Archives

Le Président du Parquet Fédéral – chargé des affaires d’espionnage, de terrorisme et de haute trahison- a décidé d’abandonner les charges dans l’affaire des écoutes téléphoniques dont aurait été victime la Chancelière Angela Merkel en 2013. Les preuves, avancées par les documents Snowden, ne constitueraient pas de preuves suffisantes.

L’affaire avait fait grand bruit à l’époque, d’autant plus que les échanges téléphoniques de « Mutti » auraient été également enregistrés par les Russes, les Chinois mais également par les Britanniques.

Il faut dire que l’Allemagne, qui ferait partie au même titre que la France des extensions oculaires des services US, ne pourrait ouvertement accuser un allié qu’elle aiderait par ailleurs (depuis la seconde moitié des années 40 ?). D’autant plus qu’une enquête administrative publique pourrait soulever encore un peu plus la boue qui recouvre les pratiques barbouzesques du BND, et notamment son implication dans d’autres affaires visant des pays voisins, dont la France apprenait-on début mai dernier. D’ailleurs, la France, dans un formidable élan de mansuétude ne promettait-elle pas, à peine l’affaire rendue publique, un pardon inconditionnel ? Des fois qu’une protestation un tant soit peu énergique fasse découvrir aux reporters du Spiegel ou du Frankfurter Allgemeine Zeitung la présence de micros Français dans les bureaux de grands patrons ou hauts fonctionnaires d’Outre Rhin.

Ces « petits espionnages entre amis », loin de refroidir les relations entre pays alliés, semblent renforcer l’amitié indéfectible qui unit les clans du « bloc de l’Ouest ».

Et lorsque les espions portent d’autres uniformes que ceux des 9 Eyes ou 14 Eyes de la NSA* ? Et bien ça tourne au cauchemar. Perclus de spywares, rootkits, chevaux de Troie et autres cyber-agents dormants, les ordinateurs du Bundestag seraient bons à jeter à la poubelle. Même le BSI baisse les bras et recommande de « changer tout, du sol au plafond » nous apprend The Local.de. Le hack a été reporté par les chaines Nord et West Deutscher Rundfunk, ainsi que par les médias nationaux Der Spiegel et Süddeutsche Zeitung. Le Gouvernement Fédéral ne dit mot… histoire de ne pas se mettre mal avec Vladimir Putine ou Xi Jinping, ouvertement dénoncés par tout ce qui porte une carte de presse entre les comptoirs de la Ligue Hanséatique jusqu’aux fins-fonds des tavernes Bavaroises.

Le véritable « far west » Internet que dénoncent chaque jour les politiques est une réalité… et les coupables désignés (cyberpédophiles, technojihadistes, mafieux des TIC) ne sont pas franchement les plus dangereux ni les plus agressifs … Mais on ne tape jamais sur un collègue de bureau, pas vrai ? Allez, encore un effort et une nouvelle loi anti-pirates pour faire oublier ces aspects peu ragoûtants de la cuisine diplomatique.

NdlC Note de la Correctrice : Les mathématiques n’ont jamais été le fort de cette rédaction manifestement. Car si l’on compte tous les membres constituant le Centrixs-Isaf, cela fait 41 yeux. S’ils continuent à se surveiller mutuellement, ça doit certainement tourner au « full time job ». C’est les Chinois et les Russes qui vont apprécier : tant qu’ils se chamaillent, ils ne pensent pas à autre chose.

Ce n’est pas la première fois que Billy « BK » Rios nous parle de hack d’appareils et appareillages médicaux. Cette fois, il s’est lancé dans une vaste opération de fuzzing sur une série de pompes (en langage vulgaire, systèmes de contrôle de « goutte à goutte ») de la série PCA3, PCA5, PlumA PCA Lifecare et Symbiq. Un petit hack, et le patient trépasse par overdose de morphine ou autre médication.

Rios dénonce le fait que, de génération en génération, le firmware de ces équipements n’évolue pas et conserve les mêmes erreurs de débutant : session telnet sans authentification, mots de passe par défaut inscrits en « dur » dans la mémoire de l’appareil, clefs privées communes à différents équipements, logiciels totalement dépassés et comptant plus d’une centaine de bugs connus et exploitables.

