janvier, 2014

Outre Atlantique, c’est Brian Krebs qui révèle une autre fuite d’information portant cette fois sur les cartes de payement des clients de la chaîne de magasins Michaels. Le communiqué d’alerte publié par la direction de l’établissement ne mentionne aucune estimation précise du nombre d’identités bancaires évaporées, mais explique que l’intrusion informatique probable n’a pu être détectée qu’après avoir constaté des activités frauduleuses sur certains comptes. Michaels compte plus de 1200 magasins répartis sur la totalité du territoire.

Le BSI Allemand, au détour d’une partie de chasse aux botnets, est tombé sur une collection de 16 millions d’identités volées, en majorité Européennes. Une page d’information ainsi qu’un formulaire permettant de déterminer si l’adresse email de chacun a été compromise ont été mises à disposition du public par les services de renseignement Germains. Jusqu’à présent, près de 900 000 « victimes » ayant utilisé ce service ont été recensées.

Inspirée par la remarque du Pape François, qui aurait déclaré qu’Internet était un don de Dieu, notre consoeur Marie-Adélaïde Scigacz de FranceTV a rédigé un article humoristique expliquant qu’en fait, Internet et l’Etre Suprême n’étaient que les deux aspects d’une seule et même déité : Tous deux sont omniprésents (God @ a Webcafé near you), omniscients (Wikipedia sait tout, Facebook dit tout, la NSA voit tout), immatériels et dans les nuages (bientôt la version 2.0 de PaterNoster365), jugent les hommes avec sévérité (le Dies Irae numérique est-il le mode commun des forums de discussion et se manifeste-t-il à coups de Loic et d’Anonymous ?), ils ont leurs apôtres et martyrs qui ont pour nom Tim Berners Lee, Aaron Schwartz etc., ils n’oublient jamais, et leurs voies sont impénétrables, leurs buts impossible à deviner.

L’on pourrait imaginer autant d’arguments prouvant le contraire, bien sûr. Les avatars d’Internet tombent en panne dès que ses sectateurs comptent trop sur lui (t’as du réseau, toi ?). Son Eglise n’est ni une, ni indivisible et tends vers le polythéisme, voire vers l’animisme (Orange, SFR, Free, Bouygues, Alice, Yahoo, Google…). Son Esprit Saint se partage inégalement selon la bande passante (que celui qui n’a jamais tenté de relever son courriel au fond des vallées Savoyardes nous jette la première pierre). Le seul Sauveur qu’il soit capable d’envoyer se prénomme « hot line » et ne répond aux prières que par la formule « avévoutentéderedemarrervotrebox », formule probablement tirée de l’Araméen ancien. Comme dans toutes les églises, Sa Bible est unique et prétend délivrer la bonne parole sous forme de RFC, mais la majorité des versets rédigés entre 1969 et 1980 ont été modifiés et remplacés par de nouveaux chapitres contradictoires. Nous croyons en un internet reposant sur des lasagnes de nouveaux-nouveaux testaments successifs. Enfin, on n’y peut lire strictement aucune affirmation à cette question pourtant fondamentale : y’a-t-il une vie après Internet ?

Aux craintes infondées des écologistes et affirmations péremptoires des opérateurs (et d’une bonne partie de l’UMP) les sénateurs ont botté en touche, opposant au très peu scientifique « principe de précaution » un texte tout autant approximatif restreignant très partiellement certains abus. Au titre de ces limitations, l’interdiction de réseaux Wifi dans les crèches et structures d’accueil de la petite enfance, interdiction de la publicité relative aux équipements mobiles à destination des enfants, définition de l’électro-hypersensibilité, limitation des seuils d’exposition du public aux ondes électromagnétiques à 0,6 volt par mètre et obligation de délivrance d’un permis de construire avant installation de toute antenne-relais. Il faut comprendre que l’abaissement du seuil d’exposition se traduira par un réseau d’émetteurs peut-être moins puissant mais considérablement plus dense. Cette multiplication des antennes ne va pas probablement calmer les esprits.

