Archives

50 propositions du Conseil d’Etat visant à pacifier Internet, ces technologies qui « dérèglent les conditions d’exercice des droits fondamentaux et les mécanismes traditionnels de leur conciliation ». Une telle introduction donne le « la » des doctes avis du Conseil. Selon ce rapport, la notion même de neutralité du Net (si tant est qu’elle puisse exister) est « a priori » une notion qui doit être relativisée en fonction des nécessités de gestion du trafic. Une sorte de cote mal taillée qui ménagerait tantôt les usagers pour que ceux-ci ne souffrent pas trop d’une dégradation manifeste des services, tantôt les opérateurs qui auraient la possibilité de facturer les gros consommateurs de bande passante… Des opérateurs, rappelons-le, qui ont lancé leur business Internet sur l’incitation au piratage et à l’usage massif des techniques de téléchargement. Cette question avait déjà été soulevée, il y a plus de 20 ans, par les responsables d’infrastructure Internet avant même que les grands fournisseurs de services ne fassent leur apparition. Mais à l’époque, il était plus important d’établir des accords de peering et de voir en Internet une formidable vache à lait qui aurait permis de facturer l’information à la fois au « temps » et au « paquet ». Nul sénateur, ni aux USA, ni en France, n’avait alors pensé se pencher sur la question. Une certaine réactivité aurait pourtant permis d’éviter précisément les problèmes de tentative de mainmise qui se posent aujourd’hui, ainsi que les questions relatives à la neutralité du Net, à la souveraineté des réseau d’opérateurs nationaux, à la sécurité des grands concentrateurs de données nationaux ou Européens (services Cloud « souverains »), et aux bénéfices et dangers liés à l’analyse des données massivement collectées (Big data).

La situation n’est toutefois pas totalement désespérée, puisque le Conseil d’Etat vient de comprendre qu’en matière d’analyse, la neutralité des données était une illusion et la notion d’anonymisation un leurre. Il recommande toutefois d’imposer, par des dispositions légales, un cadre stricte de l’usage des outils de calcul prédictif… mais à quoi donc peut servir une loi lorsque l’acte est commis en dehors de nos frontières, dans des pays qui font du big data un big business, et qui vendent de l’analyse comme d’autres des produits manufacturés ? Ce qu’Isaac Asimov n’avait pas pu prévoir, en 1942, c’est que ce qu’il appelait la psychohistoire (et que l’on nomme aujourd’hui Big Data) ne serait pas un moyen de défense des citoyens contre des états de plus en plus autocratiques, mais l’arme principale de ces mêmes états autocratiques au dépend de leurs citoyens. Mais tout ceci n’est que de la politique-fiction, bien entendu …

Une seule vulnérabilité MS14-053 (non exploitée) dans .Net, un petit défaut MS14-054 dans le Task Scheduler (également non exploitée), trois CVE isolés relatifs à Lync Server… le patch Tuesday aurait pu discrètement se limiter à ces annonces. C’était sans compter le lot de rustines Internet Explorer qui, ce mois-ci, est frappé d’une inflation digne de la crise Allemande de 36. Au total, 37 trous, certains étant largement exploités « dans la nature » et qualifiés de « critiques ».

A préciser, aucune faille n’est affublée d’un « patch now » de la part du Sans. Une chance si l’on considère que la moyenne d’I.E. frise ce mois-ci les 1,23 trous par jour.

A titre anecdotique, puisque l’on parle de task scheduler et d’escalade privilège, signalons cette trouvaille du « Threat group 0416 » commentée par les chercheurs de Dell Secureworks. L’ordre AT de NT est utilisé ici de manière inattendue et fort instructive.

Critique, en revanche, serait le lot de correctifs d’Adobe qui, avec ses 12 CVE, expose toutes les plateformes à un risque certain.

« Berne n’extraderait pas Snowden s’il venait en Suisse » titre Le Matin. L’emploi du conditionnel dans le titre du quotidien Helvétique d’expression Française mérite que l’on s’y arrête. Car si ce que « sait » Snowden pourrait sans le moindre doute servir un juge dans le cadre d’une enquête parlementaire, « des obligations étatiques supérieures pourraient relativiser le refus de Berne d’extrader l’informaticien Edward Snowden s’il était amené en Suisse et réclamé par la justice américaine » précise le Ministère Public de la Confédération. Relativiser le refus… en d’autres termes, ce pays neutre qui sert depuis longtemps de terre d’asile aux centres d’écoute UKUSA du réseau Echelon refuse d’extrader un ressortissant étranger au seul motif de ses opinions ou actes politiques… sauf si les intérêts supérieurs politiques de la Nation l’exigent. Si Edward Snowden avait eu, par le plus grand des hasards, l’envie de chercher asile au royaume des coucous et des comptes en banque, le voilà clairement averti.

