3 juillet 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Tirage au sort de l’été pour le dernier évènement avant la trêve estivale
(Lots : Tablettes sous IOS et Android)

Comment protéger le SI moderne (Mobilité, Tablettes, PDAs, réseaux sociaux …) ?

o

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

Toutes les entreprises sont concernées par la sécurité de leur Système d’Information, notamment depuis l’ouverture de ce dernier accentuée par un nomadisme qui se généralise. Et maintenant il faut également compter avec l’arrivée d’équipements mobiles de type Tablette ou smartphone dans le parc informatique ou encore l’utilisation de réseaux sociaux devenus quasi-indispensables pour la communication Entreprise. Comment sécuriser une entreprise sans périmètre ? Comment tenir compte dans sa politique sécurité du « BYOD », apportez votre propre équipement ? Comment sécuriser une tablette ou un smartphone utilisé dans un contexte professionnel ? Comment s’assurer qu’aucune donnée professionnelle ne sorte de façon intempestive du SI du fait de l’utilisation de média comme les réseaux sociaux ? Autant de questions autour de la sécurité que nombre de RSSI, DSI, personnel IT dans son ensemble mais aussi consultants, avocats ou même DRH se posent. Consultants et experts en sécurité (Lexsi), association dans la Sécurité (Clusif), organisme officiel (ANSSI), acteurs du secteur (Stonesoft, Sourcefire …) et avocats (Cabinets Iteanu et Caprioli & Associés) seront là pour vous dresser un tableau global de la situation, vous prodiguer des conseils et répondre à toutes vos questions. Il y aura une démonstration de hack en direct d’un ipad2 lors de cette matinée (attaque en brute force, récupération de mot de passe, mise en œuvre d’un tunnel SSH avec …)

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI moderne. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Etat des lieux des vulnérabilités et risques des SI Modernes par Jean-Marc Grémy, Vice-Président du Clusif,
• 9H20 –  Expert terrain, point de vue de Stonesoft
• 9H40 – Conseils, guide et expertise, par un expert de l’ANSSI
• 10H00 – Expert terrain, point de vue de Sourcefire
• 10H20 – Minute Juridique : les impacts juridiques du SI moderne, comment adhérer au BYOD, utilisation des réseaux sociaux, par Maître Olivier Itéanu
• 10H40 – PAUSE Networking
• 11H00 – Expert terrain, point de vue d’un acteur
• 11H20 – Hack en direct d’un Ipad2 : attaque en brute force d’un pincode entré par une personne du public, récupération du mot de passe et établissement d’un tunnel SSh avec l’Ipad par Lexsi
• 11H35 – Panel sur « Risques et Sécurisation des SI modernes» avec François Coupez, avocat du cabinet Caprioli & associés, Nicolas Ruff, Chercheur EADS qui donnera son point de vue sur les vulnérabilités potentielles des SI modernes, un expert terrain  nous fera profiter de son expérience; un acteur qui donnera ses conseils en la matière. Animé par un analyste ou un journaliste IT
• 12H20 – Tirage au sort de Tablettes (Ipad et Android) autour d’un verre de champagne
• 12H 40– Clôture de la conférence