Les constructeurs et opérateurs hospitaliers rétorquent que ces exploits ne peuvent être injectés qu’en utilisant l’interface série nécessaire pour établir un dialogue entre la pompe et le système de configuration, et que ladite interface n’est jamais laissée en permanence sur l’appareil. On en revient à la notion d’analyse de risque et de pondération de dangerosité liée à un éventuel « accès console » ou non.

Indiscutablement, les recherches de Billy Rios sont spectaculaires, et ne peuvent que jouer sur le pathos des lecteurs. Hack radio des pacemakers, intrusion dans les pompes à insuline, exploitation des réseaux hospitaliers par les liens Wifi, vol d’information des fichiers au format Dicom… tout a été fantasmé, ou presque. Mais cela ne doit pas faire oublier que de telles attaques ne peuvent être que « ciblées » et ne concernent qu’une seule victime potentielle à la fois, et non un « groupe de patients au hasard dans le monde ». En outre, ces « preuves de faisabilité » exigent très souvent une immédiate proximité avec le patient. Si, dans la littérature, le « témoin gênant » est toujours assassiné par un faux infirmier chargé d’injecter une rasade de strychnine dans sa « perf », la réalité est bien différente, fort heureusement. Les hack de Rios relèvent plus du mauvais polar que de l’alerte réelle.

Cependant, ce travail met une fois de plus en évidence le manque total d’expérience en matière de sécurité informatique de la part des intégrateurs. Le risque est un peu plus élevé lorsque ces mauvaises pratiques touchent des objets connectés de la vie quotidienne. L’IoT, ce nouveau défi qui reprend les mêmes thèmes que la Mobilité, mais à la puissance 10, n’a pas encore droit de cité dans le domaine du médical « vital ».

A moins d’avoir été invité durant les trois derniers jours à un apéro-surprise au fond de la Caverne de Platon, nul n’a pu ignorer l’attaque Duqu 2.0 que subit l’éditeur d’antivirus Kaspersky. Une annonce sur le bulletin d’information de l’entreprise, une alerte du département de recherche accompagnée d’un article détaillé sur l’attaque elle-même ainsi que l’indicateur de compromission (se reporter à l’outil de Mendiant. Vous avez dit transparence ?

Peu importe de savoir qui attaque. Les moyens mis en œuvre ne sont pas ceux d’un amateur, d’un journaliste en mal de titraille ou d’un dangereux utilisateur de Google. C’est du lourd, c’est du violent, c’est du persistant qui aurait pu passer inaperçu. La génétique du code d’attaque, une variant évoluée de Duqu, laisse penser qu’il ne s’agit pas d’une vengeance gratuite d’un second couteau du cyber-mitan pétersbourgeois, mais bien d’un Etat-nation. Et face à la virulence de l’intrusion, la direction de Kaspersky a pris la décision, alors que l’invasion n’est pas totalement circonscrite, de le faire savoir à ses clients en particulier et au monde en général par voie de presse notamment, et plus particulièrement dans les colonnes de Forbes. « Nous sommes la cible d’un assaut sérieux, les données de nos clients sont a priori en sécurité, nous mettons tout en œuvre (et nous le prouvons) pour faire cesser cet état de fait » dit en substance Eugène Kaspersky.

Pendant ce temps, à Champignac…

Quelques semaines plus tôt, Maître Olivier Iteanu signait un billet déprimant sur le site de nos confrères Reflets.info, déplorant la réaction de la Cour de Cassation dans l’affaire du « piratage Google » dont est accusé notre confrère Olivier Laurelli, alias Bluetouff. Que reproche-t-on à notre confrère ?

D’être Français tout d’abord, donc plus facile à appréhender qu’un supplétif de la NSA ou du Diaochabu. Car se faire pirater par un Etat-Nation ne pourrait souffrir la moindre publication puisque révélant un certain niveau de légèreté dans l’administration de la SSI et surtout créer quelques frustrations au sein de la Direction Générale et de la DSI du groupe, puisqu’aucune riposte n’est alors possible. D’ailleurs, une attaque de type Duqu 2.0 aurait-elle été remarquée par des RSSI incapables d’appliquer des conseils niveau Owasp 1.0 et verrouiller les pages d’un serveur Web ? D’autres, en leur temps (remember Areva), n’ont pas fait mieux, avec pourtant bien plus de moyens techniques. Tandis que de tomber à bras raccourcis sur un internaute avec toute la virulence et la puissance financière d’un organisme d’Etat, c’est pouvoir prouver que la Vengeance de la Fonction Publique peut s’abattre à tout moment pour peu que ce ne soit pas trop fatiguant. A vaincre sans péril on se fait de la gloire à pas cher.