Encore une histoire de scan de ports, signée cette fois Rob VandenBrink, du Sans, mais avec un peu plus de travaux manuels comparativement à l’usage d’un Hacienda. A l’aide de Nmap, d’un peu de python et deux doigts de ike-scan, l’auteur se lance à l’attaque des services udp. La démonstration est « causante » et montre à quel point quelques sondes bien placées peuvent faire parler un ordinateur sous la torture. Si, pour les besoins de l’exercice, c’est ntp qui a fait les frais de l’opération, il faut garder à l’esprit que des compromissions et fuites d’information toutes aussi simples peuvent mettre à mal le travail d’administrateurs distraits qui auraient, par mégarde, laisser traîner des motd, des chargen et autres finger.

L’auscultation d’un ordinateur à distance (prolégomènes à l’exploitation également distante) est un classique de la sécurité réseau. Thibaut Gadiolet, sur le blog du Cert Lexsi, revient sur ces anciennes pratiques remises au goût du jour… par la NSA et l’un de ses mille-et-un gadgets d’espionnage baptisé Hacienda. Cette version hispanisante du principe « barbouze, téléphone maison » n’est rien d’autre qu’un outil de scan massif de l’espace IPv4, un peu comme le fait Zmap. Son but est de balayer Internet et inventorier, pays par pays, les machines vulnérables, de les situer géographiquement (plus ou moins), afin de faciliter la phase suivante qui consiste à exploiter d’éventuelles failles propres à telle ou telle version de service ou noyau. Selon la source originelle d’information qui, la première, a révélé l’existence de Hacienda ( CT magazine, édition Heise) 27 pays au moins auraient été ainsi auscultés par les espions britanniques du GCHQ.

Hacienda ne se contente pas de dresser un simple inventaire. Sont également collectées les informations complémentaires délivrées par le verbiage des « handshake » TCP, ainsi que le contenu des « bannières », parfois très indiscrètes sur la nature, la version, l’âge d’un service TCP (et par conséquent sur ses failles probables. Autant de renseignements qui, une fois triés, offriront à l’agresseur la possibilité soit de mettre en œuvre des exploits capables de compromettre la machine cible pour en extraire des informations sensibles, soit, si l’ordinateur ne contient aucun donnée digne d’intérêt, de la transformer en proxy qui pourra, par la suite, servir à masquer les traces d’une future attaque et brouiller les pistes permettant d’identifier la provenance de l’attaque. Est-il utile de préciser que sont visés en priorité les serveurs des services gouvernementaux de l’adversaire.

Contre ce genre d’agression, il existe peu de parades. Filtrage et détection des scans de ports, fermeture de tous les services tcp (et udp !) qui ne sont pas vitaux, saupoudrage de honeypots, modification « à la main » des signatures afin d’embrouiller un peu plus les analyses de fingerprinting… Côté protection légale, en revanche, les choses sont nettement moins claires. Si une intrusion attire les foudres de la loi, un scan de port n’est pas juridiquement considéré comme un acte illégal « Suivant l’interprétation des textes de loi, il ne constitue qu’un acte préparatoire et n’est pour le moment sanctionné par aucune jurisprudence. Même s’il est peu probable que la révélation du programme Hacienda fasse bouger les lignes, il n’est cependant pas impossible qu’un juge en décide autrement un jour » précise Thibaut Gadiolet.

Il est à craindre qu’un juge un peu trop influencé par un mouvement politique radical serait enclin à faire basculer le scan de port dans la catégorie des actes répréhensibles. Cela s’est déjà vu. Ce serait un levier de plus à l’encontre des usagers « normaux » d’Internet, mais en aucun cas un bouclier contre les organisations mafieuses ou les services de renseignements étrangers. D’Echelon à Carnivore, de Prism aux mille et un gadgets de flicage téléphonique ayant touché tant les citoyens que les infrastructures gouvernementales Françaises, jamais l’on a vu, jamais l’on a entendu le moindre magistrat à mortier décider d’ouvrir une enquête visant le GCHQ, une agence à trois lettres ou un « ring » de botherders slaves. Vérité en deçà des Pyrénées, mensonge au-delà.

