à une station Salyout.

Ce témoignage de 10 pages (celui de la Nasa, pas l’album de Franquin !) s’achève par un florilège d’intrusions passées et autres Gastoneries épiques qui ont émaillé la vie trépidante des ingénieurs du Jet Propulsion Laboratory (berceau des bases de données pour microordinateurs, ne l’oublions pas). L’Administration de « l’aéronautique et de l’espace » américaine en prend aussi pour son grade et affiche au tableau un joli nombre d’intruders qui ont su intruser avec efficacité.

Pour ce qui concerne le vol des plans du drone de Dassault Aviation, n’ayons aucune crainte. L’armée Belge (pays Européen et donc allié) possède depuis fort longtemps une batterie de défense-contre-avion d’une efficacité bien supérieure : le Gaffophone.

NdJDM Note de Monsieur de Maesmaker : Pris par le temps, la Rédaction de CNIS Mag prie ses lecteurs de bien vouloir excuser l’absence de référence de cet article, et plus particulièrement des numéros des albums ci-dessus cités. C’est là la preuve d’une absence totale de rigueur scientifique, Rontudjuuuuu !

« Les hacktivistes numériques construisent un réseau impossible à censurer », écrit Sean dans un court billet du Blog F-Secure. Le printemps Arabe, écrit-il, nous a montré à quel point les gouvernements autocratiques (ndlr : bien souvent d’ailleurs avec le secours coupable d’entreprises Françaises), sont parvenus à couper pratiquement tous les moyens de communication numériques de leur pays, dans le but de confiner, puis étouffer la moindre tentative de révolte. Les cours de bourse, les révolutions et les coups d’Etats reposent sur l’utilisation intelligente des outils de communication… voir de ses défaillances. La fortune de la famille Rothschild au lendemain de la défaite de Waterloo, le brouillard qui a pu « rooter » les lignes de transmission du télégraphe Chappe lors du débarquement de Napoléon à Aix, l’organisation des réseaux de résistance durant la dernière guerre mondiale grâce à ses armées de « pianistes »… l’Histoire regorge d’histoires prouvant que communiquer, c’est combattre, empêcher de communiquer, c’est combattre aussi, les dictateurs et les Anonymous en savent quelque chose.

Depuis quelques mois donc se sont multipliés les projets de réseaux alternatifs, censés contourner les mécanismes de blocage et de censure. Des réseaux maillés (mesh), parfois associés à des serveurs de stockage tampon, des bridges en liaison sans fil, tout çà se mélange, s’acoquine de chiffrement et de réseau Tor, de projets superbement geekesques et d’autre parfois franchement douteux. Sean mentionne notamment la FreedomBox Foundation, le réseau expérimental FunkFeuer Autrichien, qui n’est pas sans rappeler les réalisations du Wireless-FR, le Mesh Networks Research Group… Il aurait également pu ajouter le projet Commotion Network (mais qui donc accorderait une once de confiance à un projet parrainé par l’ancien patron de Google et les militaires US ?), le ténébreux Darknet ou le très planant projet Constellation.

Tous ces projets ont quelques points communs : une couche de chiffrement (ce n’est pourtant pas une fonction nécessaire au transport), une couche de transport (soit câble lorsqu’elle est disponible, soit radio lorsque le câble est « coupé ») et une couche de routage qui non seulement peut modifier ses règles en fonction du médium utilisé, mais également qui échappe totalement aux mécanismes de contrôle gouvernementaux… en théorie.

