Archives

A l’occasion de l’inauguration des nouveaux locaux de l’Anssi, le Premier Ministre Jean-Marc Ayrault a décrit par le menu les dispositions techniques et stratégiques de cyberdéfense prônées par l’Agence et qui seront instaurées peu à peu par le gouvernement. Ce « plan cyberdéfense » bénéficiera d’une enveloppe de près d’un milliard d’Euros.

Ces déclarations n’apprennent strictement rien de nouveau qui n’ait été déjà annoncé par les dispositions de la Loi de Programmation Militaire : Les opérateurs d’importance vitale (OIV) se verront fixer des règles de sécurité précise, devront émettre des notifications d’incident, se soumettre à des contrôles (la question de « sondes Anssi » au sein d’infrastructures Scada critiques a déjà fait grand bruit dans le Landernau de la sécurité). Enfin, chaque OIV doit être à même de préparer les mesures à observer en cas de crise.

Côté Administration, rien de changé, ou presque. Le Premier Ministre a rappelé que les services de l’Etat devront choisir des produits de sécurité labellisés Anssi (aucune mention n’a directement été faite à propos des audits et des Passi, mais ils semblent sous-entendus) et les réseaux des S.I. de l’Administration seront systématiquement chiffrés. L’on était en droit de croire que la chose était faite depuis belle lurette, il n’en est rien manifestement.

Cet engouement pour le chiffrement n’est pas une nouveauté. Il est régulièrement redécouvert par les grands commis de l’Etat, génération après génération. Déjà, sous le dernier mandat du Président Chirac, divers Ministres avaient chanté les louanges d’un chiffrement généralisé, panacée contre les pirates… alors que quelques années plus tôt, la DCSSI, ancêtre de l’Anssi, rangeait cette pratique dans la catégorie des gadgets pour narcotrafiquants pédoterroristes et interdisait les clefs de grande longueur. Les gens honnêtes n’ont rien à cacher.

Le monde Post Snowden semble raviver cet amour pour le chiffre, à tel point que le Premier Ministre déclarait « J’ai souhaité aujourd’hui que les offres nationales de messagerie électronique soient chiffrées par leurs fournisseurs et que les messages soient traités par des infrastructures situées sur le territoire national. »

Cette question du chiffrement par les fournisseurs de services eux-mêmes avait déjà été posée, il y environ 2 ans, par les administrateurs de Hushmail. Lesquels ont clairement prévenu leurs usagers que, dans le cadre d’un compte de messagerie privé, rien ne remplacerait un chiffrement depuis le poste de travail, et que tout espoir de protection des contenus s’effaçait face à la commission rogatoire qu’un juge US invoquant le Patriot Act peut présenter à un administrateur système ou à un hébergeur. A l’heure où Google prétend ne traiter aucune donnée en France, et ainsi ne pas être soumis à la loi Informatique et Liberté, au moment même où Yahoo exporte son siège Européen en Irlande, officiellement pour des raisons d’optimisation fiscale, on peut se demander si la confidentialité des courriels de leurs clients est une véritable préoccupation, ou si ces feintes et esquives ne seraient pas plutôt un moyen pour ne pas se trouver dans une situation conflictuelle opposant droit du sang et droit du sol. D’un côté les exigences de transparence souhaitées par les services de renseignement US et Britanniques, de l’autre, les souhaits d’opacité des pays Européens.

Il est utile de se rappeler de cette petite phrase prononcée en juin 2011 par Gordon Frazer, l’un des patrons de Microsoft UK, et rappelant que, située aux USA, en Europe ou au fin fond de la savane Africaine, une donnée Microsoft est susceptible d’être communiquée aux autorités Etats-Uniennes sous simple prétexte de lutte contre le terrorisme. Hors, le terrorisme est une notion très élastique aux yeux du système d’écoute Prism.

