Séquence émotion dans la cité de Calvin, à l’ombre des banques et des horlogers qui vendent le temps au prix du platine en barre : la NSA aurait installé un centre d’écoute au cœur de la majorité des ambassades, Consulats, délégations commerciales et autres bâtiments Etats-Uniens situés en dehors des frontières de l’Etat Fédéral. Un autre Etat Fédéral (déjà pointé du doigt lors du scandale Echelon) commence à s’en offusquer. La Suisse, ou plus exactement le Canton de Genève et sa proche banlieue, héberge en son sein les oreilles de la NSA, accrochées sur le toit de la Mission permanente des Etats-Unis d’Amériques auprès de l’ONU‎, 11 route de Pregny. Des oreilles pointées sur les principales organisations internationales telles que l’OMS, l’UIT ou le siège des Nation Unies, à moins de 600 mètres de la « mission permanente ». Permanente à n’en pas douter, secrète et indiscrète tout autant. Ce centre d’espionnage du spectre électromagnétique ferait partie, révèlent nos confrères du Spiegel Allemand , d’un groupe de quelques 80 morceaux de territoire US répartis dans le monde sur un total de près de 1000 centres d’écoute. Le Spiegel fait d’ailleurs remarquer que le maillon Berlinois de ce réseau , à l’angle de la Behrenstrasse et de la Ebertstrasse, se trouve à un jet de pierre d’un autre angle, celui de la Ebertstrasse et de Scheidemannstrasse… autrement dit le Bundestag, siège du Gouvernement Allemand. La chose passe d’autant plus mal Outre Rhin que l’Ambassade US jouxte la Brandenburger Tor, un lieu symbolique à plus d’un titre. C’est en voyant défiler les troupes Napoléoniennes sur l’avenue Unterdenlinden que s’est cristallisé pour la première fois le sentiment d’identité nationale germanique, c’est au milieu de cet arc de triomphe Berlinois que passait le fameux Mur de Berlin.

La photographie prise par Google Street (un autre allié objectif des sémillants fonctionnaires de l’Agence) montre bien, sur le toit de l’Ambassade, la « verrue » de la salle des antennes. C’est une image très proche de celle-ci qui sert de « première de couv » au Spiegel de cette semaine, avec comme unique légende « Das Nest », le nid, d’espions bien entendu.

Abriter un centre d’écoute dans les locaux des ambassades et consulats (pièce généralement placée sous l’autorité d’un attaché militaire) est une tradition vieille comme la diplomatie. Avant même l’invention de la radio, les représentants des Etats à l’étranger ont su entretenir la flamme de l’espionnite aigüe et même glorifier les exploits de ces soldats de l’ombre, tel le Chevalier d’Eon*. Une ambassade sans matériel radio, c’est un peu comme un homme politique sans promesses électorales : ce ne peut exister. De même qu’il est impensable qu’une ambassade ne soit pas elle-même l’objet de toutes les attentions des espions du pays d’accueil. On se souvient des expériences catastrophiques que le KGB mena contre l’Ambassade des USA à Moscou dans les années 70, en bombardant le bâtiment de faisceaux hyperfréquences. Deux ambassadeurs en périrent dit-on. Puis ce fut au tour des faisceaux laser pointés sur les fenêtres, pour en capter l’effet microphonique et ainsi entendre ce qui se racontait dans les salons des plénipotentiaires. Du matériel d’espionnage dans et autour d’une ambassade, personne ne s’en étonne dans un roman de John le Carré. Pourquoi cela devrait-il être différent dans la vie quotidienne ?

Emois également chez les utilisateurs de Cloud et autres datacenters après l’article publié par le Washington Post et révélant une autre facette du programme Prism baptisé Muscular. Tout autant que les ambassades, la NSA contrôle, avec la participation active des services de renseignements Britanniques, les flux du Cloud Google et des services Yahoo. Une surveillance reposant sur des « bretelles » posées directement sur les fibres optiques reliant ces centres de traitement au reste du monde. Cette fois, on ne parle plus d’espionnage soumis à l’approbation d’un juge, mais bel et bien d’un pillage systématique des contenus à fins d’analyse. Ceci en vertu de l’Executive Order 12333, nettement plus permissif que le Foreign Intelligence Surveillance Act qui régit Prism.