« Promis-juré, cette fois, c’est pas nous » disent non officiellement les services secret US : Flame, le virus-espion répandu dans les pays du Golfe, est bien une cyberarme, mais ne porterait pas l’estampille « made in USA ». Bizarre, vous avez dit bizarre ? Comme c’est pourtant étrange, cette communauté d’inspiration d’écriture entre Flame et les précédents virus Stuxnet et Duqu. Le premier Cert à avoir réagi et proposé un outil de détection anti-flame est le Cert Iranien. Chat échaudé craint l’eau froide. Pourquoi un Cert ? Parce qu’aucun antivirus n’a pu, jusqu’à présent, détecter la présence de Flame. Pourtant, jusqu’à présent, ce sont les éditeurs d’antivirus, des civils donc, et des civils souvent étrangers au pays supposé d’origine de l’attaque, qui ont été les premiers à réagir lors des précédents Stuxnet et Duqu, les deux cyber-bombes officiellement reconnues comme telles. Des découvertes qui ont coûté cher aux cyberarmuriers qui espéraient bien conserver secrète leurs Techno-Durandal, et une absence de découverte qui pourrait bien coûter aussi cher aux éditeurs d’A.V.. Car Flame ne serait pas une rosière. Certains avancent que les composants de l’attaque pourraient bien avoir été détectés et ignorés durant plus de 5 ans. Un institut de recherche Hongrois affirme posséder une souche au moins depuis le début du mois de mai dernier, et lui donne le nom de sKyWIper, tout en publiant une étude de 64 pages sur le sujet. Chez F-Secure, Mikko Hyppönen bat sa coulpe et avoue « we were surprised to find that we already had samples of Flame, dating back to 2010 and 2011 »… Flame est officiellement demeuré au moins deux ans dans les tiroirs des chasseurs de vers, tueurs de troyens, traqueurs downloaders et d’autres horreurs binaires. Si encore il pouvait être arrivé à un éditeur de « passer à côté » de choses pareilles… mais plus d’une quarantaine d’industriels, de spécialistes, d’Über-gourous du code malicieux, de notables sorciers du code néfaste ? On peut comprendre qu’un virus très bien écrit puisse échapper aux regards de beaucoup. Mais de tous ? On ne peut s’empêcher de se rappeler les propos des patrons de Symantec à l’époque de la découverte publique des codes d’espionnages (flicware) des polices US « Magic Lantern » et « Carnivore » : « notre rôle de patriote nous obligera à ne rien révéler » disaient-ils en substance, estimant que le patriotisme américano-américain était un produit qui pouvait fort bien s’exporter en Europe comme les boîtes d’antivirus. La découverte tardive de Flame est-elle le résultat d’une omerta de certains chasseurs de codes malsains ? Dans tous les cas, l’affaire a des conséquences sur l’image de marque de la profession. Soit il y a eu collusion, soit il y a eu incompétence, soit il y a eu incapacité à communiquer.

Remember Thierry Zoller

Tout comme Stuxnet et Duqu, le désassemblage de Flame s’égrène par épisodes. Chaque chapitre comporte sa part de révélations, de suspens, de coups de théâtre. Les deux derniers en date portent l’estampille Microsoft. Flame montre carte blanche en exhibant un certificat Microsoft, lequel a, depuis, été révoqué. Des virus utilisant des certificats étrangers, c’était déjà le cas avec Stuxnet (voir article précédent). Mais là où la chose devient encore plus intéressante, c’est lorsque l’on s’aperçoit que Flame, par le truchement de deux modules baptisés « Gadget » et « Munch », parvient à monter un attaque Man in the Middle capable de détourner une machine tentant de se connecter à Microsoft Update. Tous les détails une fois de plus sous la plume d’Aleks, chercheur de l’équipe Kaspersky. Ce risque de détournement avait été évoqué il y a déjà plusieurs années par le chercheur Luxembourgeois Thierry Zoller. Ses recherches avaient notamment mis en évidence le manque de sécurisation des outils de mise à jour utilisés par quelques addwares assez intrusifs (Gator notamment), et il devenait alors légitime d’imaginer l’extension de cette méthode à des mécanismes plus perfectionnés et réputés inviolables. A commencer par le diffuseur de correctifs le plus connu au monde : Microsoft/Windows Update.

Si l’on en croit la démonstration des chercheurs de Kaspersky, Flame a donc profité de la journée portes ouvertes du « second mardi de chaque mois ». Ce mardi 8 mai, c’était pas ravioli…

Lorsque l’on rapproche cette information et le fait que l’on soupçonne l’existence de versions préhistoriques de Flame datant de plus de 2 ou 5 ans, et en admettant que les modules Gadget et Munch aient été parmi les premiers écrits, on peut donc en conclure que cette vulnérabilité « by design » du protocole Windows Update existe depuis autant de temps. Cette hypothèse semble logique, puisque les mécanismes de propagation d’un virus sont plus importants que la « charge utile » qu’il transporte et font partie des premiers codes écrits. La charge peut être changée, mais le moyen de voyager constitue la véritable marque génétique d’un vecteur d’infection. Services secrets de Technolombie 1, Microsoft 0, auteurs d’antivirus 0.

Much ado about nothing ?