Pourtant, quasiment tous ces projets négligent un détail d’importance, à savoir sa répartition géographique. Que l’on utilise une bidouille WiFi ou un émetteur laser démoniaque, un routage hyper-agile doublé d’un chiffrement à clefs aussi longues qu’un lot de promesses électorales, tout ça ne sert à rien si le réseau demeure confiné aux frontières de l’Etat cherchant à museler ses citoyens. Un bon réseau Mesh n’a de qualité que le nombre plus ou moins important de liens lui permettant de communiquer à l’extérieur. Autrement dit de systèmes de transmission situés dans l’immédiate proximité des frontières du pays… ainsi que de l’autre côté desdites frontières. Nous parlons là de frontières numériques, qui ne coïncident pas toujours avec les limites géographiques d’un pays.
Seul le projet Constellation aborde ce problème en imaginant le lancement d’essaims de satellites orbitant autour de la planète et rendant impossible la moindre censure d’Etat et en éludant les questions diplomatiques des perméabilités numériques transfrontières. Reste que les satellites sont des engins dont la mise en œuvre relève d’un budget d’Etat, donc d’une censure d’Etat. Il est inimaginable d’imaginer, par exemple, la France expédier une dizaine de satellites « ouverts à tous » sans qu’une Hadopi quelconque ou qu’une Loppsi n’en vienne régenter l’usage. Le dictateur, c’est toujours l’Autre, chez nous, c’est de la préservation d’intérêts économiques industriels et des mesures visant à assurer la Sûreté de l’Etat. Ajoutons que le club des lanceurs de satellites est assez fermé : USA, Russie, France, Chine, Inde, Japon… et seuls les trois premiers de la liste lancent régulièrement des satellites scientifiques expérimentaux gratuitement, satellites dont l’accès est, lui aussi, fortement réglementé.

Reste donc les voies de communication dites « terrestres », principalement des réseaux radio. Lesquels, pour avoir quelques chances de longévité, doivent faire preuve d’un certain degré de furtivité et de discrétion. La furtivité, ou évasion, c’est la capacité à changer de fréquence, de type de modulation, de position. La discrétion, c’est la possibilité d’échapper de manière durable aux systèmes de détection (radiogoniométrie par exemple), soit grâce à l’utilisation de réseaux d’émetteurs à agilité de fréquence, soit par la mise en place d’un réseau « commutant » un essaim d’émetteurs géographiquement dispersés, voir mobiles, soit par l’usage de couches de transport utilisant un spectre large, des VHF au proche infra-rouge par exemple … sans oublier les réseaux câblés artisanaux ou utilisant de vieilles infrastructures soit oubliées, soit dénuées de véritable réseau de surveillance (X25… à tout hasard). En d’autres termes, la discrétion, c’est utiliser des protocoles et des médias auxquels la partie adverse ne s’attend pas ou ne peut atteindre. Toute tentative visant à préparer, à théoriser, à schématiser et à modéliser un tel réseau fournira à ses ennemis des éléments techniques, leur permettant de mieux les combattre.

Tout çà sous-entend donc une architecture à la fois élaborée, souple et spontanée, trois critères assez incompatibles. Complexe pour faire preuve à d’importants besoins en bande passante, en furtivité et en agilité nécessaire à sa survie, souple et spontanée car ne pouvant pas comporter d’éléments prévisibles, ne devant pas nécessiter des mois de déploiement et devant s’avérer capable de s’adapter immédiatement aux circonstances et au terrain (optiques ou radio, les transmissions sont toujours dépendantes du relief, par exemple, ou aux disponibilités en énergie, ou aux moyens financiers, ou aux contraintes de volume et de poids…).

Glissons également sur les lois physiques impossibles à « courber » et qui n’apparaissent pas dans les réalisations de laboratoire. Les temps de latence monstrueux constatés sur des réseaux comptant des dizaines de digipeaters chaînés, les accidents ou les effets de plafonnement de débit liés au RTT (round trip time) des datagrammes, la difficulté d’établir des tables de routage stables quelles que soient les conditions de propagation radio ou optiques… sans parler des abus de certains usagers. Tor a bien failli plus d’une fois mourir du mésusage qu’en faisaient certains amoureux du téléchargement massif.

