juin, 2015

« Où donc pouvez-vous découvrir mille plaisirs, chercher des trésors de par le monde, apprendre les sciences, la technologie, où donc vos rêvent peuvent-ils devenir réalité ? ». Paroles prémonitoires que celles des Village People lorsque ceux-ci chantaient « Dans la Navy ». Car la Navy, aujourd’hui, cherche des trésors (informatiques) de par le monde, tire des enseignements des sciences et des technologies (numériques) et, parcourant le contenu de tous les ordinateurs de la planète, voit ses rêves de domination stratégique devenir réalité. Michael Mimoso de ThreatPost, relaye le cri du cœur d’une des trois armes Etats-uniennes, la Marine, laquelle demande à qui veut l’entendre de nouveaux exploits. Pas de ces exploits qui ont fait le succès de Salamine, la gloire de Lépante ou la grandeur de Trafalgar, mais bel et bien ceux qui ont donné naissance à Stuxnet, à Duqu, à JeruB. Jaloux de la dotation en cyberflingues dont bénéficie la NSA, laquelle n’est pas prêteuse, la Navy Américaine lance un appel d’offre pour acquérir ses propres CMMI-3 ( Capability Maturity Model Integration), termes polis pour désigner des exploits fonctionnels). Ça tombe bien, Vupen, entreprise ex-Française, est justement basée à Annapolis, riante bourgade du Maryland et, par le plus grand des hasards, siège de l’Académie Navale Américaine. Conséquence probable du culte du bouton de guêtre et d’une Ecole de Guerre du siècle dernier. Ce n’est pas dans la Royale que l’on se permettrait de tels écarts. D’ailleurs, allez donc tenter de repeindre une injection SQL ou saluer un XSS.*

Et Mimoso de citer « The vendor shall provide the government with a proposed list of available vulnerabilities, 0-day or N-day (no older than 6 months old). This list should be updated quarterly and include intelligence and exploits affecting widely used software ». Dans la marine, lorsque l’on veut jouer aux pirates (ou aux corsaires, selon la dialectique du moment), on prévoit tout pour tenir 6 mois de mer, en partant avec une cambuse pleine et la Sainte Barbe* bourrée de munitions. Dave Mass, de l’EFF, a eu la présence d’esprit de sauvegarder cet appel d’offre pour qu’il demeure public.

Et si, par le plus grand des hasards, un marin en goguette sortait de son bâtiment en emportant une de ces munitions, histoire de faire un feu d’artifice pour fêter un retour au port d’attache ? Car nul juge d’instruction, nulle commission sénatoriale ne peut en permanence surveiller les faits et gestes d’une armée en mission, y compris dans le cadre d’opérations pacifiques.

– Chef, j’étais en train de nettoyer un Regin MkII et un SlickerVicar 2013 modifié 15 quand le coup est parti tout seul. J’avais pas d’intentions raciste ou impérialiste, mais les peuplades libérées n’ont plus un seul ordinateur valide.

– M’ferez 4 jours, soldat Snowfall. Et un rapport sur les dommages collatéraux. How will you live, John?

– Zero day by day

*

NdlC Note de la Correctrice : Termes nautiques et humour mataf. Probablement le résultat de la fréquentation des marins et de leur habitude de faire des phrases

Paroles de Frédéric Lefèbvre, musique de Nicolas Sarkozy, sur un décor de Brice Hortefeux et des costumes de Claude Guéant : l’interprétation de Bernard Cazeneuve dans le rôle-titre de « Il faut réguler le Far West Internet » a littéralement enthousiasmé le public et les critiques. Ce théâtre de boulevard qui tient l’affiche depuis près de 10 ans pourrait être comique s’il n’avait eu pour origine la mort tragique de trois adolescents et les graves blessures d’un quatrième.

