mars 15th, 2016

Il est de tradition, dans le monde de la sécurité, de mésestimer certaines méthodes d’attaques jugées trop faciles. Le déni de service, par exemple. Ou pis encore, le « user interaction », autrement dit la nécessité d’obtenir un « accès à la console » pour que le vecteur d’attaque puisse remplir ses fonctions. Le beau et le subtil ne s’entendent que via un accès distant.

Billevesées que tout ça, nous apprend le blog de l’éditeur d’A.V. Avira. Et de citer l’exemple de cet exécutable Germanophone se faisant passer pour une feuille Excel (malgré une extension Exe). Laquelle feuille porte le nom de « quittance de ticket gagnant » et s’accompagne d’un document au format TXT. « Cliquez sur l’icône du fichier, puis sur « Accepter » et « Exécuter ». Sous Windows 8 et 10, (ndlr : autrement dit lorsque l’antivirus intégré bloque le téléchargement du fichier) il est nécessaire d’activer le bouton « Plus d’information » puis « Téléchargez quand même » ». La procédure d’installation s’achève avec l’installation d’un somptueux certificat offrant des droits d’accès extraordinaires à son émetteur.

L’exploit (car il s’agit bel et bien d’un exploit au sens épique du terme) est de parvenir à convaincre la victime qu’il est de son devoir d’accepter absolument n’importe quoi. Cette attaque prouve au moins une chose, c’est que les « mitigation factor » invoqués par les éditeurs lors de leurs traditionnels mardi des rustines ne sont que sophismes. Un usager « non technique » peut très bien poser lui-même la tête sur le billot et attendre patiemment le tranchant de la hache, car il n’a en général aucune idée de ce qui constitue sa « tête » informatique, à quoi peut bien ressembler un « billot » numérique et de quelle manière la « hache » du malware pourrait bien le frapper.

Déposer quelques « amicus brief » pour soutenir Apple face au FBI, c’était bien. Mais offrir un outil équivalent à ses propres usagers, c’est mieux, viennent de réaliser subitement trois acteurs majeurs du monde Internet. Une prise de conscience brutale que nous révèle un article du Guardian, malgré les liens plutôt « resserrés » qu’entretiennent certains, notamment Google, tant avec la NSA que la CIA.

Le chiffrement, sur Whatsapp, n’est pas franchement une nouveauté. Fin 2014, les échanges épistolaires étaient garantis par Textsecure, décision d’autant plus surprenante qu’à l’époque, « nouvellement racheté » par Facebook, grand collecteur de données devant l’Eternel Numérique, Whatsapp risquait de venir grossir le flux de données et métadonnées convoitées par Mark Zuckerberg, un boulimique du genre. C’est également fin 2014 que Facebook s’offrait un accès en .onion. Savoureux paradoxe d’ailleurs que celui d’un réseau social cyber-exhibitionniste qui revêt les atours des sectateurs de l’anonymat intégral.

Ce mouvement en faveur d’un chiffrement des communications ne serait-elle pas essentiellement une posture marketing, dictée par l’actualité d’une part, et par la montée croissante de logiciels et réseaux concurrents d’autre part ? Et ce, particulièrement dans le domaine de la messagerie instantanée vocale. Tox.im, Bleep de Bitorrent, Silent Circle et plus récemment Wire, une « I.M. » chiffrée qui existe depuis 2013, fondée par un ancien de Skype, mais qui vient tout juste d’étendre le chiffrement aux échanges « voix ».

Le « global village » est-il en train de plonger dans un océan d’anonymat ? Rien n’est moins certain. Car si la transmission des données tend à recourir aux mécanismes d’embrouillage, camouflage et autres moyens assurant un certain niveau de confidentialité, le modèle « gratuit contre données personnelles » fonctionne toujours à plein régime. On peut ainsi légitimement se demander pourquoi Telegram, chiffré du sol au plafond, collecte le carnet d’adresses de ses abonnés, ou pour quelle raison autre que la dés-anonymisation la quasi-totalité de ces services de messagerie exigent une adresse email publique de référence (mesure que l’on peut certes contourner si l’on maîtrise certaines arcanes techniques).

La protection des contenus échangés, c’est un peu comme l’antivirus absolu, le firewall inviolable ou une protection contre les maladies prophylactiques : être sécurisé à 99%, c’est quand même être exposé. Etre plongé dans l’anonymat à 99%, c’est quand même être identifiable.