Deux rêves, un réveil

Ce soudain intérêt de la gente internaute pour les réseaux de résistance ou de liberté de parole est la marque d’un réveil brutal et l’arrêt d’un double rêve. Le rêve d’un Internet libre, ouvert, tolérant, non-marchand, humaniste… en d’autres termes tel qu’il était défini par ses fondateurs universitaires à l’aube des années 80. Le rêve également d’un contournement permettant le retour à cet Eden de la communication grâce à des astuces techniques. C’est d’ailleurs probablement là le point le plus surprenant. Car les principaux activistes qui militent en faveur de ces « Internet parallèles » sont bien souvent les mêmes qui vitupèrent contre les Lopsi, Loppsi, Hadopi, LCEN, Sopa, Pipa, Acta et autres dispositions jugées liberticides. Et que reprochent-ils à ces textes ? Précisément de tenter d’apporter une réponse technique à un problème politique. Or, ces « réseaux de résistance » sont également une tentative de réponse technique à des problèmes politiques.

Le réveil a cependant du bon. Il nous enseigne que l’on ne peut « prévoir » ou « préconcevoir » une architecture réseau de résistance, que celle-ci doit être inventée sur le lieu même où elle est nécessaire, au moment où elle est nécessaire, et en fonction des menaces ou des obstacles qu’elle doit affronter (ainsi Twitter et autres réseaux sociaux durant les évènements d’Egypte). Ce réveil nous montre également que lorsque la montée des mécanismes de contrôle de l’information et des contenus s’opère progressivement, en douceur pourrait-on dire, il est bien plus difficile à la fois d’en appréhender l’étendue et d’en envisager une parade technique. Internet est un enjeu politique, qui peut se combattre avec des armes politiques, ses opposants l’ont compris depuis longtemps. Ceux qui souhaitent le défendre sont-ils également prêts à l’admettre et à utiliser la politique comme une arme de défense ?

RSA Conference, San Francisco : Inutile de préciser que certains « intellectuels de gauche »se sont élevés contre les idées avancées par le patron du FBI. A commencer par Bruce Schneier, qui déclarait en substance que « le véritable danger à l’ouverture, à la liberté d’action, à la force d’innovation de l’industrie, ce n’était pas les cybercriminels, mais bel et bien les politiques ». Durant une table-ronde des Security B-Sides, Ron Gula (Tenable) se montrait plus modéré : « Oui, il peut être parfois utile que les informations relatives à un hack (traces, analyses forensiques) puissent être publiées dans une sorte de super-CVE, une base de connaissances permettant de consolider les défenses des entreprises et organisations sur Internet. Mais si vous me demandez si un tel dépôt doit être centralisé par le gouvernement, la police ou l’armée, alors là, je vous répondrais que je n’en suis absolument pas persuadé ».

Yuri Rivner, Chef des Nouvelles Technologies chez RSA, approuve pour sa part l’idée d’une « loi de publication des hacks ». « Tant que l’ennemi était connu, l’on pouvait sans trop de problème parer une attaque prévisible, tout cela relevait d’une lutte presque « classique » contre une délinquance quasi traditionnelle. Mais de nos jours, les intrusions sont de plus en plus politiques : hacktivistes genre Anonymous, hacking provenant d’Etat-Nation… Si l’on est bel et bien en face d’une agression provenant d’un Etat ou de groupes politiques, la notion de défense quitte alors le domaine privé de l’entreprise et relève des forces régaliennes, auxquelles se doivent d’obéir les entreprises ». Mais les Anonymous ne sont-ils pas un prétexte ? L’inconstance de leurs griefs (un jour un dictateur Africain, le lendemain un journal, le surlendemain une entreprise privée ou une banque etc.) montre à quel point il est difficile de leur accoler une étiquette de mouvement politique capable d’opposer une idéologie argumentée, construite. « On peut effectivement se demander si l’idéologie est un moteur, mais les faits sont là, ils attaquent et détruisent » rétorque in petto Rivner. « Et il est temps que les gouvernements commencent à agir pour défendre les richesses de leurs entreprises, leur propriété intellectuelle notamment ». La richesse intellectuelle est un élément constitutif de la richesse d’une nation, elle mérite donc d’être défendue comme telle. Il n’y a pas 5 ans, une telle position aurait soulevé l’ire des défenseurs du libéralisme. Mais çà, c’était avant l’affaire Lehman Brothers.