A l’origine de cette récupération, la volonté d’un groupe de jeunes « airsofteurs » de fabriquer un pot fumigène artisanal. La recette a provoqué une réaction chimique violente, aux conséquences catastrophiques. La police est sur les dents et le suspect rapidement identifié : âge 34 ans, nationalité Etats-unienne, taille (estimée) 3 milliards d’individus dont 2 milliards inscrits sur des réseaux sociaux. Signes particuliers : Darknet, réseaux cyber-pédophiles, techno-djihadistes, « violeurs et poseurs de bombes » (copyright l’un des Ministres susmentionnés). Connu par les services de police du monde entier sous les pseudonymes de « Internet », « Autoroutes de l’Information », « Assemblage de tuyaux », « réseau des réseaux », « Net ».

L’exploitation du pathos et du cas particulier pour justifier des lois d’exception n’est pas un fait particulièrement nouveau. La plupart du temps les mesures proposées s’avèrent incapables de résoudre le problème alors que par ailleurs elles facilitent une surveillance et un contrôle qui seraient considérés comme inacceptables en temps normal.
Las, même les éditeurs, depuis le Siècle des Lumières, ont appris à vivre dans les pays qui ignorent le mot censure, hors de portée des descentes de police. La Hollande ou l’Angleterre d’alors s’appellent Internet à notre époque, et la poursuite et la condamnation de quelques blogueurs ne résoudra certainement rien. Et si tous les « Premiers flics de France » qui ont successivement tentés de résoudre la question à grands renforts de lois liberticides essayaient plutôt de soigner le mal à la racine ? Autrement dit par l’éducation, la prévention et l’accompagnement. Des actions certes bien moins « vendeuses », bien moins médiatiques, bien plus coûteuses qu’une descente de police dans un 2-pièces-cuisine de geek wanabe révolutionnaire. Une fois de plus, un politique tente de résoudre de manière technique un problème essentiellement social et politique.

Bien moins médiatique… encore faudrait-il aussi qu’une certaine forme de presse commence à prendre un peu de recul, et accepte de faire un choix entre information et chasse au clic. « Internet est-il responsable de la mort de trois adolescents ?» demande l’Express. « Airsoft, l’influence d’Internet » renchérit FranceTVinfo. « Après le drame de Bas-en-Basset, Cazeneuve veut réguler internet » affirme Metro.
Et que devra-t-on réguler une fois qu’Internet sera encadré ? L’apprentissage de la lecture ? Les cours de Chimie ? Le Savoir en général ? La violence des jeux vidéo ? Le risque mimétique des films catastrophe ? Les bandes dessinées ? Une fois encore, la (volontaire ?) confusion entre l’outil et l’usage que l’on en fait facilite la diffusion de discours simples et populaires, deux mots si proches des termes « simpliste » et « populiste » …

« Allez, dite un nombre, entre un et dix millions, et on infecte tout, tout de suite »
écrivent ironiquement Xeno Kovah et Corey Kallenberg dans leur communications CanSecWest. Quelques jours après la publication du bootkit caché dans le firmware des disques durs, voici le retour du virus-bios.

Ce genre d’exploit n’est pas franchement nouveau, puisque les études signées Wojtczuk/Rutkowska (pour ne mentionner que les plus connus) avaient déjà soulevé la possibilité de ce genre de risque. Mais cette fois, insistent les deux chercheurs, il ne s’agit plus d’une attaque ne visant qu’un seul Bios, une seule marque d’ordinateur, mais pratiquement tout ce qui se fait à la surface de la planète numérique.

Un virus-Bios peut tout pour plusieurs raisons, expliquent les deux chercheurs. Tout d’abord parce qu’il est situé dans un espace qui n’est pas vérifié par les principaux logiciels de sécurité. Ensuite parce que personne, y compris dans les secteurs des industries de pointe ou des organisations étatiques, ne songe à mettre à jour les microcodes des ordinateurs, laissant ainsi béantes des failles pourtant corrigées. Parce que la plupart des concepteurs de Bios utilisent à la fois des mécanismes communs et des espaces mémoire communs, offrant ainsi une surface d’attaque commune simplifiant des compromissions de masse. En raison, enfin, des mantras abrutissants des industriels du monde du « hardware » qui ne cessent de jurer la quasi invulnérabilité de leurs systèmes.