Il serait inconséquent de tirer des conclusions à l’emporte-pièce à propos de Flame. Le code final est monstrueux (plus de 20 Mo disent les personnes l’ayant analysé), le secteur géographique de son emprise est limité, voire très ciblé, Flame ne représente que peu de danger pour les ordinateurs Européen, et il ne faut pas confondre les cris d’excitation bien compréhensibles des « reversers » en train d’autopsier ledit virus avec une alerte rouge carmin annonçant la fin du monde informatique. Mais on ne juge pas l’importance d’une arme aux nombres de victimes constatées sur un seul théâtre de conflit. Flame repose la question de la militarisation du code et de la protection des civils face à ce genre d’attaque. Flame fait s’interroger également sur le rôle de recherche que doivent assurer les Cert et les organismes de cyberdéfense gouvernementaux (Anssi notamment) en matière de détection, de lutte, d’information lors d’attaques de ce type. Le bruit que soulève Flame est en grande partie provoqué par des médias grand-public en quête de hits et de fréquentation. Il serait hâtif pourtant de jeter le réel danger que constitue Flame avec l’eau du bain de cette sur-médiatisation.

On nage en plein Van Vogt avec cet article de 5 pages publié dans le New York Times. Un papier haletant, écrit comme un roman d’espionnage, et qui décrit par le menu comment Stuxnet (nom de code « jeux olympiques) serait sorti des labos des services secrets US, et « perfectionné » par les ingénieurs du Mossad. Le virus n’a pas été répandu pour frapper la centrale de Natanz, il a été injecté à coups de clefs USB, affirme l’auteur de l’article, David Sanger. Et si une souche s’est répandue dans le monde, c’est en raison d’un bug probablement introduit par les Israéliens. Sans ce défaut, l’attaque aurait été confinée et serait demeurée inconnue du grand public. La propagation de Stuxnet aurait donc suivi le chemin « inverse » que celui suivi par les virus traditionnels : du site infecté vers le reste du monde.

Bien entendu, cet impressionnant travail journalistique ne repose que sur des sources d’information anonymes, mais confirme notamment l’hypothèse d’un développement conçu à partir des centrifugeuses Libyennes récupérées par les Américains (certains spécialistes du monde du renseignement avance l’hypothèse d’une intervention des services Britanniques dans cette phase de l’opération). Décidée et commandée par le gouvernement Obama, la création de Stuxnet serait toutefois l’œuvre de l’administration Bush.

On s’oriente donc petit à petit vers une « officialisation » de la militarisation de codes d’attaques, du moins du côté US. Ce qui, d’un point de vue stratégique, est assez cohérent avec cette volonté de la Maison Blanche de mettre au pas les entreprises nord-Américaines qui tentent de faire cavalier seul dans l’industrie de la barbouzerie : fabriquer, vendre ou utiliser des cyberarmes relève de la responsabilité de l’Etat et non d’intérêts privés ou d’entreprises jouant le rôle de cyber-affreux comme cela se passe dans d’autres pays.

Cette semi-officialisation de la paternité de Stuxnet soulève également d’autres questions, auxquelles il faudra bien un jour ou l’autre apporter des réponses. A tout hasard, celui de la « liberté de mouvement » des techno-barbouzes chargées de pondre le code agressif. L’on se rappelle notamment que l’une des caractéristiques de Stuxnet était d’arborer fièrement des certificats Verisign de Realtek et JMicron légitimes… certificats dérobés au cours d’un hack ayant frappé l’université de Taiwan. La préparation de l’attaque repose donc sur des méthodes de voyous, ce qui laisse donc planer un doute sur l’Etat ou les Etats suspectés être à l’origine de cette attaque : qu’il(s) ai(en)t pu autoriser des espions à « faire leur marché » au mépris des règles les plus élémentaires de respect des souverainetés nationales …

On connaissait le « Patch Tuesday » de Microsoft, il faudra désormais compter sur les « Mitigation Monday » et autres notes de service de la NSA. Il s’agit de documents à usage interne destinés à sensibiliser les employés de cette administration aux risques et règles d’usage des TIC. Cryptome vient de mettre à disposition du public les plus récentes versions de ces documents utiles à tous, et qui mériteraient une traduction Française. Le premier s’intitule « Conseils de configuration de sécurité pour les appareils Apple sous noyau IOS 5 ». Tout chef d’orchestre informatique battu par les flots du Byod devrait imprimer et diffuser ladite notice…. Et on garde le logo de la NSA en frontispice du document, ça fait plus sérieux.