De n’avoir pas « hacké » un système, mais révélé des failles inquiétantes affectant les serveurs d’information d’une Agence Nationale. Or, la communication de crise, que ce soit à l’Anses ou dans toute autre organisation nationale ou opérateur d’importance vitale (OIV) doit nécessairement passer par l’Agence Nationale de Sécurité des Systèmes d’Information (Anssi). La transparence et la divulgation n’a lieu d’être que dans les salons feutrés et insonorisés de l’Hôtel des Invalides. Les invalides… tout un symbole.

Quant aux services de communication de telles administrations, ils appliquent l’adage « no comment is the best comment », quand bien même l’intrusion aurait été provoquée par une absence totale de lecture des recommandations Owasp de premier niveau. Qui donc sont ces gugusses qui révèlent au monde nos erreurs de béotien sans en avoir obtenu de notre part l’autorisation de parler ? Ce sont des journalistes. Liberté de la presse, mes… aurait dit Zazie qui aimait autant les rimes que le métro et les bloudjinnzes. Il n’y a donc qu’aux USA que les fichiers de 4 millions de fonctionnaires fuitent par tous les trous des bases de données, que les banques et assurances se font retourner comme gants de toilette, et que des sites tels que Dataloss.db inventent jour après jour des calembredaines tout justes bonnes à effrayer le public. Les failles et exploits tiennent un peu des nuages radioactifs, ils respectent les frontières.

Disons-le tout net, ce culte du secret, cet amour de l’amère omerta, ce sublime mépris pour une « France vacharde de veaux incapables de comprendre quoi que ce soit aux choses techniques » qu’affectent nos Grands Commis de l’Etat ne peut signifier que deux choses : soit l’absolu certitude de leur invincibilité numérique (sic), soit la honte des OIV et Administrations, conscientes de l’état de délabrement de leurs défenses. La quasi-certitude de celle-ci de ne pas résister à un audit sérieux (vous avez-dit pentesting intégral ?) sans tomber sur deux ou trois barbouzes Chinoises, Allemandes, Britanniques et Etats-Uniennes qui, entre deux récupérations de fichiers, doivent taper le carton via IRC histoire de passer le temps.

« La sécurité est un échec », se plaisait à répéter un ancien responsable sécurité d’un grand groupe Français. Il aurait pu ajouter « un échec provoqué en grande partie par les décisions stratégiques de ceux censés décider de la politique SSI à suivre ». Un problème qui ne semble pas franchement en passe d’être résolu.

« Il y a quelques années, explique MalwareTech, un de mes amis travaillait sur un PoC de malware résidant dans le Bios. J’ai pensé que c’était là une idée assez sympa. Une telle infection résisterait même au formatage du disque ». Afin de s’affranchir des contraintes d’espace et des difficultés d’injection liées aux bootkit Bios, l’auteur s’est donc attaqué aux disques durs. On trouve de tout dans un Winchester : un processeur ARM puissant, de la mémoire en quantité, des firmwares qui n’évoluent pas ou très peu d’un modèle à l’autre, et surtout un nombre de plus en plus restreint de constructeurs, donc de versions de microcodes. Ajoutons à cela que tout disque dispose d’un port Jtag qui facilite les premiers travaux de « reverse », qu’il n’a jamais existé, qu’il n’existe pas, qu’il n’existera jamais d’antivirus assez sérieux pour vérifier l’intégrité de la mémoire d’un périphérique. Luxe suprême, rappelons que ledit disque dur se trouve à un emplacement stratégique, puisque sa compromission donne accès au buffer de lecture, voie royale vers la mémoire du système.

En outre, précise MalwareTech, et contrairement aux virus Bios qui nécessitent soit de « patcher » lourdement, soit de changer totalement le firmware d’origine (avec un Bios Open Source par exemple, tel que le faisait Rakshasa ), il est possible de se limiter à quelques « hooks » judicieusement positionnés. Une telle approche est quasiment persistante ad vitam aeternam (les mesures prophylactiques telles que la mise à niveau des bios disque ne sont quasiment jamais mises en œuvre) et invisibles. Même les experts judiciaires et spécialistes de l’analyse forensique n’ont quasiment aucune chance (car généralement aucun moyen) pour vérifier ce genre d’intrusion. Cela va sans dire, l’injection n’exige pas d’accès ni au matériel, ni à la console.