Les messageries pour particuliers étant en grande majorité gérées par des entreprises d’Outre Atlantique, on se demande par quel miracle les services de chiffrement qu’elles pourraient proposer pourraient alors protéger les citoyens Français d’une surveillance systématique de leurs échanges par des « forces amies». Quant à conseiller l’usage du chiffrement local à tout utilisateur d’outils de communication numérique, de l’ordinateur à la tablette en passant par le téléphone intelligent, il y a encore beaucoup de travail de sensibilisation/formation à effectuer. Enfin, les services grand public n’ont aucune forme d’obligation quant à ce grand chantier chiffrement. Tout sera fait sur la base du volontariat et de l’initiative privée. Autrement dit, rien ne sera probablement fait.

Dans le secteur privé, le chiffrement de serveur à serveur n’est pas non plus une affaire facile à mettre en œuvre. La confiance dans les autorités de certification commerciales a fait long feu, ce qui obligerait à chaque DSI de gérer sa propre C.A., d’expliquer aux usagers comment utiliser ces fonctions (ajouts de plugins, vérification du fonctionnement sur un éventail de plusieurs clients de messagerie). Le tout sans faire abstraction de la charge de travail (et du coût) que cela impose côté administration : renouvellement des clefs expirées, gestion des passphrases, filtrage des emails « non chiffrés par inadvertance », prise en compte des listes de diffusion… bref, l’idée est séduisante, réalisable, mais il faudra du temps pour que chaque entreprise Française soit chiffrée de pied en cap. Il faudra probablement encore plus de temps pour que tous les usagers admettent qu’il ne s’agit là que d’une mesure de sécurité parmi tant d’autres, et qu’elle ne garantit pas à elle-seule l’absence de tout risque de fuite d’information.

Si le mot chiffrement est parvenu jusqu’à l’hôtel Matignon, d’autres termes se sont également frayés un chemin et ont été intégrés au discours officiel. Le Premier Ministre a notamment évoqué la nécessité d’une « autonomie stratégique dans le domaine du numérique, afin de ne pas dépendre de tiers pour héberger et traiter les données des entreprises et des citoyens européens ». Européen… cela signifie-t-il que le saupoudrage destiné à constituer des opérateurs « cloud nationaux » serait récupéré pour être reversé dans un pot commun auquel contribuerait l’Europe des 28 ? Que les infrastructures numériques proviendraient d’entreprises européennes capables de fournir des équipements « certifiables Anssi » comme à la haute époque du Plan Calcul ? Que les réseaux d’opérateurs de la C.E. seraient enfin affranchis de toute possibilité d’intervention du GCHQG ? Parfois, les promesses des politiques se heurtent aux décisions passées de ces mêmes politiques.

Le Mobile Telecommunications and Health Research Programme (MTHR) Britannique vient de publier un rapport d’une cinquantaine de pages résumant les conclusions de 31 projets de recherche s’étalant sur plus de 11 ans et ayant coûté environ 13,6 millions de livres sterling. Etudes portant essentiellement sur les risques de développement de cancers sur des sujets exposés aux rayonnements électromagnétiques situés entre 900 et 1800 MHz (GSM, DCS, Tetra), tous types de modulations confondus. Chapitre après chapitre, la même formule se répète : « no evidence ». Sur la puissance des rayonnements non chauffants, sur la détérioration à long termes des ions calcium dans les tissus nerveux, sur les perturbations du système sanguin, « no evidence ». En revanche, l’étude conclut à la nécessité de d’approfondir les études sur les éventuelles conséquences de ces rayonnements sur les fonctions cognitives et les troubles du sommeil, sur les effets possible dans l’organisme de jeunes enfants, sur les conséquences des expositions durant les périodes de gestation, sur les risques d’aggravement des maladies neurovégétatives et sur les conséquences d’un usage à hautes doses des services téléphoniques par les adolescents.

Le scoop est signé par les journalistes du Mail. Près de 27 000 identités bancaires de clients de la Barclays ont été dérobées, puis revendues à des traders peu scrupuleux de la « City » Londonienne. A 50 livres sterling l’identité, c’était une affaire en or compte tenu des informations livrées : nom, prénom, date de naissance, numéro de sécurité sociale, numéro de passeport adresse postale, numéro(s) de téléphone, métier, revenus, situation financière détaillée, résumé des principales activités et risques financiers, perspectives économiques des portefeuilles et, dans certains cas, bilan de santé et intérêts personnels. On imagine aisément les soupirs d’aise que n’importe quel service de police pousserait si des fichiers aussi détaillés et précis leur était offerts. Enfoncé, le fichier des gens honnêtes, dépassée, Edwige.