Le second Mitigation Monday date de juin 2009 mais s’avère toujours d’actualité. Il s’agit d’un recueil de conseils destinés à prévenir les risques d’attaques en « drive by download », conseils précédés d’un scénario d’attaque expliquant les risques qu’un surf mal tempéré peut occasionner. Aucun terme franchement technique, des mesures de bon sens et un « tour du monde des précautions à prendre » en 9 points rédigés de manière très claire, avec mise en exergue des bénéfices et des coûts (pas nécessairement financiers, mais également en termes de ressources) de chaque recette sécurité. L’Anssi devrait pouvoir demander un droit de reproduction, les bons conseils n’ont pas de frontières.

Le troisième document est plus spécifique, plus vertical, puisqu’il aborde la publication « propre » des fichiers PDF à l’aide d’Acrobat Pro X. Le document est court, et se limite en gros à conseiller la désactivation de Javascript et surtout de nettoyer le document original avant « pédéhefisation ». Ce sont souvent dans les détails cachés que se provoquent les fuites les plus mémorables.

Il a les yeux de son père Stuxnet, et le sourire de sa mère Duqu. Révélé par un communiqué commun Kaspersky-ITU, Flame serait aussi destructeur qu’Attila, Tamerlan et Gengis Kahn réunis. Il aurait notamment frappé un peu moins de 300 fois au sein d’organisations et grandes entreprises situées dans un croissant moyen-oriental constitué de l’Iran, d’Israël, du Soudan, de la Syrie, du Liban, de l’Arabie Saoudite et de l’Egypte. Moins de 300 infections à risque ? A ce rythme-là, le reboot intempestif d’un ordinateur portable va provoquer des avalanches de communiqués émis par les vendeurs de firewall et d’antivirus… qu’a donc Flame qui justifie une couverture médiatique inversement proportionnelle à l’étendue de sa force de frappe ? Comment se fait-il également que le seul qui soit actuellement en train de crier « au loup » soit un éditeur d’antivirus Russe ?

Flame, explique Aleks au fil d’une foire aux questions très pédagogique, est un voleur d’information, capable même de saisir les conversations passant à portée de micro d’ordinateur. Ce n’est pas un outil en quête de numéros de carte de crédit ou un vulgaire « identity harvester », pas plus qu’il ne cherche à chiffrer des données en obligeant sa victime à acquérir à prix d’or une clef de récupération. Ce n’est donc pas un code d’origine mafieuse.

Il n’est nulle part inscrit « Gardarem lou Larzac » ou « Les Poldèves vaincront ! » dans un repli caché de son code, et il s’est répandu aussi bien en Lybie qu’en Israël ou en Iran… ce n’est donc pas un virus « hacktiviste ». S’il n’est pas mafieux, s’il n’est pas politique, alors, il n’est pas-t-à-qu’est-ce ? Et les gourous de Kaspersky de conclure : il n’existe qu’une seule réponse possible : c’est là un virus militaire, une infection née des techniques de « weaponisation » visant spécifiquement non seulement des pays du moyen orient, mais également des formes d’information qui ne peuvent intéresser que des armées constituées.

Il faut admettre que dans le genre « inspecteur Colombo », Flame est un modèle. Sa perquisition informatique vaut bien une attaque Nmap en règle, explique par le détail et en code dans le texte Sergei Shevchenko dans le blog « Stratsec » de BAE System. C’est là, de loin, l’une des analyses les plus intéressantes qui se soient publiées à ce jour. On y découvre tout ce que Flame tente de bruteforcer , les logiciels de sécurité qu’il muselle, les téléphones mobiles qu’il recense, les logiciels bureautiques et de communication employés. Flame sent la patte d’un habitué des perquisitions « forensiques » : il pue le virus-flic à plein nez. Et c’est ce qui fait son charme médiatique.

Bien entendu, Flame n’a rien de l’attaque apocalyptique que certains de nos éminents confrères ont bien voulu décrire. C’est là un Spyware propre, limite classique, et assez mal écrit ou trop largement diffusé pour qu’il puisse passer en dessous de la couverture radar des outils de détection. En cela, Flame est un échec cuisant, surtout comparé au vecteur d’attaque qui a su vivre 4 ans durant dans les machines d’un Areva par exemple. Or, « bon » virus militaire ou de barbouze est un virus discret. Reste que son fameux 32.ocx a des chances de se retrouver, moyennant quelques modifications, dans les entrailles de l’un de ses successeurs.