A qui appartiennent-elles ? nul ne sait. D’où viennent-elles ? C’est un mystère. A quoi servent-elles ? Les supputations les plus folles vont bon train. Elles, ce sont des tours hertziennes qui se multiplient aux Etats-Unis (et probablement dans d’autres pays), s’indigne Popular Science. Chose étrange, ces tours se comportent très exactement comme des cellules de téléphonie cellulaire, à ceci près qu’elles ne diffusent pas l’identifiant d’un opérateur et qu’elles forcent les terminaux qui s’y connectent à se replier sur des modes peu sécurisés (en 2G notamment). Pis encore, ces cellules d’interception seraient capables d’attaquer les étages « bande de base » des téléphones cellulaires, ce qui laisse à penser que leurs mystérieux propriétaires entretiennent de très étroites relations techniques avec les fabricants de circuits intégrés spécialisés. Car les détails intimes de ces modules bande de base sont très souvent recouverts d’une chape de silence et de fonctions secrètes, connues des seuls OEM et opérateurs.

Si l’on ajoute que ces cellules fantômes ont une fâcheuse tendance à se multiplier à l’approche des terrains militaires, on peut y voir la main invisible des services de renseignement surveillant les conversations des citoyens US sous le prétexte rebattu d’une intense chasse aux terroristes.

Les ingrédients sont réunis pour écrire un grand roman d’espionnage, d’amour et d’aventure… ou faire la première page d’un prochain numéro de Wired illustré par l’écusson de la NSA ou du Department of Defense.

En radio, tout peut se résumer à une histoire de bande passante et d’énergie dissipée dans cette même bande passante. Cette « vérité » (ce truisme diraient les électroniciens radio) fait l’objet d’un article de très bonne vulgarisation publié par Spectrum, le journal de l’IEEE.

En matière de guerre électronique, explique cet article, les attaques EMP (ou saturation par impulsion électromagnétique) ne sont généralement efficaces que si elles ciblent un service ou une fréquence précise. Les fréquences des voies descendantes des satellites GPS par exemple. Simple question d’économie. Car il est plus facile de faire rayonner un émetteur de brouillage de « x » kilowatts sur une bande de fréquence restreinte capable de perturber un périmètre de « n » kilomètres, que de réaliser cette même attaque sur l’ensemble du spectre radio utilisé (autrement dit de 1MHz à 50 GHz par exemple). La débauche d’énergie nécessaire pour perturber tout et n’importe quoi est titanesque, et stratégiquement inutile. Il est plus simple de ne viser que les services critiques les plus indispensables au bon fonctionnement de l’infrastructure de l’adversaire. Wifi, GSM, GPS, uplink satellite, faisceaux hertziens d’infrastructure, réseau de signalisation…

En conséquence de quoi, la taille d’une « bombe électromagnétique spécialisée » à faible étalement de spectre gagne non seulement en efficacité mais encore en taille et en énergie consommée. Ce qui sous-entend qu’elle pourrait être contenue dans le volume d’une petite valise.

Mais tout n’est pas si simple, explique l’auteur de ce voyage dans les attaques radio. Perturber un équipement par surcharge électromagnétique est d’autant plus difficile que l’équipement visé travaille sur des fréquences élevées. En d’autres termes, là où un pc originel à 4,77 MHz succombe, une machine moderne utilisant une horloge à 3 GHz ne bronchera pas.

Autre limitation technique des attaques EMP, la présence ou non de câbles d’alimentation ou de raccordement réseau capable, par induction, de véhiculer l’attaque au cœur même de l’équipement visé. Un appareil mobile est généralement dépourvu de câbles de liaison, et se montre donc nettement moins vulnérable qu’un ordinateur de bureau ou qu’un équipement de commutation réseau.