Tressons au passage une couronne de minute Warholienne à Madame la Député Tallard (Charente-Maritime) pour avoir proposé la Suppression des anglicismes « Wifi » et « Box » au profit des mots : « accès sans fil à internet » et « boîtiers multiservices ». Rappelons que, bien que purement marketing, le terme WiFi avait au moins l’avantage de ne faire référence qu’à une et une seule chose : une liaison de type 802.11, sur 2,4 ou 5 GHz. La formule « accès sans fil à Internet », terme dont le flou technique le dispute à la vacuité juridique, englobe désormais tout type de transmission radio qui, d’une manière ou d’une autre, véhicule des trames IP. Ce y compris en ondes courtes. Hors donc, une « box » d’opérateur travaillant dans les franges basses du spectre radio (aux environs de 0,5 à 2MHz) devrait-il être qualifié d’accès sans fil à Internet ou de « Boîtier multiservices » ? Même question pour les prises CPL. L’ignorance et le dogmatisme sémantique sont les parents de l’inexactitude et de la désinformation. L’on croyait en avoir fini avec la novlangue vantant, par exemple, les mérites de la « vidéoprotection ». L’enfer est pavé d’intentions égotistes.

Mais le point le plus important, hélas souvent élidé par nos confrères de la presse grand-public, est la réalisation d’une étude d’impact impartiale sur la « santé humaine et sur l’environnement lors du développement de toute nouvelle application technologique émettant des rayonnements électromagnétiques ». Car il faut bien l’admettre, les craintes et les certitudes en matière de rayonnement électromagnétique relèvent d’un phénoménal manque d’information et d’une suspicion souvent légitime. D’un côté des études commanditées par des opérateurs concluant à l’innocuité ou supportées par des partis connus pour pencher systématiquement du côté des intérêts industriels, de l’autre des rapports alarmistes manquant généralement aux règles les plus élémentaires des protocoles de test. Rien, ou si peu, n’a été fait pour que des réponses claires et impartiales aient pu être rendues publiques. Seul un collège totalement neutre, réunissant des spécialistes du domaine radio, des anatomopathologistes, des experts en maladies somatiques pourrait enfin dépassionner le débat.

Reste qu’en voulant jouer la carte du flou, les députés ont désamorcé quelques sujets de querelles mais rendu la loi sujette à de multiples interprétations. On ne peut, par exemple, confondre allègrement un relais SHF et un émetteur ondes courtes, comparer le rayonnement et la puissance d’un faisceau hertzien et ceux d’un émetteur « broadcast », ou estimer de la même manière les milliwatts d’un routeur WiFi sur 5 GHz et les Watts d’un relais DCS. Or, nombreux sont les passages du texte qui mentionnent les « rayonnements électromagnétiques » de manière totalement générique.

Bien que totalement occultés du texte, on ne peut non plus ignorer les craintes des « hyper-électrosensibles », quand bien même leurs plaintes ne reposeraient sur aucune preuve technique et aucune réalité physique. Les maladies psychosomatiques peuvent s’avérer dramatiquement destructrices et ne peuvent être ignorées. Et ce n’est pas en prétendant favoriser la création de zones blanches dans les villes et les campagnes que l’on parviendra à résoudre la question. Les ondes (les hackers « sans fil » leur disent merci) ne connaissent pas la notion de frontières géographiques et sont omniprésentes. Il n’y a que sur le papier des prospectus que la portée d’une carte WiFi ne dépasse pas 100 mètres. Reste que si ces ghettos « Hertz-free » demeurent un non-sens technique, ce ne sont pas moins des promesses d’aires de repos technologiques, des zones rompant les « laisses électroniques » que sont les équipements mobiles, des thébaïdes de décrochage ou de désintoxication numérique. Même si l’on est « pro-ondes », ce genre d’initiative ne peut que plaire : en cas de wifi-burnout, réfugiez-vous ici.