L’achat de données privées collectées par des « insiders » avait déjà fait l’objet d’un scandale touchant Bank of America il y a quelques années. Une affaire qui avait éclaté peu de temps avant le scandale des subprimes, et soulevait une question toujours demeurée sans réponse : comment faire embrasser un véritable culte de la sécurité des données à des employés souvent situés en bas de l’échelle des salaires.

NSA ? Connais pas ! A l’occasion de la visite du Président de la République aux Etats-Unis, le journal Le Monde survole les différents points qui, pour des raisons diplomatiques, ne seront pas abordés. Et au titres de ceux touchants les nouvelles technologies, la fiscalité des géants du Net (trois jours après l’annonce de Yahoo d’exporter son centre névralgique en Irlande), la protection des données privées alors que l’assujettissement au Patriot Act des fournisseurs de services US opérant en France, la conservation des données bancaires et de documents de voyage, la fourniture volontaire de fichiers aux forces de police et de renseignement US par les autorités Françaises fait débat. Quant à Prism et aux révélations Snowden, motus et bouche cousue. Cette attitude quant à la trop grande efficacité des services de renseignement n’est pas franchement surprenante. Le Premier des Etats-Uniens avait clairement déclaré qu’il n’avait pas à s’excuser de l’efficacité de ses services. En France, dans les rangs de la sécurité d’Etat, la position est toute aussi claire : si la possibilité est donnée , pourquoi ne pas en tirer parti. L’organe crée la fonction en quelques sortes.

NSA ? Connais plus ! Dans les colonnes de la BBC, l’éclairage semble légèrement plus nuancé. Non seulement le scandale Prism aurait été abordé, mais ces histoires seraient quasiment oubliées. « La confiance est rétablie » a déclaré en substance le Président François Hollande. Il faut continuer à chasser le terroriste coûte que coûte, l’important est de persister dans la même voie. L’on peut noter au passage que les journalistes d’Amérique du Nord n’ont pas oublié la visite d’une centaine de chefs d’entreprise Français à Téhéran, il y a environ une semaine, déplacement considéré par la diplomatie US comme « ne facilitant pas les choses ». L’importance de ce voyage d’agrément a été minimisée par le Président qui rappelait que les principaux embargos imposés à la République Islamique d’Iran étaient toujours respectés.

NSA ? Connais trop ! Alors que les Français semblent jeter un voile pudique sur les amours troubles qu’entretiennent diplomates et barbouzes, deux Sénateurs Républicains des Etats-Unis, Rand Paul et Matt Kibbe ont décidé de poursuivre en recours collectif (class action) leur propre Président. Le motif invoqué se résume en trois mots, écoute massive injustifiée. Les plaignants représentés sont les « clients, utilisateurs ou abonnés du service téléphonique sur le territoire US ». Pour peu, si l’on en juge par les réactions des politiques, l’on croirait presque que la NSA n’a visé que les citoyens des USA. Et ceux des autres pays ?