Ce qui, du point de vue de la sécurité des systèmes d’information, pose un énorme problème. Car comment les gouvernements Européens ont-ils pu ignorer totalement ce genre d’agissements ? Comment, quand que les services de renseignement Français déclarent ouvertement travailler en collaboration avec les espions Américains ( ainsi en témoignent nos confrères du Monde), comment donc l’Anssi, a priori au courant de l’existence de ces accords, de ces infrastructures, de ces pratiques, n’a proféré que des conseils stériles, des « back to basic » purement techniques et structurels ? Le simple fait de révéler ne serait-ce qu’une partie de ces vérités aurait un peu mieux convaincu les RSSI de tomber amoureux des procédures de chiffrement les plus élaborées (et néanmoins Françaises).

A moins que personne, à l’Anssi, n’ait eu connaissance desdits agissements. Mais qui donc pourrait croire à l’existence d’une Agence de Sécurité qui ne serait au courant de rien ? La conclusion du syllogisme est hélas transparente : pour des raisons de simple diplomatie, il a été préférable, jusqu’à présent, de faire courir des risques à l’industrie Française, et, en parfaite connaissance de cause, de laisser signer des contrats de services incluant, par défaut, des options gratuites de backdooring, de captures de flux et d’écoute permanente.

*ndlc Note de la Correctrice : ah, ça, je connais. Livret de Sylvestre et Cain, musique de Rodolphe Berger, opérette en 4 actes de 1908. Un superbe aria « elle est tellement innocennnnnnnteuuuu » (https://archive.org/details/lechevalierdeono00berg)… Ce qui n’est pas le cas des barbouzes de la NSA

Guerric Poncet, du Point, signe un article de sensibilisation très orienté grand public et traitant de la facilité avec laquelle il est possible de récupérer des données stockées sur un terminal mobile. Il est parfois salutaire de faire peur pour inciter à l’usage des bonnes pratiques, surtout lorsque la « source » interviewée par le journaliste est un commissaire de la DCRI. Certes, rooter un iPhone ou casser un code PIN est à la portée de bien des hackers. Mais là où notre porteurs de postiche met les pieds dans le plat, c’est lorsqu’il affirme que ses services sont capables de lire une carte NFC à plus de 15 mètres.

Lire un NFC à une telle distance est certain, expérience confirmée par les recherches conduites à l’EPFL de Lausanne. Mais entre une preuve de faisabilité en labo et un hack «in vivo », il existe une certaine marge. Surtout si l’exploit est effectué en milieu urbain. Même si l’on ne peut douter de la compétence des services techniques de nos super-espions, le métro ou la rue sont avant tout des concentrations de NFC de natures très diverses, et la discrimination des signaux renvoyés (tout comme l’influence du mobilier métallique omniprésent) rend cette assertion fortement douteuse. Sans parler de la puissance du champ à générer, qui rend le passage à l’acte concrètement improbable.

Il est, en revanche, bien plus facile de lancer une attaque en déni de service contre les lecteurs de NFC eux-mêmes. Là, une simple source HF un peu puissante rend tout dialogue entre le lecteur et la carte pratiquement impossible. Et dans ce cas précis, on ne parle plus de 15 mètres, mais de distances pouvant se compter en centaines de mètres. Car si toutes les précautions peuvent être prises pour que le dialogue et le contenu des NFC soit protégé (chiffrement, vérifications protocolaires etc.), il est physiquement impossible de sécuriser la couche de transport. En outre, les protections ont été déployées en priorité sur les cartes, mais il semblerait que les lecteurs n’aient pas bénéficié du même niveau d’attention de la part de leurs concepteurs. Du moins pour ce qui concerne les quelques exemplaires qui sont passés entre les mains de l’équipe de CNIS Mag. Une série de portillons automatiques qui refuse de fonctionner, que ce soit dans le métro Parisien ou aux portiques d’un remonte-pente d’une riante station de sports d’hivers, c’est la garantie soit d’une émeute de clients mécontents, soit d’une ouverture des vannes dans les minutes qui suivent la panne provoquée. Parfois, l’efficacité se moque du binaire et des savantes opérations de reversing.