Les moyens d’exploitation reposent notamment sur le comportement du SMM (System Management Mode), un mode d’exécution propre à l’architecture X86, des SMI (System Management Interrupts) qui en dépendent, et de l’espace mémoire protégé dans lequel évolue le SMM (SMRAM). Protégé… jusqu’à un certain point, car parfois ces échanges s’étendent au-delà de cet espace privilégié et peuvent donc être compromis. Un exécutable appelé de l’extérieur par la SMRAM peut alors infecter le saint des saints. Une fois installé dans la mémoire eprom réservée au Bios (une simple SPI en général), le virus fonctionne alors en tâche de fond derrière le SMM et peut se permettre absolument tout ce qu’il est possible d’imaginer.

Les conséquences sont incalculables. « Même les systèmes réputés amnésiques et ne fonctionnant pas en mode « persistant » (les Tails, The amnesiac incognito live system) ou les systèmes « live » qui bootent sur des clefs USB) sont vulnérables, alors que, des années durant, leurs promoteurs affirment leur totale invincibilité préviennent les deux chercheurs. Font d’ailleurs partie du clan des promoteurs des systèmes Tails les principales centrales de renseignement, qui pourtant s’y connaissent un peu en matière de paranoïa et de manipulation de bootkits.

Afin de prouver leurs dires,Kovah et Kallenberg ont développé un PoC baptisé « light eater », dont la spécialité est de capturer en mémoire et au vol signatures des clefs GPG, les phrases de passe ou les emails déchiffrés (et pour cause, ils le sont nécessairement en RAM). Charge ensuite au malware soit d’expédier ce contenu dans un espace de stockage interne ou externe qui préservera ces données dès que le « système amnésique » est placé hors tension, soit de conserver ces données (les clefs de chiffrement notamment) dans la mémoire du SPI. De quoi donner des cauchemars à tous les RSSI qui travaillent pour Angela Merkel.

Le travail de Kovah et Kallenberg a ceci de remarquable qu’il contient à la fois les gènes d’un « mass virus » à diffusion mondiale et les caractéristiques de furtivité et de « customisation » d’une attaque ciblée.

A l’heure où est effectuée cette communication, plusieurs éditeurs ont réagi favorablement et pris la menace très au sérieux. Notamment HP, Dell, Lenovo, AMI, Insyde, Phoenix et Intel. N’auraient pas encore considéré la menace digne d’intérêt Apple, Microsoft, Samsung, LG, Acer, Asus, Fujitsu, Panasonic, NEC, Vaio, MSI et Gigabyte.

Le Président du Parquet Fédéral – chargé des affaires d’espionnage, de terrorisme et de haute trahison- a décidé d’abandonner les charges dans l’affaire des écoutes téléphoniques dont aurait été victime la Chancelière Angela Merkel en 2013. Les preuves, avancées par les documents Snowden, ne constitueraient pas de preuves suffisantes.

L’affaire avait fait grand bruit à l’époque, d’autant plus que les échanges téléphoniques de « Mutti » auraient été également enregistrés par les Russes, les Chinois mais également par les Britanniques.

Il faut dire que l’Allemagne, qui ferait partie au même titre que la France des extensions oculaires des services US, ne pourrait ouvertement accuser un allié qu’elle aiderait par ailleurs (depuis la seconde moitié des années 40 ?). D’autant plus qu’une enquête administrative publique pourrait soulever encore un peu plus la boue qui recouvre les pratiques barbouzesques du BND, et notamment son implication dans d’autres affaires visant des pays voisins, dont la France apprenait-on début mai dernier. D’ailleurs, la France, dans un formidable élan de mansuétude ne promettait-elle pas, à peine l’affaire rendue publique, un pardon inconditionnel ? Des fois qu’une protestation un tant soit peu énergique fasse découvrir aux reporters du Spiegel ou du Frankfurter Allgemeine Zeitung la présence de micros Français dans les bureaux de grands patrons ou hauts fonctionnaires d’Outre Rhin.

Ces « petits espionnages entre amis », loin de refroidir les relations entre pays alliés, semblent renforcer l’amitié indéfectible qui unit les clans du « bloc de l’Ouest ».