Il est à craindre que la couleur floue puisse devenir la teinte permanente des textes légiférants ce domaine. Une dentelle d’exceptions est sur le point de se tisser, notamment pour tout ce qui concerne le fameux « internet des objets ». Sur le cri de « mort aux fils » et « à bas les prises et connecteurs », les marchands de RFID, d’appareils Bluetoothisés, de terminaux Wifi, de périphériques 802.22 UHF et de compteurs électriques intelligents ont obtenu le soutien des politiques de tous bords. Lesquels voient dans des nouveautés technologiques la promesse d’une reprise de la nouvelle économie 3.0. Las, il ne faudra probablement pas 3 ans avant que 80% de ces équipements soient construits en Orient (comme c’est déjà le cas pour la majorité des équipements sans-fil actuellement commercialisés), et la multiplication des terminaux de téléconsultation se sera soldée par de nouvelles compressions de personnels au nom du progrès et de l’efficacité. La bataille du Sans Fil n’est peut-être pas toujours là où on l’attend.

Dans une interview accordée à la chaîne Allemande ARD, Edward Snowden affirme ne plus avoir la moindre révélation en réserve, toutes ses archives étant désormais entre les mains des journalistes choisis pour les diffuser.

Au cours de cette entrevue ( verbatim de l’interview ), l’ex contractuel de la NSA a également confirmé les liens de collaboration étroits entre le BRD (services secrets Allemands) et la NSA. Lorsque Snowden était encore réfugié sur le sol Chinois, bien des intellectuels Européens s’étaient demandés s’il ne serait pas nécessaire de lui offrir l’asile politique. Personne n’avait alors idée à l’époque du niveau de compromission des services de renseignement Britanniques, Français ou Allemands avec les espions des USA. Le choix de la Russie « terre d’asile » s’est imposé par défaut.

Snowden a également insisté sur le fait que les principales entreprises industrielles d’Outre Rhin faisaient l’objet de campagnes d’espionnage systématiques. Et de citer notamment Siemens (entreprise techniquement impliquée dans l’exploitation de Stuxnet) et Mercedes. Outre ces affirmations qui n’étonneront plus personne, Snowden avance une explication à l’emballement de la NSA : la possibilité technique d’une action, aussi rocambolesque soit-elle, entraîne ipso facto sa réalisation. L’espionnage de la Chancelière Merkel en serait un exemple.

Les deux premiers fraudeurs utilisant des identités bancaires dérobées durant le hack Target (70 millions de comptes évaporés) se sont fait pincer à la frontière Mexico-Texane. Mary Carmen Vaquera Garcia et Daniel Guardiola Dominguez possédaient 96 cartes de crédit forgées à partir de données provenant du hack massif. A la fois utilisateurs et revendeurs de comptes, les deux prévenus ont laissé entendre que le réseau de mules et de carders s’étendait jusqu’en Europe de l’Est et en Russie.

Tal Ater « leak » la découverte d’une faille dans le module de reconnaissance vocale de Chrome, sous prétexte que, bien que techniquement colmaté, ce trou fait encore l’objet de discussions au sein du Response Team de Google. La faille pourrait servir à espionner les conversations captées par le micro d’un ordinateur, à condition que les fonctions de reconnaissance vocale aient été activées par l’usager sur incitation faite par un site truffé de « coolitude technologique à découvrir ». La probabilité d’exploitation demeure assez faible dans le cadre d’une attaque à grande échelle.

Les parrains et marraines sont prestigieux : Gendarmerie Nationale, Ministère de l’Intérieur, les assurances Axa qui jouent les bailleurs de fonds … tous se sont réunis pour orchestrer un « programme national de responsabilisation des enfants sur l’usage de l’Internet ». Matériaux pédagogiques, fiches de sensibilisation, statistiques anxiogènes (80% des parents considèrent qu’Internet est dangereux), questionnaires de contrôle des acquis et permis « code de bonne conduite » (sic), voilà tout un mini-arsenal destiné aux instituteurs et professeurs des écoles s’occupant des classes de CM2. Autrement dit d’élèves évoluant dans le cycle primaire, lequel est tributaire du budget des communes et non pas de celui de l’Education Nationale. Il est si difficile de préparer les discours de demain sur le « digital divide » entre villes et campagnes, communes riches et villages pauvres… car comment passer un « permis Internet » dans un établissement disposant de deux ordinateurs pour 150 élèves ?