Jouer avec le microcode d’un disque dur n’est pas franchement nouveau. Cette technique est utilisée depuis fort longtemps, notamment par les hackers de consoles de jeux, et se trouve mentionnée parmi les nombreux outils d’espionnage de la NSA mis à jour par les fichiers Snowden. Cependant, aucune de ces méthodes n’utilisait des vecteurs de propagation issus du monde des virus. MalwareTech n’a donc qu’amélioré quelque chose que l’on savait possible.

Faut-il désormais craindre une déferlante de bootkit « Western_Killer » et autres « SATAnvenger » ? C’est peu probable. Si la lecture de sa présentation donne quelques éléments sur la méthode utilisée, les détails sont encore tenus secrets pour d’évidentes raisons de sécurité. Cette occultation des détails techniques risque de durer encore un sacré bout de temps, car la durée de vie des disques durs dépasse parfois la dizaine d’années dans certaines entreprises et chez beaucoup de particuliers.
Mais si la déferlante est improbable, le « virus-disque » pourrait bien connaître un succès sans précédent dans le petit monde des attaques ciblées et des gadgets pour barbouzes. Et ce particulièrement en France, depuis que les agissements de ces « brillantes synthèses de l’esprit et du muscle » ont vu leurs activité totalement légalisées et entrées de plain-pied dans le droit commun.

Généralement, lorsqu’un gouvernement ou une coalition souhaite faire accepter l’inacceptable dans le but non avoué de mieux contrôler ses populations, il légalise la pratique en question. La loi sur le Renseignement en France en est un exemple, ce risque d’être le cas également d’une extension des textes des accords de Waassenaar créant une nouvelle catégorie d’armes à contingenter : les « cyber-flingues d’intrusion ».

Wassenaar, paisible bourgade des Pays Bas réputée pour son Zoo et le fait qu’il ne s’y passe pratiquement jamais rien fut, en 1996, le lieu où se rédigèrent les fameux « arrangements » portant le nom de la ville, et aux termes desquels les différentes puissances mondiales s’entendaient pour effectuer un contrôle des exportations d’armes. Ces arrangements reposent sur des listes d’outils destinés à détruire son prochain avec raffinement et efficacité, listes régulièrement mises à jour.

En d’autres termes et en simplifiant à l’extrême, les accords de Wassenaar ne servent qu’à légaliser une pratique illégale en droit commercial : l’entente illicite. Les principaux pays marchands de canons s’arrogeant le droit de décider qui a le droit d’acheter du matériel de guerre et qui a le droit d’en vendre ou d’en fabriquer.

Ce genre d’accord est assez pratique pour exercer des pressions sur la scène politique internationale. Il suffit d’inventer la présence d’armes de destruction massive, et la justification Wassenaar se met en branle. Mais lorsqu’un commerçant dûment patenté par l’accord en question souhaite traiter avec un Etat-Voyou, il lui suffit de trouver un intermédiaire, généralement une petite nation Africaine en mal d’équipement militaire, ou de transiter par quelque pays neutre qui se fera un plaisir, via des sociétés-écran, de vendre des centrifugeuses ou des mines anti-personnelles.

C’est très exactement ce qu’il risque d’arriver avec une proposition du Gouvernement US qui entend inscrire les « intrusion software » dans la catégorie des armes à contingenter. Avec quelques exceptions, certes, mais le terme de « logiciels d’intrusion » est tellement flou que pratiquement tout et n’importe quoi pourrait correspondre à cette catégorie. A ce titre, Sean Sullivan de F-Secure fait remarque que ce flou intègre les « outils de détection » tels que les antivirus, IPS, IDS et firewalls toutes générations confondues, et que l’exportation d’une licence d’A.V. pourrait bien se transformer en un enfer de paperasserie.

Trois catégories de cyber-armes sont ainsi règlementées. Les « malware d’intrusion », les « exploits d’intrusion » et les produits « de surveillance IP ». C’est étrange, mais l’on dirait presque que le rédacteur de ces recommandations pensait tout particulièrement aux inoubliables productions Françaises de la société Amesys (et des produits concurrents développés par d’autres grands groupes nationaux).