Et lorsque les espions portent d’autres uniformes que ceux des 9 Eyes ou 14 Eyes de la NSA* ? Et bien ça tourne au cauchemar. Perclus de spywares, rootkits, chevaux de Troie et autres cyber-agents dormants, les ordinateurs du Bundestag seraient bons à jeter à la poubelle. Même le BSI baisse les bras et recommande de « changer tout, du sol au plafond » nous apprend The Local.de. Le hack a été reporté par les chaines Nord et West Deutscher Rundfunk, ainsi que par les médias nationaux Der Spiegel et Süddeutsche Zeitung. Le Gouvernement Fédéral ne dit mot… histoire de ne pas se mettre mal avec Vladimir Putine ou Xi Jinping, ouvertement dénoncés par tout ce qui porte une carte de presse entre les comptoirs de la Ligue Hanséatique jusqu’aux fins-fonds des tavernes Bavaroises.

Le véritable « far west » Internet que dénoncent chaque jour les politiques est une réalité… et les coupables désignés (cyberpédophiles, technojihadistes, mafieux des TIC) ne sont pas franchement les plus dangereux ni les plus agressifs … Mais on ne tape jamais sur un collègue de bureau, pas vrai ? Allez, encore un effort et une nouvelle loi anti-pirates pour faire oublier ces aspects peu ragoûtants de la cuisine diplomatique.

NdlC Note de la Correctrice : Les mathématiques n’ont jamais été le fort de cette rédaction manifestement. Car si l’on compte tous les membres constituant le Centrixs-Isaf, cela fait 41 yeux. S’ils continuent à se surveiller mutuellement, ça doit certainement tourner au « full time job ». C’est les Chinois et les Russes qui vont apprécier : tant qu’ils se chamaillent, ils ne pensent pas à autre chose.

Ce n’est pas la première fois que Billy « BK » Rios nous parle de hack d’appareils et appareillages médicaux. Cette fois, il s’est lancé dans une vaste opération de fuzzing sur une série de pompes (en langage vulgaire, systèmes de contrôle de « goutte à goutte ») de la série PCA3, PCA5, PlumA PCA Lifecare et Symbiq. Un petit hack, et le patient trépasse par overdose de morphine ou autre médication.

Rios dénonce le fait que, de génération en génération, le firmware de ces équipements n’évolue pas et conserve les mêmes erreurs de débutant : session telnet sans authentification, mots de passe par défaut inscrits en « dur » dans la mémoire de l’appareil, clefs privées communes à différents équipements, logiciels totalement dépassés et comptant plus d’une centaine de bugs connus et exploitables.

Les constructeurs et opérateurs hospitaliers rétorquent que ces exploits ne peuvent être injectés qu’en utilisant l’interface série nécessaire pour établir un dialogue entre la pompe et le système de configuration, et que ladite interface n’est jamais laissée en permanence sur l’appareil. On en revient à la notion d’analyse de risque et de pondération de dangerosité liée à un éventuel « accès console » ou non.

Indiscutablement, les recherches de Billy Rios sont spectaculaires, et ne peuvent que jouer sur le pathos des lecteurs. Hack radio des pacemakers, intrusion dans les pompes à insuline, exploitation des réseaux hospitaliers par les liens Wifi, vol d’information des fichiers au format Dicom… tout a été fantasmé, ou presque. Mais cela ne doit pas faire oublier que de telles attaques ne peuvent être que « ciblées » et ne concernent qu’une seule victime potentielle à la fois, et non un « groupe de patients au hasard dans le monde ». En outre, ces « preuves de faisabilité » exigent très souvent une immédiate proximité avec le patient. Si, dans la littérature, le « témoin gênant » est toujours assassiné par un faux infirmier chargé d’injecter une rasade de strychnine dans sa « perf », la réalité est bien différente, fort heureusement. Les hack de Rios relèvent plus du mauvais polar que de l’alerte réelle.

Cependant, ce travail met une fois de plus en évidence le manque total d’expérience en matière de sécurité informatique de la part des intégrateurs. Le risque est un peu plus élevé lorsque ces mauvaises pratiques touchent des objets connectés de la vie quotidienne. L’IoT, ce nouveau défi qui reprend les mêmes thèmes que la Mobilité, mais à la puissance 10, n’a pas encore droit de cité dans le domaine du médical « vital ».