En outre, l’idée n’est pas nouvelle. Le « permis de conduire Internet » avait été, en 2009, l’un des arguments de campagne (publicitaire) d’Eugène Kaspersky. Un permis qui aurait servi à la fois à former les internautes aux dangers des autoroutes de l’information et aux dépassements de vitesse de téléchargement. Qui aurait également (et surtout) servi à ficher et tracer les internautes contrevenants. Le mot provoqua une levée de boucliers, l’idée, totalement inapplicable, fut totalement abandonnée. Mais ça, c’était Avant.

Reste que l’initiative d’un « permis pour les petits », aussi futile fût-elle, n’a de véritable raison d’être qu’à partir du moment où elle pourrait être transformée en un « véritable permis de grand » à l’instar de l’ASSR… D’innocente et bienveillante, la démarche tourne rapidement à la promesse de flicage et à la suspicion d’incompétence informatique une fois atteint l’âge de raison. Voire, pourquoi pas, à l’application d’une logique répressive pour punir les contrevenants. Téléchargement de 10 Go de plus que la capacité autorisée ? 3 points de moins et 200 euros d’amende. Stationnement prolongé en dehors des sites-parking, traversée d’une zone pour adulte « barely legual » ou traversée à haute vitesse d’une partie de poker virtuelle non autorisée par l’Arjel : suspension de 4 mois du droit de surf et une nuit en cellule de dégrisement html. Ridicule ? Alarmiste ? Rappelons qu’Hadopi ne prétend pas combattre le piratage, mais le « défaut de protection », autrement dit un crime d’incompétence informatique.

Si l’initiative avait relevé de programmes constitués dans le cadre du cycle secondaire, avec ou sans l’assistance de la Gendarmerie mais pas nécessairement celle d’une entreprise commerciale de droit privé, l’initiative aurait probablement eu plus de chances de succès. D’autant plus que les 12-18 ans sont en grande majorité frappés par une inextinguible soif de cracking, qu’il est assez facile de transformer en désir de hacking, de connaissance technique. C’est par l’éducation que l’on éveille les vocations, bien plus que par la répétition de mantras moralisateurs.

C’est à l’occasion de la seconde journée du FIC que le Ministre de la Défense Jean Luc Le Drian a annoncé le second épisode de la LPM : le pacte de cyberdéfense qui bénéficiera d’une enveloppe d’un milliard d’euros sur les 5 années à venir et engagera aussi bien les ressources du secteur public (Anssi notamment) que les compétences privées de grands groupes de conseils et d’intégration (La création d’un pôle Cyberdéfense au sein d’Orange n’est pas un hasard). Les structures régaliennes, notamment le Calid (Centre d’analyse de lutte informatique défensive) du Ministère de la Défense verra ses effectifs multipliés par 6 pour atteindre 120 personnes, tandis que le personnel de la DGA MI (direction générale de l’armement, maîtrise de l’information) passe de 200 à 450 personnes.

L’hypothèse d’une cyberattaque massive est donc prise au sérieux en haut lieu et l’on souhaite mettre en œuvre tout ce qui est possible pour préserver les trésors de l’Empire. A commencer par les grands groupes industriels, avec le risque évident qu’un tel pacte de cyberdéfense ne puisse être applicable qu’à une infime partie des entreprises (celles qui en ont les moyens) et aux ressources institutionnelles du pays. Une protection pour les riches et les forces régaliennes en quelques sortes.