Elle serait presque passée inaperçue, cette petite note de la Cnil qui signale une modification de son « règlement relatif à la vie privée ». Oh, trois fois rien. Une géolocalisation de l’usager, transmission de tout ou partie des données collectées à de nouveaux organismes sous prétexte de lutte contre la fraude, et augmentation du champ de données communiquée à des organismes tels que Facebook. Les personnes n’approuvant pas ce changement de politique sont invitées à fermer leur compte.

Au grand bal de l’espionnage Industriel et d’Etat, tout le monde surveille tout le monde, mais tout le monde s’étonne d’être victime de cet état de fait. Lorsque nos confrères du Monde affirment que 35 « Leaders Internationaux » sont écoutés par la NSA se basant une fois de plus sur les révélations d’Edward Snowden, c’est la surprise générale. Seule Dilma Rousseff, Présidente du Brésil, semble être au courant depuis plus d’un mois. Les autres pataugent dans la stupéfaction, la hargne la rogne et la grogne. Ainsi Madame Merkel comme en témoigne le NYT. Les Français, pour leur part, exigent des explications (in Le Monde) en espérant qu’un service d’espionnage étranger tendra son rouge tablier et attendra avec patience la mercuriale de nos propres Maîtres Espions. Le Chef d’un service de renseignement en train d’expliquer à son homologue US les règles de l’étiquette en matière de barbouserie, voilà qui fait très Ancien Régime… et qui frise le ridicule.

De l’autre côté de notre beau Rhin Allemand, les réactions sont un peu plus pragmatiques : on veut, on exige, à l’instar de ce que revendiquait la Présidente du Brésil il n’y a pas deux semaines, un Saint Internet Teutonique, protégé des intrusions étrangères. Ou, pour le moins, un Internet sécurisé de l’Espace Schengen. Que voilà une subtile façon de dire les choses… Rappelons que l’Espace Schengen, défini par un accord plus économique que politique, n’intègre pas la Grande Bretagne, membre de l’alliance UKUSA qui unit les services de renseignement du Grand Large et d’Albion. Une façon très Prussienne de dire « restons entre Européens continentaux qui croient réellement à l’Europe ». Mais, sous l’effet de la colère, de la peur et de l’indignation, ne risquons-nous pas de voir instrumentalisé cette revendication cyber-isolationniste ? Un Internet Européen fermé, un Internet National ou Nationaliste, voir communautariste-Européen, n’est-ce pas à la fois l’antithèse d’Internet lui-même et la porte ouverte à une surveillance accrue des communications, à un recul des libertés individuelles, au nom même de cette nécessaire surveillance visant à bouter les NSAistes hors de nos frontières ?

Au grand bal de l’espionnage Industriel et d’Etat, nul ne se préoccupe, en revanche de ce que peut faire la main gauche de nos propres services de renseignement. Quand ces mêmes confrères du Monde expliquent, en pleine période estivale, que nos vaillantes synthèses de l’Esprit et du Muscle inspectent les corbeilles à papier (et un peu plus) de nos alliés objectifs, l’article tombe à plat. Il faudra attendre les révélations sur Prism pour que le grand public s’émeuve des activités d’espionnage. Mais uniquement de celles perpétrées par les agents des USA. Après tout, chez nous, ce sont « nos » espions, qui combattent pour que triomphe notre vision de la Civilisation. Vérité en-deçà de l’Atlantique, mensonge au-delà.