A moins d’avoir été invité durant les trois derniers jours à un apéro-surprise au fond de la Caverne de Platon, nul n’a pu ignorer l’attaque Duqu 2.0 que subit l’éditeur d’antivirus Kaspersky. Une annonce sur le bulletin d’information de l’entreprise, une alerte du département de recherche accompagnée d’un article détaillé sur l’attaque elle-même ainsi que l’indicateur de compromission (se reporter à l’outil de Mendiant. Vous avez dit transparence ?

Peu importe de savoir qui attaque. Les moyens mis en œuvre ne sont pas ceux d’un amateur, d’un journaliste en mal de titraille ou d’un dangereux utilisateur de Google. C’est du lourd, c’est du violent, c’est du persistant qui aurait pu passer inaperçu. La génétique du code d’attaque, une variant évoluée de Duqu, laisse penser qu’il ne s’agit pas d’une vengeance gratuite d’un second couteau du cyber-mitan pétersbourgeois, mais bien d’un Etat-nation. Et face à la virulence de l’intrusion, la direction de Kaspersky a pris la décision, alors que l’invasion n’est pas totalement circonscrite, de le faire savoir à ses clients en particulier et au monde en général par voie de presse notamment, et plus particulièrement dans les colonnes de Forbes. « Nous sommes la cible d’un assaut sérieux, les données de nos clients sont a priori en sécurité, nous mettons tout en œuvre (et nous le prouvons) pour faire cesser cet état de fait » dit en substance Eugène Kaspersky.

Pendant ce temps, à Champignac…

Quelques semaines plus tôt, Maître Olivier Iteanu signait un billet déprimant sur le site de nos confrères Reflets.info, déplorant la réaction de la Cour de Cassation dans l’affaire du « piratage Google » dont est accusé notre confrère Olivier Laurelli, alias Bluetouff. Que reproche-t-on à notre confrère ?

D’être Français tout d’abord, donc plus facile à appréhender qu’un supplétif de la NSA ou du Diaochabu. Car se faire pirater par un Etat-Nation ne pourrait souffrir la moindre publication puisque révélant un certain niveau de légèreté dans l’administration de la SSI et surtout créer quelques frustrations au sein de la Direction Générale et de la DSI du groupe, puisqu’aucune riposte n’est alors possible. D’ailleurs, une attaque de type Duqu 2.0 aurait-elle été remarquée par des RSSI incapables d’appliquer des conseils niveau Owasp 1.0 et verrouiller les pages d’un serveur Web ? D’autres, en leur temps (remember Areva), n’ont pas fait mieux, avec pourtant bien plus de moyens techniques. Tandis que de tomber à bras raccourcis sur un internaute avec toute la virulence et la puissance financière d’un organisme d’Etat, c’est pouvoir prouver que la Vengeance de la Fonction Publique peut s’abattre à tout moment pour peu que ce ne soit pas trop fatiguant. A vaincre sans péril on se fait de la gloire à pas cher.

De n’avoir pas « hacké » un système, mais révélé des failles inquiétantes affectant les serveurs d’information d’une Agence Nationale. Or, la communication de crise, que ce soit à l’Anses ou dans toute autre organisation nationale ou opérateur d’importance vitale (OIV) doit nécessairement passer par l’Agence Nationale de Sécurité des Systèmes d’Information (Anssi). La transparence et la divulgation n’a lieu d’être que dans les salons feutrés et insonorisés de l’Hôtel des Invalides. Les invalides… tout un symbole.

Quant aux services de communication de telles administrations, ils appliquent l’adage « no comment is the best comment », quand bien même l’intrusion aurait été provoquée par une absence totale de lecture des recommandations Owasp de premier niveau. Qui donc sont ces gugusses qui révèlent au monde nos erreurs de béotien sans en avoir obtenu de notre part l’autorisation de parler ? Ce sont des journalistes. Liberté de la presse, mes… aurait dit Zazie qui aimait autant les rimes que le métro et les bloudjinnzes. Il n’y a donc qu’aux USA que les fichiers de 4 millions de fonctionnaires fuitent par tous les trous des bases de données, que les banques et assurances se font retourner comme gants de toilette, et que des sites tels que Dataloss.db inventent jour après jour des calembredaines tout justes bonnes à effrayer le public. Les failles et exploits tiennent un peu des nuages radioactifs, ils respectent les frontières.