Tout comme l’an passé, il semblerait donc que les tenants de la sécurité « commerciale » tentent de conjuguer leurs forces avec celles des politiques Etats-Uniens, et plus particulièrement en s’appuyant sur l’aile conservatrice la plus radicale. L’alliance du Chiffre d’Affaire avec la propagande sécuritaire en quelques sortes. L’an passé, des sourires de commisération accompagnaient les visiteurs Français. « Chez nous, Hadopi, ça ne peut pas arriver, nous sommes un pays libre avec une constitution forte » était-il rétorqué aux journalistes qui se demandaient comment pouvait évoluer le regroupement des cyberforces fédérales (remarque d’un des intervenants présentant le « Symantec threat report 2010 »). Depuis, la machine Acta, Sopa, Pipa, les actions directes du FBI contre Megaupload, le retournement d’un « chef présumé du Lulzec » ont montré que les craintes d’hier étaient encore loin de la vérité. Si, en 2012, les keynotes speakers annoncent une militarisation du cyberespace et prêchent en faveur des enquêtes de police systématiques pour toute affaire de hacking, l’on peut craindre que la cuvée 2013 commémore et fête un peu plus le 64ème anniversaire de la publication d’un ouvrage trop connu.

RSA Conference, San Francisco : La RSA Conference San Francisco de l’an passé avait été marquée par un évènement de taille : la suppression des multiples « cybersecurity centers » dépendant du FBI, de la CIA, du DHS et autres organismes fédéraux, et leur fusion dans le cadre d’un Department for Homeland Security chapeauté par un unique directeur, un ancien patron de la NSA. Au son du « je ne veux voir qu’une seule tête », la cyber-politique de l’Administration Obama commençait à prendre forme.

L’ouverture de la RSA Conference 2012, toujours à San Francisco, a clairement montré que cette première époque était déjà oubliée : le temps est venu de donner à cette cyber-administration les moyens d’agir et de « défendre la propriété intellectuelle des entreprises nord-américaines ». Opération en deux temps, qui débute par un appel à la communication, à la fin de l’omerta sur les attaques réussies, afin que les déboires des uns puissent servir de base de travail aux autres. Et dès le premier jour, la barre a été placée très haut. Robert Mueller, patron du FBI et orateur invité, se lançait dans un parallèle entre cybercrime et terrorisme, expliquant que l’un avait « outrepassé » l’autre (sans préciser toutefois quelle était l’unité de mesure utilisée). Si l’on parle en termes d’attaques, il est certain qu’il se commet chaque jour plus d’émission de virus qu’il ne se pose de bombes… et plus d’excès de vitesse qu’il ne s’écrit de malwares.

Et ce même Robert Mueller d’enchaîner en citant Sénèque, lequel expliquait que plus l’homme établissait de voies de communication, plus il devenait prisonnier de ces mêmes voies de communication… sous-entendant par-là que tout comme la société Romaine était tributaire de ses routes, notre société est liée à Internet, à son entretien et à ses dangers, lesquels deviennent intrinsèquement un mal non plus technique mais sociétal. Précisons toutefois que la lecture toute martiale du père du stoïcisme sauce Epicure oublie que Sénèque limitait son raisonnement à l’individu, et n’aurait jamais accepté cette ellipse douteuse. Mais qu’importe… L’argument logique est lâché : puisque le mal du cybercrime est sociétal, il devient donc obligatoire que chaque entreprise victime d’une attaque fasse preuve de civisme en fournissant aux autorités toute information nécessaire à la localisation et à l’éradication du ou des coupables (logs, empreintes mémoire, accès aux enregistrements etc.). Et pour renforcer cet argument, Mueller émet l’idée de transformer ce devoir civique en une obligation définie dans le cadre d’une loi fédérale. Après tout, il existe bien déjà des textes obligeant les entreprises à « publier » la découverte d’une fuite d’informations… tout cela est donc logique.