N’ayons crainte, Amesys pourra toujours vendre ses outils d’optimisation de réseau délivrant des billets gratuits pour les salles de torture Lybiennes ou assimilées. Seulement, les formulaires administratifs seront légèrement plus nombreux et les contrats un tout petit peu plus compliqués à rédiger. Gageons qu’une fois encore, de petits états Africains n’ayant pas les moyens de s’offrir des backbones IP sérieux auront besoin de systèmes de monitoring évolués. Après tout, il faut bien commencer sur des bases solides.

En revanche, la chanson risque de ne plus du tout être la même pour les éditeurs de logiciels et certaines entreprises du monde de la sécurité. Désormais, le bug et l’exploit subiront des contingentements… et par voie de conséquence cela pourrait bien occasionner un marché noir très juteux. Durant le mois écoulé, deux grands noms ont augmenté leurs « bug bounties ». Mozilla, qui achète un « trou avec PoC de première catégorie » aux environs de 7500 $ contre 3000 auparavant, et Microsoft, qui ajoute Azure et le projet Spartan à la liste logiciels-terrain-de-chasse-pour-bughunters. Les primes au trou, précise le communiqué du Response Team, peuvent atteindre 100 000 dollars, soit le montant de 250 à 500 véritables fusils d’assaut au marché noir. Si l’on ajoute à ces deux actualités le travail des multiples centrales d’achats d’exploits tel le Zero Day Initiative, HackerOne, Bugcrowd, Crowdcurity ou Synack, et que l’on complète la liste avec les noms des spécialistes du Pentesting tels que ImmunitySec (Canvas) ou Vupen, ex-entreprise Française basée désormais à Annapolis, l’on se rend vite compte que la proposition Wassenaar des USA pourrait bien avoir des conséquences formidables en termes de sécurité des TIC.

La première d’entre ces conséquences est la massification progressive des compétences sur le territoire US. Un pays, cela va sans dire, qui n’a pas besoin des autorisations Wassenaar pour produire ses propres armes à usage « interne » quand bien même « l’interne » concernerait l’Europe comme le prouvent les fichiers Snowden et les différentes opérations d’espionnage que la NSA a mené en France, en Allemagne et en Espagne notamment.

La seconde conséquence serait, comme déjà mentionné, la création d’un nouveau marché noir de l’exploit. Il en existe déjà plusieurs, qui alimentent soit le secteur purement mafieux des « rings » de Russie, de Chine, d’Amérique du Nord et du Sud, soit les hacktivistes de ces mêmes pays (au nombre desquels l’on doit ajouter quelques Nations du Moyen Orient), soit des mercenaires spécialistes de l’espionnage industriel…

Or, ces nouveaux marchés du cyberflingue « Wassenaar free » ne suivra pas les circuits traditionnels de la vente d’arme. Point d’intermédiaire Africain pour faire transiter une Kalachnikov binaire, nulle Aktiengesellschaft Helvétique pour s’assurer du transport d’une centrifugeuse de code virtuelle. Il suffit d’une liaison IP et d’un compte en banque numéroté. Et la première victime ne sera pas nécessairement la personne visée par la cyberarme en question, mais tous les usages de systèmes d’information, qui verront s’amenuiser encore plus le volume de correctifs et les capacités de détection et de défense des outils périmétriques. Le prix de vente d’un exploit à un militaire n’est pas le même que celui affiché au barème des bug-bounties.

Tout comme dans le domaine du Renseignement en France, l’encadrement juridique des outils de « cyber-attaque » ne vise certainement pas à limiter l’usage illégal ou agressif de ces outils, mais d’amoindrir l’autonomie et faciliter la surveillance de chaque citoyen, de chaque entreprise.

Peu d’informations filtrent à ce sujet, mais si l’on se réfère au programme de la prochaine BlackHat Conference, Jonathan « Endrazine » Brossard & Hormazd Billimoria effectueront une présentation sur un « nouveau vecteur d’attaque visant SMB v2 » (la couche réseau Microsoft), vecteur affectant toutes les versions de Windows, Spartan (le navigateur de Windows 10) y compris.

Quelque chose nous dit que le patch Tuesday du mois de juillet risque d’être assez fourni, comme c’est généralement le cas d’ailleurs chez tous les éditeurs de navigateurs.