Admirons au passage l’habileté de certains de nos confrères qui, se rendant compte qu’un virus avec 300 « hits » a peu de chance d’émouvoir un RSSI ou un lecteur de journal Web, titrent tapageusement « Flame n’est pas un danger pour l’industrie ». Le mot Danger dans un titre, ça fait toujours vendre. Ou ces éditeurs de logiciels de déploiement de correctifs qui affirment que leurs clients ne risquent rien puisque leur bibliothèque de mise à jour a depuis belle lurette comblé la ou les failles servant de tremplin à Flame, en titrant leur communiqué « Exclusif, la vérité sur Flame expliquée par le Docteur X, du labo de MachinTech ».
Il fut une époque où la moindre alerte lancée par un éditeur aurait provoqué une multitude d’échos amplificateurs. Aujourd’hui, il faut au moins le hurlement d’une meute de loups pour que le public s’émeuve. Alors, Haro sur Kaspersky ? Certainement pas. Malgré une légère sur-médiatisation (il faut bien que vivent les Dir Com), les analyses de Flame confirment cette tendance à la militarisation des codes de cyberattaque, à l’amélioration du ciblage géographique desdites attaques, et à l’allègement considérable des tentatives de diffusion (le nombre d’infections recensées étant relativement faible).

Au revoir, Howard Schmidt, bonjour Michael Daniel nous apprend le Washington Post. Le CyberTzar de la sécurité nommé par le Président Obama était considéré comme l’une des « cinquantes personnes les plus influentes de l’administration fédérale ». Son premier travail a été principalement de recentrer les efforts de dépense des multiples services d’Etat s’occupant des menaces technologiques : DHS, FBI, CIA, NSA, Secret Services etc. C’est sous son « règne » que les efforts de constitution d’un cyber-corps ont été unifiés. Il a également fortement contribué à développer une politique nationale visant à certifier les identités dans le cyberespace, initiative soutenue et supportée par le monde du web marchand et critiquée par les défenseurs des libertés individuelles.

Après une carrière militaire et quelques années dans la police, cet homme de terrain (un Cissp /Cism) est entré dans le gouvernement Bush pour siéger au Critical Infrastructure Protection Board. Fin 2001, il est promu conseiller spécial de la Maison Blanche, expert des questions liées à la sécurité d’Internet. Il a surtout été l’un des premiers CyberTzar capable de commencer à faire « bouger » les choses en matière de sécurité, malgré le manque de moyen et surtout de liberté d’action politique dont ont été victimes tous ses prédécesseurs.

Ce changement de nomination survient à un moment où la psychose de la cyberguerre et du cyberterrorisme commence à être plus importante que la peur du terroriste jihadiste auprès des foyers américains, si l’on en croit une récente étude du cabinet Lieberman. Ces « craintes populaires », que l’on considère d’un air blasé dans la vieille Europe, revêtent une très grande importance Outre Atlantique. Depuis le début du Maccarthysme, les gouvernements successifs et quelques médias ont entretenu le mythe de « l’ennemi de l’Amérique » résumé en une idée simple. Une crainte qui servait de ciment à l’unité nationale. Il faudra attendre les évènements du 11 septembre pour que l’exutoire communiste soit remplacé par un autre type d’adversité… la guerre contre la terreur. Sentiment d’adversité qui s’est fortement atténué, après les conséquences des guerres d’Afghanistan et d’Irak et la propagation du Printemps Arabe. Après donc le communisme, le terrorisme, voici le technoterrorisme, qui pourrait faire de Michael Daniel l’un des nouveaux hommes forts de l’Administration fédérale.

EMC World, Las Vegas Sans surprise, l’édition 2012 d’EMC World (plus de 13 000 participants attendus) est placée sous le signe du Cloud et du Big Data. Une orientation déjà annoncée l’an passé, mais qui se traduit aujourd’hui avec une multitude d’annonces concrètes, et le lancement immédiat ou prévu dans un proche avenir de 42 nouveaux produits.