Le sujet ( Vers une cyberdéfense proactive) a d’ailleurs fait l’objet d’un atelier auquel participait Maître Garance Mathias, un responsable du Calid, le Lieutenant Colonel William Dupuy, Yves Le Floch (développement cybersécurité chez Sogeti), Frank Roussé, responsable du segment Critical IT d’Orange BS, et Don Solomon du prestataire de services Britannique Optimal Risk. Un panel très varié qui a permis de brosser avec assez de précision les tenants et une partie des aboutissants de ce nouveau sport de combat qu’est la cyberdéfense.

Pour Don Solomon, le mot proactif ne désigne qu’un aspect du problème. La cyberdéfense doit englober à la fois la sécurité humaine et physique, ainsi que l’infrastructure IT. Un but qui ne sera atteint qu’en faisant évoluer les mentalités et les cultures. « Il faut que chaque rouage de l’entreprise soit entraîné et préparé à l’imminence d’une agression. En renforçant par exemple les mécanismes de leurres sur le réseau informatique (dans le but de retarder toute forme d’attaque et faciliter la détection de l’intrusion), voir à organiser des sortes de « wargames » préparatoires qui serviront à tester les réactions et la résilience des cellules d’intervention et de crise. « Ce n’est pas sous le feu d’une attaque qu’il faut tester ce qui a été mis en place. A ce moment là, il est déjà trop tard ». Attitude donc très martiale, accompagnée de la mise en œuvre d’outils jusqu’à présent réservés à quelques réseaux de recherche (ainsi les honeypots). « La défense, ce n’est pas simplement la « sécurité », c’est une notion considérablement plus dynamique » insiste Solomon. Elle doit être à la fois préemptive et pré-active. Préemptive dans le sens où elle met en œuvre des mesures actives qui vont permettre d’anticiper les menaces et préparer à repousser une attaque, pré-active car une fois la menace clairement établie, elle servira à décourager, à contrecarrer les ardeurs de l’attaquant. Cette vision anglo-saxonne n’est pas sans rappeler l’attitude conseillée par les autorités US peu de temps après la réunification des différentes départements « cyber » du DHS, de la CIA, du FBI sous la bannière unique du patron de la NSA.

Mais il faut savoir se méfier des mots … Maïtre Garance Mathias a rappelé que si la légitime défense existait bel et bien dans le droit Français, la cyber-légitime défense était encore un concept trop flou pour que l’on puisse l’invoquer. D’autant plus qu’en la matière, l’attaqué « contre-attaquant » pourrait fort bien se rendre coupable à son tour. L’intrusion sur un système d’information sans l’autorisation de ses administrateurs n’est pas particulièrement bien vue. En outre, seules les forces régaliennes ont autorité dans un Etat de droit. Il est impossible de faire justice soi-même, que se soit directement ou par le biais d’un intermédiaire.

Et chez les militaires, l’idée de « grandes manœuvres » et de cyber-kriegspiel, ça ne se pratique pas, au moins entre membres des forces de l’Otan ? William Dupuy reconnaît que la culture militaire pourrait, dans ce sens, avoir quelques longueurs d’avance sur ce qui se pratique dans une entreprise civile. Mais les questions fondamentales demeurent les mêmes : savoir apprécier le risque, récupérer des métriques réalistes concernant les attaques, analyser les vecteurs utilisés, pour enfin coordonner une réaction appropriée. Mais quelle que soit la capacité d’une infrastructure à se préparer au pire, certaines mesures sont encore très difficiles à effectuer. La détermination de la provenance réelle de l’attaque par exemple, ou la détection des signes annonciateurs dans des flux de données de plus en plus importants, voire la maîtrise des effets et conséquences à terme provoqués par l’attaque ou par les corrections défensives.

Pour Yves Le Floch de Sogeti, qui bien entendu partage également ces avis sur la nécessité de préparer l’entreprise aux risques d’attaque, il faut bien se garder de toute « proactivité un peu trop insistante ». Hors de question de contre-attaquer ou de montrer le moindre signe d’agressivité, on ne peut supposer les conséquences d’un tel acte, et il faudrait probablement s’attendre à une riposte plus violente encore que l’attaque. « Il est également certain qu’une cybersécurité proactive, autrement dit nécessitant un contrôle des ‘process’, des scénarii vérifiés par une cellule de crise etc., tout ça coûte effectivement plus cher qu’une approche « sécurité des S.I. » traditionnelle ».

