février 5th, 2014

Un scoop de CBC News, tiré lui-même d’une révélation Snowden : les autorités spécialisées dans les écoutes électroniques (Communications Security Establishment Canada CSEC) espionnent les voyageurs utilisant les bornes WiFi mises à disposition du public dans les aéroports du pays. A l’instar de notre DGSE, le rôle du CSEC porterait essentiellement sur les réseaux situés en dehors du territoire Canadien. Cette « diversification des activités » pourrait donc être considérée comme illégale. A moins que n’aient été surveillés que les points d’accès situés en zone internationale…

Sans surprise, cette collecte portant sur les métadonnées des communications, serait dictée par le souci de défendre le pays et ses citoyens. Toujours selon nos confrères de CBC, ce système d’interception constituerait une sorte de « galop d’essais » dans le cadre du co-développement NSA/CSEC d’un outil de récolte d’informations encore plus tentaculaire. « Aucune conversation n’a été écoutée, aucun citoyen Canadien ou ressortissant étranger n’a été « tracé » » affirment les autorités. Est-il nécessaire de tracer un individu alors que l’analyse a posteriori des métadonnées qu’il laisse à l’occasion de chaque connexion réseau fournit bien plus encore aux services de police qu’un simple trajet ? Sites visités, ssid (et donc emplacement) des derniers points d’accès enregistrés, habitudes de trafic, profilage par examen comportemental ne sont que quelques aspects de ce sport moderne qu’est le « metadata porn » que décrit le document tiré des archives Snowden.

Jean-Jacques Quisquater, Professeur de cryptographie à l’Université Catholique de Louvain, a été victime d’une attaque informatique via une opération de phishing véhiculée par une fausse invitation LinkedIn. L’affaire, nous apprend De Standaard (article archivé par Cryptome ) a été découverte dans le cadre de l’enquête portant sur un tout autre piratage, celui de Belgacom dévoilé en septembre dernier par nos confrères du magazine Allemand Der Spiegel. Rappelons que c’est également grâce à des liens forgés (LinkedIn/spoofing de pages d’Intranet) qu’a été rendue possible l’attaque « man in the middle » lancée contre l’opérateur. La méthode rappelle également le hack de l’Elysée. Le hack porte la marque de la NSA, services de renseignements US, et du GCHQ (service Britannique, donc appartenant à un Etat membre de la C.E.) affirme De Standaard. Rappelons qu’une partie du code du virus d’attaque Stuxnet avait également bénéficié d’informations (certificats) dérobées dans deux départements de l’Université de Taipeh, montrant à quel point les réseaux de recherche sont une cible privilégiée des barbouzes d’Outre Atlantique. Les journalistes du Spiegel avaient également fait le rapprochement entre le hack Belgacom et celui de la compagnie pétrolière Brésilienne Petrobras en raison d’une similitude certaine dans les techniques d’attaque MIM

Il aura fallu attendre deux semaines pour que le hack d’un serveur d’Orange soit rendu public. Hack qui, aux dires de l’opérateur, aurait porté sur un peu moins d’un million de comptes (800 000 plus exactement). Une paille après l’affaire Target, mais peut-on établir un « hit parade du piratage » dans lequel les centaines de milliers d’identités perdues seraient comparées aux millions de comptes évaporés par un autre ?

Au nombre des données dérobées, les noms, prénoms, adresse email, adresse postale numéro de téléphone fixe et mobile… et numéros de RIB partiels. Assez pour forger une formidable opération de phishing avec de véritables morceaux d’authentification forte dedans. « Les mots de passe de ces comptes n’ont pas été saisis » affirme un porte-parole du groupe. Voilà une excuse relativement peu rassurante, surtout venant de la part d’un acteur majeur dans le monde de la SSI. Plus de 80 % des mots de passe utilisés sur Internet sont « uniques et communs », le nombre d’enquêtes sur le sujet le prouve quasiment chaque semaine. Et quand bien même ceux stockés par Orange n’auraient pas été dérobés que le risque n’en serait pas moins grand. Plus préoccupant encore, ce conseil distillé par la lettre d’avertissement expédiée aux usagers-victimes : « aucune action de votre part n’est requise ». Hormis, peut-être, celle consistant par mesure de précaution élémentaire, de changer rapidement tous les mots de passes de tous les services Internet utilisant cette adresse email en guise d’identifiant.

Les grandes entreprises Françaises ont encore beaucoup de chemin à parcourir en matière de communication de crise avant que de savoir avouer de manière objective la faillibilité de leurs propres systèmes d’information. Abandonner les « seulement », les comparaisons statistiques hors de propos, les circonvolutions de langage, les précisions inutiles sur les choses qui « n’ont pas été volées », autant de dires ne visant qu’à minimiser la gravité des faits… et qui surtout ne provoquent qu’un effet contraire. Le hack est-il si important que l’opérateur historique puisse souhaiter en masquer l’importance ? Les exemples ne manquent pourtant pas (http://datalossdb.org/) qui montrent à quel point cette attitude ne joue pas en faveur d’un renforcement de la confiance accordée.

D’un point de vue professionnel, la mésaventure d’Orange pourrait provoquer quelques conséquences positives. A commencer par faire prendre conscience aux politiques qu’il serait peut-être temps de revenir sur des encadrements législatifs inadaptés, votés peut-être parfois plus par clientélisme que dans le but réel de protéger le tissu industriel national. De LCEN en Loppsi, de flicage intérieur (la majorité des piratages est piloté en dehors de nos frontières) en contraintes légales, la liberté d’action cyber-défensive a été restreinte peu à peu au point de pouvoir envoyer devant les Assises une société de services chargée d’un audit SSI mal défini. Les contrats de tests de pénétration, par exemple, deviennent de plus en plus complexes et limités, devenant par conséquence de moins en moins réalistes en comparaison de ce qui se passe dans la « vraie vie du monde de l’intrusion ». Aux yeux de ces lois, la sécurité informatique n’est pas un processus adaptatif, mais une série de recettes précises et définies.