L’évolution du monde du stockage grâce à une architecture Cloud désormais indispensable et même prédominante pousse vers la notion de « Data Scientist ». Un nouveau concept qui découle naturellement d’un monde centré sur la donnée selon Joe Tucci, Chairman, Président et CEO d’EMC. Il donnera d’ailleurs lieu à deux jours dédiés baptisés « Data Science Summit » directement à la suite d’EMC world. Cette manifestation se fait sous la houlette de Greenplum, spécialiste du Big Data et de bases de données, une société rachetée par EMC. Structurée ou non, voire à moitié, la prise en compte de toutes les données dans le Big Data permettra d’imaginer une nouvelle manière d’envisager le business grâce à de nouvelles applications telles de la Sécurité Dynamique ou de l’analyse prédictive, des applications « poussées », entre autres, par EMC grâce à ses différents rachats.

Extension de la Série VMAX

Parmi les annonces importantes, il est à noter l’arrivée de nouveaux modèles dans la famille VMAX. Les VMAX 40K, 20K et 10K. Ces nouvelles armoires de stockage participent activement dans la stratégie Cloud Hybride d’EMC car elles sont spécifiquement conçues pour faciliter l’intégration des environnements de stockage hétérogènes des entreprises en un unique pool de ressources. Le modèle 40K est le haut de gamme tant en termes de performance (multipliée par 3 par rapport à la concurrence selon le constructeur avec 52 Gb/s de bande passante) que de capacité (multipliée par 2 toujours selon la même source) et d’évolution. Haute disponibilité oblige, ses éléments de base sont redondants (Symmetrix Director adapté à ce modèle, les interfaces au Virtual Matrix Interconnect …). Globalement un 40 K supporte jusqu’à 32 processeurs 2,8 GHz Intel Xeon 6-core et côté système, on peut aller jusqu’à interconnecter 8 « 40K » ensemble, alors que chacun supporte 2 To de mémoire cache pour une bande passante de 400 Gb/s. Alors que le modèle 40K a jusqu’à 4 Po (avec des disques 3,5’’ et 3,2 Po avec du 2,5’’), le 20K n’est qu’à 2 alors que le 10K s’arrête à 1,5 Po avec respectivement 3200, 2400 et 1080 disques maximum. En bref, 33% de disques en plus pour 33% d’espace en moins d’utilisé et 27% de puissance en plus alors que le poids est allégé de 35% selon EMC. Notons l’apparition de nouveaux 2,5’’ eMLC (Multi-Level Cell) EFD (Enterprise Flash drive) face aux SLC déjà sur le marché depuis 2008. Cela correspondrait à une économie de 20% en termes de $/Go. Seul le TCO (coût d’usage) évolue ici car les performances restent les mêmes.

Sur le plan logiciel et plus particulièrement côté sécurité, le FTS, Federated Tiered Storage permet de contrôler l’intégrité des données et ce, même si la marque de l’armoire n’est pas EMC. La famille VMAX profite également de la fonction FAST (Fully Automated Storage Tiering, façon de hiérarchiser le stockage des données) appliqué à la réplication de données ainsi que de l’intégration de Recoverpoint (existence de plusieurs points de restauration et ce, en continu). La gamme de logiciels SRDF (Symmetrix Remote Data Facility, réplication de stockage à distance dans le cadre de la reprise ou la continuité d’activité) s’applique également aux matériels non EMC. FAST VP (Virtual Pool) est aussi disponible, versions pour mainframes (System z et IBM i) y comprises tout comme les VMAX et les VPLEX sont supportés par Unisphere et que bientôt on aura ProSphere, de la gestion de stockage cloud (pour surveiller et analyser les niveaux de service de stockage d’une infrastructure virtuelle) valable pour toutes les gammes EMC dont la VMAX.

EMC World, Las Vegas Ce n’est, pour l’heure qu’une manière comme une autre d’acheter une technologie, mais une technologie importante : EMC absorbe Syncplicity.

La société est quasiment inconnue en Europe. Son métier : le développement de programmes de gestion de partage de fichiers et de synchronisation des ressources situées dans un Cloud. Un concurrent au SkyDrive de Microsoft en quelques sortes, mais à l’échelle de ce que peut exiger une entreprise. Autrement dit une usine à synchroniser reposant sur des gestions de droit, des politiques précises de modification hiérarchisées etc. L’air est nouveau mais la chanson est ancienne, puisque la question est apparue lorsque sont nés les premiers outils de travail de groupe, que l’on appelait à une époque des « workflow » et des « groupwares ». Beaucoup s’y sont cassés les dents, beaucoup ont construit des usines à gaz. Il aura fallu quelques décennies de tâtonnements chez Microsoft autour du serveur MS-Mail, puis Exchange, par exemple, pour aboutir à la conception, la naissance puis la cloudification de Sharepoint, techniquement situé aux antipodes des recherches initiales. L’entreprise qui détiendra l’outil de synchronisation des documents bureautiques le moins propriétaire, le plus lié aux annuaires d’entreprises, et surtout le plus simple à administrer (les problèmes de fuites d’informations ne sont pas triviaux) deviendra le seigneur des hôtes de ces bois virtuels. Le rachat de Syncplicity n’est donc pas une « petite » acquisition. C’est un mouvement stratégique qui devrait être suivi d’autres initiatives, probablement d’autres tentatives de « croissance externe » de la part d’EMC.