Pour Frank Roussé, avant de parler de cybersécurité, il faut penser maintien des conditions de sécurité. Et ce n’est déjà pas une tâche particulièrement simple. C’est même une équation à N inconnues : taille du système, âge et acquis, durée estimée du cycle de vie, contexte d’exploitation (interne ou cloudifié), sans oublier les outils de gestion et de sécurité eux-mêmes. Tout ça exige un niveau d’expertise proportionnel à l’ensemble de ces facteurs. La taille devient alors synonyme de complexité croissante et de coûts de plus en plus élevés. L’appel à des entreprises extérieures devrait logiquement diminuer cette complexité, mais alourdit encore un peu plus la facture finale.

« il faut donc le plus possible industrialiser et automatiser les activités de sécurité pour en abaisser les coûts… mais cette automatisation connaît des limites. Sans une expertise humaine au cœur du processus, il serait vain d’espérer pouvoir faire face à n’importe quelle menace. Plus cette automatisation est prévue en amont, plus elle peut s’intégrer dès la conception du système. Une approche « secure by design » comparable à celle que l’on peut voir mise en application dans le monde du développement logiciel. Mais on en est encore loin, malgré l’approche des méthodes agiles, l’aide des environnements de virtualisation etc. » conclut Frank Roussé.
La cyberdéfense sera proactive, la chose est certaine car voulue par une multitude de trains de mesures gouvernementales. Mais les témoignages des différents acteurs et prestataires laissent à penser que les approches traditionnelles (ebios, audits, iso diverses…) et une défense périmétrique classique sans « cybermanoeuvres » et culte du « aware » ont encore beaucoup d’avenir auprès des entreprises de moyenne et petite envergure. En cas de cyberconflits, il faudra s’attendre à ce qu’il y ait des cyber-victimes chez les cyber-civils.

Les multiples ateliers du Forum International de la Cybersécurité se suivent et, souvent, se ressemblent d’une année sur l’autre. Sécurité des communications mobiles, cybersurveillance et vie privée, cyberdélinquance et lutte transfrontière, gouvernance d’Internet… si les questions ne changent pas, les réponses, parfois, évoluent. Ainsi, les questions portant sur le renforcement des infrastructures critiques attiraient invariablement par le passé des avis prudents, voir une totale indifférence. Tout ça ne relève encore que du mauvais scénario à la sauce Die Hard 4 disait-on alors. La sécurité des processus industriels est assurée par des gens de métier qui ont su penser à ces problèmes dès la conception des architectures…

Depuis, la LPM est passée. L’inventaire des opérateurs d’importance vitale et la liste des sites critiques (classement Seveso par exemple) est en cours de réalisation. Les documents expliquant la méthodologie de classification des infrastructures critiques et le guide des mesures de sécurité détaillées sont disponibles sur le site de l’Anssi. La menace qui pourrait peser sur de tels établissement appartient désormais au domaine du possible, voire, estiment les experts de l’Agence, une « certitude à plus ou moins longue échéances ». En substance, si le risque existe, la probabilité que ce risque soit exploité un jour par un adversaire est aussi probable que n’importe quel autre sinistre informatique. Le « si » (la probabilité de panne) est remplacé par le « quand » (la certitude à plus ou moins longue échéance du sinistre). Il faut avouer que, depuis ces 4 ou 5 dernières années, les preuves d’exploitation Scada et autres intrusions « involontairement mises à jour » ont fait les choux gras des principales conférences sécurité d’Europe, d’Asie et des Amériques. Le « brick and mortar », bien que vouant un culte aux dieux de la sécurité des processus et du périmétrique, n’a pas totalement digéré la composante informatique et Internet qui le fragilise progressivement depuis une petite décennie. Il est temps que l’on en prenne conscience.