Au grand bal de l’espionnage Industriel et d’Etat, les concerts d’indignation, l’espionnage supposé des Chefs d’Etat a totalement occulté les débuts de l’Affaire Snowden. Notamment le fait que les serveurs des principaux prestataires de service Cloud utilisés en Europe sont « open bar » pour la NSA. Prism s’est dilué dans les scandales des bretelles téléphoniques Elyséennes et des interceptions de communications GSM côté Bundestag. Le petit et le grand commerce reprennent leurs droits, et les vendeurs de Cloud et réseaux sociaux d’Outre Atlantique, pourtant mouillés jusqu’au menton, entament à nouveau leurs campagnes marketing. En y ajoutant d’ailleurs, pour certains, un couplet « sécurité » et en vantant les mérites de nouveaux services gratuits de chiffrement soit des transmissions, soit des ressources. Le chiffrement chez et par l’hébergeur, qui donc peut être rassuré de cette manière ?

L’électrochoc n’a pas non plus suscité de réaction concrète à l’échelon Européen, si ce ne sont quelques textes et demandes d’explication. Pourtant, quelle meilleure riposte que de voir l’Europe allouer un budget Européen à un véritable projet de développement Cloud transnational ? Ce serait plus efficace qu’une série d’initiatives isolées (chaque initiative étant limitée au budget d’un seul état), plus efficace aussi qu’une commission d’enquête ou qu’une délégation chargée de demander des comptes à la No Such Agency.

Tout cela provoque un état schizophrénique, un dédoublement de personnalité collectif. Il existe désormais deux mondes bien distincts. Celui du business d’une part, qui, frappé d’une amnésie sélective (ou conscient du fait qu’il n’est hélas pas possible de « faire autrement ») accepte de renouer avec ses anciens contrats signé avec des entreprises situées dans le top ten Prism/Echelon, ses anciens plans de développement, en acceptant avec fatalisme ce risque d’espionnage. Et celui du citoyen d’autre part, qui s’indigne de l’emprise tentaculaire de la NSA, de ses intrusions dans les rouages de nos états. Mais uniquement après les heures de bureau.

Non, tout compte fait, il existe trois mondes bien distincts. Celui du travailleur en entreprise, celui du citoyen, et enfin celui de l’Internaute, qui, bien que prévenu de l’usage qu’il est fait des métadonnées, ne peut se passer de raconter sa vie sur Tweeter et Facebook, d’illustrer ses propos via Instagram. Dans l’urgence, la Commission Européenne, encore sous le choc Snowden, parvient à voter un texte visant à renforcer la protection des données collectées au sein de l’U.E.. Un texte probablement vain, car le nombre de clauses veillant à protéger l’indépendance des entreprises pourrait rendre caduques ces exigences de « demandes d’autorisation de transfert des données personnelles collectées ». Et quand bien même ces clauses n’existeraient pas qu’il y a de fortes chances pour que les usagers du Net n’y prêtent pas attention. Un pop-up de plus, un avertissement incompréhensible noyé dans un jargon juridique… tout ce qu’il faut pour entretenir l’état schizophrénique du cyber-citoyen.

Lorsque, au début du mois, Adobe avouait avoir été victime d’une intrusion et s’être fait dérober un nombre important de comptes d’accès clients, il n’était question « que » de 3 millions de victimes potentielles. Mais peu de temps après, anonnews.org publiait un fichier de plus de 150 millions d’identités numériques, dont une partie du contenu pourrait être recoupé avec la liste des clients Adobe. Après enquête, Brian Krebs estime qu’au final, ce sont plus de 38 millions de comptes actifs qui se sont donc retrouvés dans la nature. Chiffres confirmés par un porte-parole de l’éditeur.

Dans un cas, on parle de faille, dans les deux autres, le mot de « backdoor » est avancé. Le résultat final est strictement le même : les appareils mentionnés sont « rootables » à distance.

Chez Netgear, il s’agit de la gamme ReadyNAS équipés du firmware RAIDiator antérieur à la version 4.2.24. L’alerte a été lancée par Tripwire, et il semblerait (les NAS étant des périphériques souvent oubliés) que la grande majorité de ces systèmes soit encore vulnérable et risque de le demeurer encore un bout de temps. L’attaque utilise une vulnérabilité accessible depuis l’interface Web d’administration, un grand classique du genre.