Disons-le tout net, ce culte du secret, cet amour de l’amère omerta, ce sublime mépris pour une « France vacharde de veaux incapables de comprendre quoi que ce soit aux choses techniques » qu’affectent nos Grands Commis de l’Etat ne peut signifier que deux choses : soit l’absolu certitude de leur invincibilité numérique (sic), soit la honte des OIV et Administrations, conscientes de l’état de délabrement de leurs défenses. La quasi-certitude de celle-ci de ne pas résister à un audit sérieux (vous avez-dit pentesting intégral ?) sans tomber sur deux ou trois barbouzes Chinoises, Allemandes, Britanniques et Etats-Uniennes qui, entre deux récupérations de fichiers, doivent taper le carton via IRC histoire de passer le temps.

« La sécurité est un échec », se plaisait à répéter un ancien responsable sécurité d’un grand groupe Français. Il aurait pu ajouter « un échec provoqué en grande partie par les décisions stratégiques de ceux censés décider de la politique SSI à suivre ». Un problème qui ne semble pas franchement en passe d’être résolu.

« Il y a quelques années, explique MalwareTech, un de mes amis travaillait sur un PoC de malware résidant dans le Bios. J’ai pensé que c’était là une idée assez sympa. Une telle infection résisterait même au formatage du disque ». Afin de s’affranchir des contraintes d’espace et des difficultés d’injection liées aux bootkit Bios, l’auteur s’est donc attaqué aux disques durs. On trouve de tout dans un Winchester : un processeur ARM puissant, de la mémoire en quantité, des firmwares qui n’évoluent pas ou très peu d’un modèle à l’autre, et surtout un nombre de plus en plus restreint de constructeurs, donc de versions de microcodes. Ajoutons à cela que tout disque dispose d’un port Jtag qui facilite les premiers travaux de « reverse », qu’il n’a jamais existé, qu’il n’existe pas, qu’il n’existera jamais d’antivirus assez sérieux pour vérifier l’intégrité de la mémoire d’un périphérique. Luxe suprême, rappelons que ledit disque dur se trouve à un emplacement stratégique, puisque sa compromission donne accès au buffer de lecture, voie royale vers la mémoire du système.

En outre, précise MalwareTech, et contrairement aux virus Bios qui nécessitent soit de « patcher » lourdement, soit de changer totalement le firmware d’origine (avec un Bios Open Source par exemple, tel que le faisait Rakshasa ), il est possible de se limiter à quelques « hooks » judicieusement positionnés. Une telle approche est quasiment persistante ad vitam aeternam (les mesures prophylactiques telles que la mise à niveau des bios disque ne sont quasiment jamais mises en œuvre) et invisibles. Même les experts judiciaires et spécialistes de l’analyse forensique n’ont quasiment aucune chance (car généralement aucun moyen) pour vérifier ce genre d’intrusion. Cela va sans dire, l’injection n’exige pas d’accès ni au matériel, ni à la console.

Jouer avec le microcode d’un disque dur n’est pas franchement nouveau. Cette technique est utilisée depuis fort longtemps, notamment par les hackers de consoles de jeux, et se trouve mentionnée parmi les nombreux outils d’espionnage de la NSA mis à jour par les fichiers Snowden. Cependant, aucune de ces méthodes n’utilisait des vecteurs de propagation issus du monde des virus. MalwareTech n’a donc qu’amélioré quelque chose que l’on savait possible.

Faut-il désormais craindre une déferlante de bootkit « Western_Killer » et autres « SATAnvenger » ? C’est peu probable. Si la lecture de sa présentation donne quelques éléments sur la méthode utilisée, les détails sont encore tenus secrets pour d’évidentes raisons de sécurité. Cette occultation des détails techniques risque de durer encore un sacré bout de temps, car la durée de vie des disques durs dépasse parfois la dizaine d’années dans certaines entreprises et chez beaucoup de particuliers.
Mais si la déferlante est improbable, le « virus-disque » pourrait bien connaître un succès sans précédent dans le petit monde des attaques ciblées et des gadgets pour barbouzes. Et ce particulièrement en France, depuis que les agissements de ces « brillantes synthèses de l’esprit et du muscle » ont vu leurs activité totalement légalisées et entrées de plain-pied dans le droit commun.