NSA ? On ne veut plus connaître ! Les autres, du moins ceux appartenant à la Communauté Européenne, ont un peu de mal à oublier et à considérer la confiance comme effectivement « restaurée ». L’Europe des 28 se fendille, et l’on pourrait, sur ce point, commencer à parler d’Europe des 27, celle qui serait débarrassé de la présence du GCHQ Britannique, allié trop objectif des USA. Et puis, tant qu’on y est, une Europe des 26, qui ne serait plus minée par les manœuvres troubles de la DGSE Française qui joue les «monsieur bons offices » auprès de la NSA dans le cadre du programme Lustre. Et pourquoi pas une Europe des 25, qui ne souffrirait plus du bienveillant aveuglement et des sentiments atlantistes exacerbés de la Pologne… ou de l’Europe des 24, des 23, des 22, puisque l’Allemagne, la Suède, les Pays-Bas se sont également fait prendre la main dans le sac à moustaches. La notion d’intelligence avec des puissances extérieures, cette terrible formule qui sent encore l’odeur des tribunaux d’exception et donne à toute démocratie le goût amer de la trahison, empoisonne la Maison Europe, déjà bien ébranlée par la crise économique actuelle. « Il faut que la Grande Bretagne, la France, l’Allemagne, la Suède, la Hollande, la Pologne clarifient les allégations de surveillance de masse dont elles sont accusées » intime un récent communiqué de presse du Parlement Européen. Il faut également que les participants des accords « 9 yeux » (GB, Danemark, France, Hollande) et « 14 yeux » (les mêmes, plus l’Allemagne, l’Italie, l’Espagne et la Suède) revoient leurs pratiques et politiques en matière de renseignement, afin que les instances parlementaires et judiciaires, ainsi que le public, puissent garder un œil –unique celui-là- sur l’activité de ces dits services.

NSA ? Plus jamais ! Ce cri du cœur du Parlement fait suite à une enquête qui s’est étalée sur plus d’un an, en réponse aux révélations d’Edward Snowden. Enquête dont les conclusions ont été rendues publiques. Le rapport technique de 52 pages brosse un paysage politique craquelé, dans lequel toute notion de confiance se délite. « Bien entendu, on peut sauter sur sa chaise comme un cabri en disant « l’Europe ! », « l’Europe ! », « l’Europe ! », mais cela n’aboutit à rien et cela ne signifie » dirait Mongénéral. En d’autres termes, le Parlement demande à chacun d’opter pour une position clairement définie. Soit d’épouser le camp d’une Europe unie, forte et indépendante, jouant d’égal à égal avec ses alliés et assez puissante pour à la fois se défendre de ses ennemis et se garder de ses amis, soit de faire sécession en s’assujettissant au bloc de l’Ouest, et de revenir à une géopolitique de bipolarisation opposant un camp Américano-Européen et un opposant guère défini issu des Brics, tantôt Chinois, tantôt Russe, tantôt Indien, tantôt Brésilien. Mais les protestations du Parlement Européen, dépourvu de tout moyen de pression réel, donc de tout pouvoir, a peu de chances de voir cesser le tango que la Grande Bretagne a entamé avec le « Grand Large » depuis les années 50 et les pas de valse-hésitation que la France, l’Allemagne et la Pologne esquissent avec les USA depuis les 10 dernières années.

Les fonctionnaires du GCHQ Britannique s’adonnent aux joies de l’attaque en déni de service en visant les serveurs d’autres amateurs d’attaques en déni de service : LulzSec, Anonymous, A-Team et autres forces armées Syriennes, nous apprend un nouveau document Snowden

Comment camoufler un répertoire en apparence homonyme dans une arborescence Windows , second épisode. A lire sur le blog Secureworks

Process Explorer : le Sans signale l’existence d’une nouvelle commande d’analyse temps réel par VirusTotal d’un programme en mémoire. Elle est accessible dans le menu déroulant principal de Process Explorer, l’analyseur de processus Windows de Sysinternals

Hackmageddon publie son désormais traditionnel bilan des attaques pour la première quinzaine du mois de janvier. L’une des plus remarquable est celle ayant visé les serveurs d’une centrale nucléaire japonaise et ayant causé la fuite de près de 42 000 emails. Ce cyber-blitz est fortement soupçonné d’avoir été piloté par un Etat-Nation. Du côté des attaques mafieuses et des vols d’identités par quantités industrielles, on peut citer les intrusions des systèmes du World Poker Tour (plus de 175 000 comptes), de Staysure (93 000 identités) ou OpenSuse (un peu moins de 80 000 victimes potentielles). Quelques coups d’éclats, notamment le hack du compte twitter de Microsoft par l’Armée Electronique Syrienne, ont quelque peu défrayé la chronique. La branche publicitaire de Yahoo a également subi les attaques d’intrus qui ont ainsi pu diffuser des vecteurs d’infection sur les pages Web recevant en moyenne plus de 300 000 visiteurs par heure. On estime le nombre de victimes indirectes à plus de 27 000.