Les trappes des routeurs Dlink et Tenda sont d’un tout autre calibre, et semblent faire partie d’une grande campagne de rechercher et de fuzzing conduite par l’équipe de /dev/ttyS0. Une phrase magique, xmlset_roodkcableoj28840ybtide, donne accès aux entrailles du routeur (lire la « phrase clef » à l’envers pour en apprécier l’humour de son auteur). Chez Tenda, constructeur Chinois, le mot de passe est « w302r_mfg ». Un paramètre donne le privilège root. Il semblerait que, dans les deux cas, il s’agisse de trappes réservées au debuging de l’appareil, routines qui n’auraient pas été éliminées du code une fois l’appareil mis sur le marché. Mais en ces périodes d’espionnite généralisée, un trou n’est plus un trou, une faille ou un oubli se transforme en usine à FUD….

Par mesure de prudence, il est conseillé de garder un œil sur le blog de /dev/ttyS0. Certains « month of xx bug » ont débuté de manière toute aussi innocente. En outre, les équipements de commutation et appliance sont en général hors du périmètre de contrôle des outils de protection couramment utilisés par les PME et artisans, et donc moins soumis à la pression des chasseurs de bug. Par voie de conséquence, on peut estimer que le nombre de failles exploitables y est légèrement supérieur à la moyenne de celles comptabilisées au cœur des systèmes d’exploitation ou des applications bureautiques, par exemple.

5 novembre 2013, Rendez-vous à l’Intercontinental Paris Avenue Marceau

« Big Data, Cloud & Virtualisation : quelle sécurité ? »

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Le Cloud est devenu central dans l’ouverture du S.I. Cela génère des flux de données de plus en plus importants et difficilement contrôlables, le tout reposant sur des infrastructures virtuelles pas toujours maîtrisées en termes de sécurité. Par ailleurs, l’entreprise elle-même génère de nombreuses données en interne comme en externe structurées ou non. Panorama des risques et menaces, conseils et solutions sur comment se protéger. Et également l’autre face du Big Data : comment utiliser le Big Data pour protéger son capital données ? Des experts de tout bord viendront décortiquer le sujet : consultants, avocats, acteurs, chercheurs, de la théorie à la pratique. Ils répondront à toutes les questions.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par les nouvelles menaces qu’encourent un SI ouvert … Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Panorama des menaces et risques pour le SI, Amaury COTHENET, expert du CERT Lexsi
• 9H20 – Point de vue d’un acteur, Bernard Montel, RSA
• 9H40 – Conseils, guide et expertise, Chadi Hantouche, Manager en risk management et sécurité de l’information chez Solucom
• 10H00 – Panel sur Big Data, Cloud & Virtualisation : quelle sécurité avec un avocat du cabinet Alain Bensoussan Avocats qui abordera la partie juridique ; retour terrain d’Hervé Schauer, PDG HSC consulting, Un expert pour des conseils et soulever de nouvelles problématiques, Edouard Jeanson, VP & Directeur Technique de l’activité Sécurité de Sogeti Groupe , Nicolas Ruff, Chercheur chez EADS Labs. & Sylvain Siou, Nutanix, Animé par un analyste, Bertrand Garé
• 10H45 – PAUSE Networking
• 11H00 – Expertise terrain et solution, point de vue de Gilles Maghami, Informatica
• 11H20 – Minute Juridique : Big Data & Cloud, Maîtres Raoul Fuentes du cabinet Iteanu et Garance Mathias du cabinet d’avocats Mathias répondent à toutes vos questions,
• 11H40 – Clôture de la conférence

Article de Thibaut Gadiolet et Vincent Hinderer sur l’évolution des mécanismes de contrôle des Botnet sur le blog du Lexsi. Une petite tranche d’oignon ne fera pas de tor à cette cuisine

Mon navigateur connaît tous mes secrets. Une analyse claire des indiscrétions des navigateurs par Sally Vandeven sur le quotidien du Sans

Dans les tripes P2P du toolkit Zeus, une étude du Cert Polonais à télécharger (en anglais). A la fois technique et très bien vulgarisé.