Généralement, lorsqu’un gouvernement ou une coalition souhaite faire accepter l’inacceptable dans le but non avoué de mieux contrôler ses populations, il légalise la pratique en question. La loi sur le Renseignement en France en est un exemple, ce risque d’être le cas également d’une extension des textes des accords de Waassenaar créant une nouvelle catégorie d’armes à contingenter : les « cyber-flingues d’intrusion ».

Wassenaar, paisible bourgade des Pays Bas réputée pour son Zoo et le fait qu’il ne s’y passe pratiquement jamais rien fut, en 1996, le lieu où se rédigèrent les fameux « arrangements » portant le nom de la ville, et aux termes desquels les différentes puissances mondiales s’entendaient pour effectuer un contrôle des exportations d’armes. Ces arrangements reposent sur des listes d’outils destinés à détruire son prochain avec raffinement et efficacité, listes régulièrement mises à jour.

En d’autres termes et en simplifiant à l’extrême, les accords de Wassenaar ne servent qu’à légaliser une pratique illégale en droit commercial : l’entente illicite. Les principaux pays marchands de canons s’arrogeant le droit de décider qui a le droit d’acheter du matériel de guerre et qui a le droit d’en vendre ou d’en fabriquer.

Ce genre d’accord est assez pratique pour exercer des pressions sur la scène politique internationale. Il suffit d’inventer la présence d’armes de destruction massive, et la justification Wassenaar se met en branle. Mais lorsqu’un commerçant dûment patenté par l’accord en question souhaite traiter avec un Etat-Voyou, il lui suffit de trouver un intermédiaire, généralement une petite nation Africaine en mal d’équipement militaire, ou de transiter par quelque pays neutre qui se fera un plaisir, via des sociétés-écran, de vendre des centrifugeuses ou des mines anti-personnelles.

C’est très exactement ce qu’il risque d’arriver avec une proposition du Gouvernement US qui entend inscrire les « intrusion software » dans la catégorie des armes à contingenter. Avec quelques exceptions, certes, mais le terme de « logiciels d’intrusion » est tellement flou que pratiquement tout et n’importe quoi pourrait correspondre à cette catégorie. A ce titre, Sean Sullivan de F-Secure fait remarque que ce flou intègre les « outils de détection » tels que les antivirus, IPS, IDS et firewalls toutes générations confondues, et que l’exportation d’une licence d’A.V. pourrait bien se transformer en un enfer de paperasserie.

Trois catégories de cyber-armes sont ainsi règlementées. Les « malware d’intrusion », les « exploits d’intrusion » et les produits « de surveillance IP ». C’est étrange, mais l’on dirait presque que le rédacteur de ces recommandations pensait tout particulièrement aux inoubliables productions Françaises de la société Amesys (et des produits concurrents développés par d’autres grands groupes nationaux).

N’ayons crainte, Amesys pourra toujours vendre ses outils d’optimisation de réseau délivrant des billets gratuits pour les salles de torture Lybiennes ou assimilées. Seulement, les formulaires administratifs seront légèrement plus nombreux et les contrats un tout petit peu plus compliqués à rédiger. Gageons qu’une fois encore, de petits états Africains n’ayant pas les moyens de s’offrir des backbones IP sérieux auront besoin de systèmes de monitoring évolués. Après tout, il faut bien commencer sur des bases solides.