Lorsque le moteur de recherche Google renvoie plus de 77 000 réponses à la requête « Amesys torture », c’est qu’il se passe quelque chose de nouveau depuis la plainte déposée l’an passé par la Fédération Internationale des Droits de l’Homme. En effet, une enquête vient d’être ouverte par un bureau du Tribunal de Grande Instance de Paris spécialisé dans les crimes de guerre, crimes contre l’humanité et génocides. L’enquête en question serait diligentée par le juge Céline Hildenbrandt.

L’affaire Amesys, c’est avant tout le travail de deux médias, de trois journalistes : Owni, et notre confrère Jean Marc Manach, auteur du livre « Au pays de Candy », ainsi que de MM Antoine Champagne et Olivier Laurelli, de Reflets.info. C’est également la conséquence de l’attitude très ambigüe du gouvernement Sarkozy avec les gouvernements musclés d’Afrique du Nord. Entre les « conseils et soutiens logistiques » proposés au gouvernement Tunisien en pleine révolution et la volonté de considérer les outils de flicage télécom comme de simples « logiciels commerciaux en vente libre dans le civil », on ne peut pas franchement dire qu’il y ait eu un grand souci éthique en matière de relations internationales. Et c’est précisément cette ambigüité, cette volonté de ne pas trop se compromettre d’un point de vue politique qui a provoqué l’affaire Amesys.

Des décisions schizophréniques

Le fond du problème est de savoir si le catalogue Amesys (et plus particulièrement son logiciel de surveillance multi médias au sens originel du terme) est ou non assimilable à une arme ou un instrument militaire ou policier. Si oui, la vente d’une telle « solution » met directement en cause la responsabilité du gouvernement en place à l’époque, car le commerce d’armes répond à des règles bien précises et à des choix politiques affichés. On ne vend pas un sous-marin ou un missile comme un kilo de carottes et un système de surveillance Eagle comme un traitement de texte. Si Eagle n’appartient pas à cette catégorie d’outils contingentés à l’export (ce qui a toujours été l’argument principal avancé tant par le gouvernement de l’époque que par la direction de Bull), c’est la seule responsabilité des dirigeants d’Amesys qui est alors engagée. Responsabilité évidente, car même si la direction de l’entreprise filiale de Bull à l’époque ne savait rien des pratiques du gouvernement Kadhafi (était-ce possible ?), personne en revanche ne pouvait ignorer tout ce dont était capable le programme et les outils associés vendus dans ce contrat. A priori, un développeur sais ce qu’il écrit, un intégrateur sait ce qu’il assemble et en connait les limites technologiques. De l’écoute téléphonique au flicage d’internet, en passant par la surveillance des communications radio, Eagle pouvait tout savoir, tout surveiller, et les arguments publicitaires d’Amesys ne cessaient de l’affirmer. Comment alors s’étonner du « détournement imprévu d’un outil conçu pour lutter contre les cyberpédophiles » ?

L’enquête du juge Hildenbrandt va donc soulever deux questions. La première est celle de la responsabilité d’Amesys. Et plus particulièrement de ses dirigeants et de son chef suprême à l’époque, Philippe Vannier, actuellement à la tête de Bull. La seconde question est celle de l’absence de loi encadrant la vente et l’usage de tels outils (ce qui revient à se poser la question de la véritable responsabilité de Vannier et du coupable désintérêt des Ministres en place). Car comment expliquer ce constant souci de légiférer, sept ans durant, tout ce qui touche aux nouvelles technologies et à leurs dérives d’usage (lopsi, LCEN, loppsi, Hadopi etc.) et accepter l’ignorance touchant les activités d’une Amesys ? Il y a là un hiatus. Hiatus compréhensible pourtant, car en l’absence d’encadrement légal, point n’est besoin d’autoriser ou d’interdire. Dans ces conditions, les responsabilités ne dépassent pas le stade « industriel » et les Ministres conservent leur maroquin. Maroquin qu’un écart Tunisien avait fait perdre à Michèle Alliot-Marie lors de l’affaire des grenades lacrymogènes nous rappellent nos confrères de l’Express. Une grenade, c’est un arme, et en vendre à un dictateur n’est pas très sain pour un Ministre qui souhaite conserver son siège, alors évitons d’assimiler un logiciel de flicage à une arme… la diplomatie, le commerce extérieur et les lambris du Quai d’Orsay n’en souffriront pas.

