février 10th, 2014

Olivier Laurelli, plus connu sous le nom de plume Bluetouff, vient d’être condamné en appel pour s’être rendu responsable d’un « accès frauduleux dans un système de traitement automatisé de données », et de « maintien frauduleux et vol de documents ». La première accusation n’a pas été retenue, il eut fallu expliquer pourquoi Google avait pu indexer lesdits fichiers et donc les rendre téléchargeables. Rappelons rapidement qu’en première instance Laurelli avait été relaxé, et que le plaignant avait reconnu que de monstrueuses erreurs d’administration avaient permis de rendre public un nombre important de fichiers destinés à l’intranet de l’organisation en question (l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail alias ANSES).

Mais le Ministère Public a fait appel et décidé qu’il y avait eu intention frauduleuse, arguant de l’évidente mauvaise foi d’Olivier Laurelli. L’on pourrait rétorquer que, dans le monde journalistique, l’usage du « index of » dans une requête Google relève non pas de la mauvaise foi mais du réflexe professionnel, compte tenu du joyeux capharnaüm (et le mot est souvent faible) qui règne dans l’organisation des sites internet en général, et des dépôts de documents destinés à la presse en particulier. Différents articles, publiés notamment dans les colonnes de Numérama ou de celles du blog Big Brother du journal Le Monde insistent sur l’apparente ignorance du juge chargé de l’affaire et de l’absence d’expert pouvant l’assister dans sa charge.

L’on se demande alors si le fait effectivement troublant d’utiliser un proxy situé à l’autre bout du monde n’aurait pas confirmé le Ministère Public dans son opinion lui permettant de conclure à l’intention frauduleuse et à la mauvaise foi ? La chose est peu probable compte tenu de l’ignorance déclarée tant du juge que de l’Accusation… le détail est trop subtil alors que, de l’avis même dudit Ministère Public (propos rapportés par nos confrères de Mediapart) : « la moitié des termes que j’ai entendus aujourd’hui, je ne les ai même pas compris ». Quand bien même cet argument aurait été retenu que l’usage de ce proxy était justifié dans le cadre du travail effectué par Olivier Laurelli. Lequel proxy ne servait pas à camoufler une opération de piratage visant un serveur français (le procédé aurait été un peu transparent) mais à isoler l’enquêteur qui travaillait alors sur le régime Syrien. Quand tu dînes avec le diable, prends une grande cuillère.

Coupable alors en raison du volume des documents téléchargés ? (8000 fichiers). Là encore, l’argument est peu probable. Il reviendrait à estimer l’ampleur d’un « volume nécessaire » qu’un journaliste ou blogueur est en droit de récupérer à des fins d’information.

En fait, ce jugement semble montrer à quel point les textes liés à la « protection des S.I. », notamment la LCEN et Loppsi2, ont été aussi peu compris tant par ceux qui les ont rédigé que par ceux qui sont chargés de leur application. Ce sont là des lois tentant de répondre techniquement à des problèmes techniques (qu’est-ce qu’une intrusion via Google, qu’est-ce qu’un vol de fichier indexé par un moteur public qui plus est d’origine étrangère) alors que l’esprit des lois aurait plutôt tendance à conseiller une solution politique pour résoudre tout problème technique. Bluetouff, qui n’est ni un collectionneur de fichier Ukrainien, ni un hacker Pékinois de l’Armée Populaire, sert ici de parafoudre, victime de dispositions destinées à protéger un patrimoine informatique national très fantasmé contre des attaquants encore plus fantasmés qui auraient l’extrême amabilité d’agir à l’intérieur de nos frontières. A l’heure des révélations Snowden et des intrusions perpétrées par des forces alliées et « bienveillamment ignorées » par un Ministère Public qui pourrait parfaitement s’autosaisir de ces affaires d’espionnage, il serait peut-être temps d’abroger ces textes en grande partie inadaptés et de chercher à défendre effectivement les infrastructures numériques intérieures des assauts de personnes un peu plus dangereuses que celles d’un blogueur Parisien.

L’affaire n’en restera pas là. « C’est décidé, on forme le pourvoi devant la Cour de cassation contre cet arrêt inique » déclarait un message Tweeter émis par Maître Olivier Iteanu dans le courant de la journée du 6 février.

« On n’y pouvait rien, ils étaient vraiment trop subtils et trop forts, c’était imparable ». Les patrons de Target et Neiman Marcus, dont le hack des serveurs a provoqué l’une des plus formidables fuites de données de la décennie, invoquent leur totale impuissance face à des attaques aussi sophistiquées nous apprennent nos confrères de Network World.

Il est de tradition, dans le métier de CxO, d’invoquer l’équivalent de la clause de conscience lorsque les évènement les dépassent. Elle prend alors le nom soit d’attaque sophistiquée, soit d’APT (advanced persistant threat). « De nouvelles règlementations n’auraient rien pu faire devant des adversaires aussi déterminés et compétents » affirment en substance les avocats des deux grandes chaînes de magasins.

Dans le camp opposé, celui des victimes et des accusateurs qui soupçonnent un certain laxisme dans les processus de traitement des données clients, on fait remarquer qu’une telle mésaventure ne serait jamais survenue en Europe. En effet, l’identité bancaire des clients a pu être subtilisée grâce à une attaque « man in the middle » opérée entre le lecteur de cartes de crédit et le système informatique. Sur ce trajet, les données ne sont pas chiffrées. « Si les grandes chaînes de commerce acceptaient d’adopter les cartes à puce, dont les échanges sont chiffrés, de telles attaques n’auraient aucune chance de succès ». Rappelons qu’en France, les cartes à puce sont intégrées aux systèmes de payement électronique depuis 1980.

L’uniforme impressionne toujours, y compris lorsqu’il se limite à un logo apposé sur un message électronique. Généralement, à ce stade, on parle de phishing par intimidation. Lorsque de surcroît ce courriel en profite pour chiffrer un disque dur pour en interdire l’usage tant qu’une amende n’aura pas été versée, cela devient un « police ransomware », un mouvement très tendance, comme on dit dans le milieu de la mode. Le European Cybercrime Centre (EC3) d’Europol lutte depuis quelques années contre ce genre d’escroquerie, et démantèle régulièrement des réseaux dont les cerveaux sont généralement situés dans les pays de l’ex Union Soviétique

A la suite d’une récente série d’arrestations, l’EC3 et la police Hollandaise ont publié un rapport et quelques métriques sur cette forme de cyber-délinquance. Les victimes ayant accepté de payer les « cyberamendes » se compteraient par milliers dans le monde, chiffre en constante augmentation compte tenu de l’évolution technique des ransomwares vers de nouvelles plateformes (terminaux mobiles notamment). En moyenne, 3% des victimes acceptent de payer sans discuter entre 50 et 150 Euros. Soit, pour la seule zone européenne, 800 personnes sur un parc estimé de 25000 machines infectées. 800 « amendes », cela représente près de 70 000 Euros, ce qui représente 40 000 Euros de cash pour les organisateurs de cette cyber-arnaque une fois les intermédiaires bancaires et techniques rétribués.

Les outils de chiffrement utilisés par ces gangs se perfectionnent, et résistent aux conseils techniques diffusés notamment par les services de police (les vrais, cette fois-ci). Les intermédiaires véreux (Ukash, Paysafe) commencent à être concurrencés par un usage plus intensif de Bitcoins.