En revanche, la chanson risque de ne plus du tout être la même pour les éditeurs de logiciels et certaines entreprises du monde de la sécurité. Désormais, le bug et l’exploit subiront des contingentements… et par voie de conséquence cela pourrait bien occasionner un marché noir très juteux. Durant le mois écoulé, deux grands noms ont augmenté leurs « bug bounties ». Mozilla, qui achète un « trou avec PoC de première catégorie » aux environs de 7500 $ contre 3000 auparavant, et Microsoft, qui ajoute Azure et le projet Spartan à la liste logiciels-terrain-de-chasse-pour-bughunters. Les primes au trou, précise le communiqué du Response Team, peuvent atteindre 100 000 dollars, soit le montant de 250 à 500 véritables fusils d’assaut au marché noir. Si l’on ajoute à ces deux actualités le travail des multiples centrales d’achats d’exploits tel le Zero Day Initiative, HackerOne, Bugcrowd, Crowdcurity ou Synack, et que l’on complète la liste avec les noms des spécialistes du Pentesting tels que ImmunitySec (Canvas) ou Vupen, ex-entreprise Française basée désormais à Annapolis, l’on se rend vite compte que la proposition Wassenaar des USA pourrait bien avoir des conséquences formidables en termes de sécurité des TIC.

La première d’entre ces conséquences est la massification progressive des compétences sur le territoire US. Un pays, cela va sans dire, qui n’a pas besoin des autorisations Wassenaar pour produire ses propres armes à usage « interne » quand bien même « l’interne » concernerait l’Europe comme le prouvent les fichiers Snowden et les différentes opérations d’espionnage que la NSA a mené en France, en Allemagne et en Espagne notamment.

La seconde conséquence serait, comme déjà mentionné, la création d’un nouveau marché noir de l’exploit. Il en existe déjà plusieurs, qui alimentent soit le secteur purement mafieux des « rings » de Russie, de Chine, d’Amérique du Nord et du Sud, soit les hacktivistes de ces mêmes pays (au nombre desquels l’on doit ajouter quelques Nations du Moyen Orient), soit des mercenaires spécialistes de l’espionnage industriel…

Or, ces nouveaux marchés du cyberflingue « Wassenaar free » ne suivra pas les circuits traditionnels de la vente d’arme. Point d’intermédiaire Africain pour faire transiter une Kalachnikov binaire, nulle Aktiengesellschaft Helvétique pour s’assurer du transport d’une centrifugeuse de code virtuelle. Il suffit d’une liaison IP et d’un compte en banque numéroté. Et la première victime ne sera pas nécessairement la personne visée par la cyberarme en question, mais tous les usages de systèmes d’information, qui verront s’amenuiser encore plus le volume de correctifs et les capacités de détection et de défense des outils périmétriques. Le prix de vente d’un exploit à un militaire n’est pas le même que celui affiché au barème des bug-bounties.

Tout comme dans le domaine du Renseignement en France, l’encadrement juridique des outils de « cyber-attaque » ne vise certainement pas à limiter l’usage illégal ou agressif de ces outils, mais d’amoindrir l’autonomie et faciliter la surveillance de chaque citoyen, de chaque entreprise.

Peu d’informations filtrent à ce sujet, mais si l’on se réfère au programme de la prochaine BlackHat Conference, Jonathan « Endrazine » Brossard & Hormazd Billimoria effectueront une présentation sur un « nouveau vecteur d’attaque visant SMB v2 » (la couche réseau Microsoft), vecteur affectant toutes les versions de Windows, Spartan (le navigateur de Windows 10) y compris.

Quelque chose nous dit que le patch Tuesday du mois de juillet risque d’être assez fourni, comme c’est généralement le cas d’ailleurs chez tous les éditeurs de navigateurs.

Plus Windows prend de l’âge, plus le système devient consistant. Du moins pour ce qui concerne le sérieux et la régularité avec laquelle ses « bugs » sont créés, entretenus parfois d’une version à l’autre et, quelques fois, corrigés. Ce mois-ci, ce ne sont pas moins de 39 alertes CVE qui sont ainsi colmatées, dont 24 ne concernant qu’Internet Explorer. Et au nombre de ces 24 trous, CVE-2015-1743 qui a fait l’objet d’une publication et qui doit donc être considérée comme critique. Forcément, par le truchement des rustines cumulatives, tout ça ne fait que 13 bouchons logiciels, dont seulement trois jugés critiques (les deux autres concernant Media player, une seule alerte CVE, l’autre Office, trois CVE référencés). Il s’agit donc d’un mardi des rutines à classer dans la catégorie « poids lourds », et nécessitant un déploiement rapide au moins pour trois produits.