Certes, il n’est pas du ressort du juge Hildenbrandt de proposer un texte de loi. Cela relève de la responsabilité du gouvernement actuel, et plus particulièrement des Ministères de l’Industrie, de l’Intérieur, des Affaires Etrangères… et de notre nouvelle ministre déléguée des PME, de l’Innovation et de l’Économie numérique. Avec les conséquences que l’on imagine, car il faudra bien également statuer sur la nature des outils numériques et les conditions d’usage des équipements des services de police Français et Européens. Il ne pourra y avoir de « gentils outils anti-pédophiles » d’un côté et de « méchantes applications que l’on ne vend pas aux dictateurs » de l’autre. La responsabilité de vendre à un pays tiers ou d’équiper les services régaliens avec de tels équipements de surveillance doit relever du politique, lequel aura des comptes à rendre en cas de dérive. Tout comme Michèle Alliot-Marie a été sacrifiée sur l’autel des larmes en conserve, les futurs Ministres des TIC ou des Affaires Etrangères pourront sauter pour avoir accepté tel ou tel contrat d’Etat dont les dérives d’usage étaient prévisibles. Les Etats-Unis ont entamé une démarche en ce sens, peut-on imaginer que le mouvement soit suivi par le Parlement Européen et par nos députés ?

Tout a une fin, même les campagnes politiques poussant le culte de la peur et de l’omniprésence terroriste, puisque, si l’on en croit une récente étude réalisée par le cabinet Lieberman commanditée par Unisys, le citoyen Américain craint plus les Anonymous, les cyber-attaques et le « big one » numérique que les poseurs de bombe barbus. Peut-être est-ce là un premier effet de la crise économique qui frappe les pays occidentaux, et qui recentre les préoccupations autour des intérêts et risques financiers de chacun.

74% des citoyens US veulent voir se développer une meilleure protection des infrastructures informatiques fédérales, 73% estiment qu’il faut faire des efforts pour sécuriser les réseaux d’alimentation en énergie : un syndrome Die hard national en quelques sortes bien que la probabilité d’une attaque Scada portant sur tout un pays soit techniquement hautement improbable. En revanche l’intérêt pour la chasse au terrorisme et l’importance du DHS (département de la défense intérieure), qui fut tant à la mode ces 10 dernières années, tout cela n’éveille l’attention « que » de 68 % de la population.

Précisons que l’étude Unisys a été effectuée non pas auprès de responsables d’entreprise ou de spécialistes sécurité, mais en interrogeant une population d’un millier de foyers sans critère particulier.

Cette étude, qui ne mesure en aucun cas le niveau d’une cyber-menace réelle, montre à quel point il est simple de créer des psychoses d’envergure nationale sans avoir à avancer la moindre parcelle de preuve. Elle met également en évidence un étonnant non-sens qui semble avoir pris racine aux USA : la croyance qu’il est possible de combattre une technique. Les « années Bush » ont inventé la « guerre au terrorisme », les années Obama sont passées à la « guerre contre la cyber-guerre ». Cette cristallisation des angoisses non pas contre une entité, une nation, un danger identifiable, mais contre un concept polymorphe et imprécis donne à quelques lobbyistes les coudées franches pour écouler des stocks de caméras de flicage (ou de vidéo protection selon le radicalisme idéologique du moment), des outils de surveillance d’Internet, des lois sur la suppression du secret de la correspondance lorsque celle-ci devient numérique et ainsi de suite. Las, l’étude d’Unisys n’établit pas de courbes mettant en regard la montée des cyber-angoisses et les prévisions de vente des spécialistes de la cybersurveillance, pourtant critiqués par ailleurs dans le milieu de la presse économique