Plus Windows prend de l’âge, plus le système devient consistant. Du moins pour ce qui concerne le sérieux et la régularité avec laquelle ses « bugs » sont créés, entretenus parfois d’une version à l’autre et, quelques fois, corrigés. Ce mois-ci, ce ne sont pas moins de 39 alertes CVE qui sont ainsi colmatées, dont 24 ne concernant qu’Internet Explorer. Et au nombre de ces 24 trous, CVE-2015-1743 qui a fait l’objet d’une publication et qui doit donc être considérée comme critique. Forcément, par le truchement des rustines cumulatives, tout ça ne fait que 13 bouchons logiciels, dont seulement trois jugés critiques (les deux autres concernant Media player, une seule alerte CVE, l’autre Office, trois CVE référencés). Il s’agit donc d’un mardi des rutines à classer dans la catégorie « poids lourds », et nécessitant un déploiement rapide au moins pour trois produits.

Deux ans déjà, mais les choses changent de manière perceptible, estimait Snowden dans une lettre ouverte publiée au début de ce mois dans les colonnes du N.Y. Times. Les choses changent, en effet. Si, Outre Atlantique, la NSA essuie quelques revers et se fait remettre à sa place, en Europe en revanche (et en France en particulier), les révélations du lanceur d’alerte ont eu un effet contraire. Jamais, en temps de paix, au cours de l’histoire de notre pays, les services de police et de renseignements n’ont bénéficié d’un tel pouvoir. Qu’importe les raisons et prétendus prétextes, telle est la situation à laquelle doivent faire face les citoyens pour préserver leurs propres intimités numériques.

Là est la clef du problème. Car il s’agit bien d’un problème.

En plaçant le citoyen dans une position passive de « surveillé », la société civile lui fait admettre l’inéluctabilité et l’omniprésence de cette surveillance. Que ce soit dans le quotidien du particulier ou durant son activité professionnelle. Car le citoyen « fliqué » est cette même personne qui, durant les heures ouvrées, travaille et contribue à la richesse du pays. La séparation stricte de ces deux mondes n’existe que dans l’esprit de certains politiques. Une « victime de la surveillance » dans le monde civile demeure une « victime de la surveillance » dans le secteur industrie, des biens et des services. Ergo, chaque coup de canif porté au contrat social infligé par les lois « Renseignement », Loppsi, LCEN et semblables saignent également le monde de l’entreprise.

Et quand bien même les procédés de basse police ainsi légalisés seraient-ils capables de faire le distinguo entre la sphère privée-qui-ne-doit-plus-l’être et la sphère économique-qui-doit-devenir-privée ? Psychologiquement la notion de préservation du secret professionnel et du stratégiquement « à ne pas divulguer » se déliterait quand même dans un aquoibonisme pessimiste : « Je suis fliqué, je n’y peux rien, « ils » sont trop forts ». « Ils » recouvrant des services de police aux géants du Net, Google, Facebook et consorts. Il n’y a strictement aucune raison pour qu’une personne habituée à cette intrusion et à cette surveillance constante ne devienne plus vigilante dans son cadre professionnel.

S’il est encore un peu tôt pour que le citoyen « non geek » prenne réellement conscience de la gravité de la situation dans le domaine de la surveillance d’Etat, tout semble prouver que le pillage de la vie privée par les industriels du Cloud commence à peser. Ce sentiment d’être le dindon de la farce est clairement exprimé dans une étude publiée par l’Université de Pennsylvanie qui peut se résumer en ces mots : « moi, citoyen et internaute, j’ai accepté d’échanger quelques données privées en échange de la fourniture d’un service en ligne, mais, avec le recul du temps, je me rends compte que le « deal » n’est pas du tout à mon avantage et je me sens totalement désarmé face à cette situation ».

Il y a du bon dans ce constat d’échec : une majorité de citoyens (aux Etats Unis, certes) admet clairement que sa vie privée et que ses données personnelles sont littéralement « pillées ». Et que les moyens mis en œuvre sont tellement formidables qu’il est devenu impossible de lutter contre. Une prise de conscience tant de la vulnérabilité de chacun que de la violence des procédés des grands opérateurs Cloud et du danger que cela représente. Peut-être un jour cette attitude englobera-t-elle le flicage d’Etat ?