Du côté de Sotchi, ou presque, ce remarquable « fuck the E.U. » si élégamment formulé par Victoria Nuland, Secrétaire d’Etat Adjointe des Etats Unis, lors d’une conversation téléphonique avec l’Ambassadeur US en Ukraine Geoffrey Pyatt. La conversation aurait été interceptée par les services d’écoute Russes. La « fuite », orchestrée de main de maître, donne au public l’image d’une Amérique jouant la carte du bipartisme poussé à son extrême, mettant en scène une politique étrangère US jouant aux échecs et discutant de la possibilité d’évincer Vitali Klitschko, qualifié « d’électron libre ingérable », au profit d’Arseniy Yatsenyuk, économiquement plus « réaliste ». L’Otan, bras armé des USA sur le territoire Européen, deviendrait, espère la Secrétaire d’Etat, le seul médiateur acceptable, évinçant du coup les velléités Européennes des partisans de Klitschko et le rôle de la diplomatie des 28.

Cette fuite d’information via Youtube indique surtout que les services de renseignement Russes semblent n’avoir aucun problème pour enregistrer les échanges diplomatiques qui sont, a priori, tenus sur des téléphones sécurisés. Elle montre également à quel point l’espionnage électronique et la guerre numérique peuvent avoir comme poids dans le jeu diplomatique international, et surtout que le Kremlin n’a rien perdu de son adresse pour jouer du billard à trois bandes, misant un adversaire contre l’autre dans le seul but d’avoir le dernier mot.

ABC News, puis Reuter rapportent la diffusion de cette importante note de sécurité : après la chasse aux bouteilles d’eau, aux coupe-ongles, aux gels hydratants, aux biberons de lait, aux couverts métalliques et aux chaussures de sport, il sera nécessaire de traquer les tubes de pâte dentifrice de tout voyageur tentant d’embarquer dans un aéronef, particulièrement depuis que les forces de police Russes redoutent un attentat durant les J.O. de Sotchi. La police est sur les dents, les terroristes peuvent se brosser. Tout cinéphile se souvient de la mémorable réplique de Pierre Richard dans Le grand Blond :« J’avais sorti mes chaussures pour qu’on me les cire et ils me les ont clouées. J’ai été obligé de rentrer à Paris avec une chaussure marron et une chaussure noire. Puis il y avait de la crème dentifrice dans ma pâte à raser et de la pâte à raser dans ma crème dentifrice… Et ça n’étonne personne ». Désormais, ça étonnera les employés au filtrage des aéroports. La semaine prochaine, le point sur les risques que représentent les boîtes de cirage et les porteurs de chaussure noire tentant d’emprunter les vols Aeroflot en direction de Sotchi.

Sotchi encore et toujours avec ce billet du très sérieux « daily » du Sans Institute, qui relate plusieurs attaques informatiques visant des particuliers durant leur séjour en Russie. Hack de machines lors d’une connexion sur un point d’accès d’hôtel, injection d’un malware sur un smartphone à peine passé les portiques de l’aéroport… la psychose des « Commie’s hackers » va bon train. Johannes B. Ullrich du Sans fait toutefois remarquer que le risque de se faire infecter à la terrasse d’un café Moscovite ou sur les banquettes d’un marchand d’eau teintée de Merrillville sont à peu près les mêmes.

Sotchi probablement, avec les vagues d’attaques en phishing et en drive by download qui surfent généralement sur la vague de la renommée. Photos exclusives de tel ou tel champion, prétendues attaques terroristes visant le village Olympique, vidéo en avant-première nécessitant l’ajout d’un plugin spécifique et autres emails frauduleux risquent fort d’encombrer nos boîtes de réception dans les jours à venir.

Sotchi toujours, avec cette alerte de l’US-Cert relayée par Network World , et qui rappelle les règles essentielles de sécurité. Au plus fort des révélations Snowden, la diplomatie US semble chercher désespérément une porte de sortie ou un moyen de focaliser l’attention du public sur d’autres boucs émissaires.