Quelques jours avant la publication du « bilan » Snowden, Steve Bellovin écrivait un billet sur l’éventuelle généralisation de PGP par Facebook, en réponse à une annonce semblable faite par Google qui aimerait bien voir fonctionner GPG sur Gmail et Chrome. Indiscutablement, explique Bellovin, il faudra résoudre des problèmes qui sont loin d’être triviaux. Techniques, tout d’abord, tel que l’écriture d’un client de chiffrement à la fois simple et efficace pour plateformes mobiles, ou l’adoption d’un standard véritablement solide : PGP ou S/Mime ? Ergonomiques et psychologiques ensuite. Car à l’heure actuelle, utiliser de manière régulière des outils de chiffrement n’est l’apanage que de quelques technoïdes militants capables de ne pas confondre une clef publique ou privée et autres joyeusetés que nous réserve le cambouis du chiffrement.

Mais qu’un gros opérateur Cloud commence à s’investir dans une telle croisade, et ces aspects, techniques, ergonomiques et psychologiques pourraient s’effacer grâce aux moyens financiers, éducatifs et de développements dont ces opérateurs disposent. Le chiffrement deviendrait une sorte de réflexe naturel… et ce serait déjà un premier acte de « self defense » contre cette surveillance généralisée cherchant le djihadiste pédophile qui sommeillerait en chacun de nous.

L’initiative de Facebook (tout comme celle de Google, premier flic commercial de la planète) part d’un constat simple : trop de flicage tue le business. Il faut au moins donner l’illusion que l’on ne pense qu’au bien-être de chaque client-abonné-consommateur-source d’information. Dans leur ensemble, d’ailleurs, les opérateurs Cloud (et le CSA, Cloud Security Alliance) dans leur ensemble, tentent de réparer les pots longtemps cassés par les initiatives malheureuses et expéditives de leurs débuts. Cela a récemment pris la forme d’une seconde version du la PLA, Privacy Level Agreement, un outil de vérification de conformité Européenne capable d’indiquer avec assez de précision le niveau de protection des données à caractère privé garanti par un service et une application Cloud associée. Outil bien entendu destiné aux éditeurs d’applications Cloud et servant essentiellement à rassurer le client final. A quand un logiciel d’évaluation des « écoutes légales » ?

« Si on causait » propose Dancho Danchev. Si, pour briser ce ronron d’avis et de campagnes de communication consensuelles, nous nous mettions à dialoguer ? Si on parlait du temps qu’il fait dans le monde de la sécurité informatique, ou plus exactement des prévisions météorologiques relatives à la sinistralité numérique ? Envoyez courrier avec références et lettre de motivation à ddanchev at nym.hush.com.

Danchev est loin, très loin d’être un perdreau de l’année. Ce fut l’un des premiers, il y a plus de 20 ans, bien avant Brian Krebs, à mettre en évidence les relations inter-spécialistes des réseaux cyber-mafieux de ce qui allait devenir le Russian Business Network. Des hébergeurs « bullet-proof » aux spécialistes du spam, en passant par les bot-herders, les gourous du ransomware ou les empereurs du faux-antivirus, il les a tous tracés un jour ou l’autre, et a pu découvrir les « relations de confiance » cachées qui existaient entre clans cybermafieux. Alors, histoire de compléter une liste déjà longue de réseaux sociaux spécialisés…

Amoureux des nuages, ne lisez surtout pas l’étude de l’Université de Darmstadt et de l’Institut Fraunhofer portant sur les pratiques parfois fantaisistes non pas des opérateurs Cloud, mais des auteurs d’applications qui, eux, ne respectent pas les recommandations desdits opérateurs. Et ce particulièrement en matière de sauvegarde des données et synchronisation des équipements mobiles. Et en ne respectant pas ces mécanismes, lesdits développeurs d’applications dans le nuage donnent libre accès au contenu de leurs clients. Une analyse des services Facebook Parse et Amazon AWS aurait dévoilé l’existence de plus de 56 millions de « jeux de données » directement exposés et exploitables. A l’origine de ce défaut, un mésusage des services BaaS (Backend as a service), employé parfois pour y stocker, outre les fichiers habituels, des données strictement confidentielles, et plus particulièrement les clefs d’accès, mots de passe et autres noms réels d’utilisateurs, adresses email, carnets d’adresse, photographies etc. La sécurité d’un service BaaS, expliquent les chercheurs de l’Institut, ne repose généralement que sur un token d’API qui peut être volé au fil d’une session légitime, donnant à l’intercepteur un droit de lecture sur l’espace de stockage. Si cet espace contient des informations confidentielles… vae victis.