Si l’on a recours aux bombes large bande ou hyperbande, les multiples essais réalisés dans à peu près tous les pays du monde ont démontré qu’une impulsion de 2kV/m durant 200 picosecondes fait planter un ordinateur. A 5 kV, des dommages irrémédiables mettent hors service les appareils soumis à de tels champs (composants carbonisés, pistes de liaison vaporisées). Rappelons au passage que réduire au silence les équipements électroniques en général et les appareils de transmission militaires en particulier fait l’objet de recherches intensives depuis le milieu de la seconde guerre mondiale. De l’explosion d’une bombe nucléaire aux tentatives plus ou moins ciblées de déclenchement de la foudre, les moyens les plus brutaux ont été envisagés.

Comment se protéger contre de telles attaques ? C’est quasiment impossible, conclut en substance l’article de Spectrum. Equipements « durcis » mis à part, les systèmes de protection visant à diminuer les transitoires, blinder l’électronique, filtrer les lignes d’alimentation ou de raccordement réseau des appareils vendus dans le civil ne sont pas assez efficaces. Or, c’est précisément ce type d’équipement qui est utilisé dans les chaines de contrôle de processus industriel, les infrastructures Scada et les réseaux de service grand public (l’Internet des objets et ses différents avatars notamment). Des remèdes existent pourtant. A commencer par l’installation de parasurtension sur toutes les lignes convergeant vers un même bâtiment. Lorsque l’ensemble de l’immeuble ne peut être protégé et isolé, il n’est pas irréaliste de rassembler les équipements dans une pièce unique, blindée d’un point de vue électromagnétique, protégé par un réseau d’alimentation électrique et télécom filtré… si l’idée de « salle informatique » et de « groupe d’onduleurs » n’est pas nouvelle, le filtrage large bande n’est que très rarement mis en place. Tout est prévu pour contrer les surtensions ou les coupures, mais là s’arrêtent les premières lignes de défense.

Enfin, conclut l’auteur , il n’existe quasiment aucun équipement capable de détecter des attaques électromagnétiques conduites aussi bien sur des fréquences précises et étroites ainsi que sur un spectre large bande ou hyperbande. Or, seul un équipement de détection peut témoigner d’une telle attaque, et, par conséquence, déclencher un processus de reprise ou de continuité d’activité.

Les identités bancaires des clients du plus grand magasin de bricolage US auraient été pillés par des activistes russo-ukrainien, nous apprend Brian Krebs. Deux « lots » de cartes d’origine nord-américaine et un troisième lot de cartes appartenant à des clients Européens seraient déjà diffusés via le site Rescator.cc, site hébergeant un forum de carding relativement actif.

Les pirates ayant perpétré ce vol massif affirment que leurs motivations sont essentiellement politiques et qu’il s’agit là d’un acte en rétorsion des récents embargos économiques instaurés à l’encontre de la Russie est des séparatistes Ukrainiens. L’annonce de ce hack intervient le jour même où l’Otan annonce la prochaine signature d’un accord de cyber-assistance mutuelle entre les 28.

Dans un pays ou l’immense majorité des habitants occupent des maisons individuelles entretenues et même parfois entièrement bâties par leurs propriétaires, le marché du bricolage et de la fourniture de matériaux est l’un des plus importants du secteur de la distribution. Home Depot détient, sur ce créneau, la toute première place. Le piratage de plus de 2000 de ses magasins pourrait donc bien battre tous les records en matière de vol d’identités bancaires et dépasser les 80 ou 100 millions de comptes.

L’Otan se déploie sur de nouveaux fronts, nous apprend le NY-Times. Ses 28 pays membres seraient sur le point de ratifier un accord aux termes duquel toute cyber-agression de l’un d’entre eux pourrait provoquer une réaction de défense de l’ensemble de l’alliance.

Pour l’heure, il ne s’agit là que d’une déclaration d’intention d’une extrême virtualité. Pour répliquer face à une cyber-attaque, il faut posséder quelques cyber-armes. Et jusqu’à ce jour, seuls les USA et la Grande Bretagne ont dévoilé bien involontairement une partie de leur arsenal, grâce notamment aux révélations Snowden et quelques articles du magazine Wired. Les autres pays, dont la France, sont demeurés très secrets quant à leur capacité de projection sur le cyberterrain d’opération. Paraphrasant Joseph Staline, chercheur assoiffé de vérité et humaniste distingué, l’on pourrait dire « cyber-Otan, combien de division ? »

Nos confrères New-Yorkais expliquent que cet accord cyber-militaire est un message directement adressé au gouvernement Poutine, soupçonné des pires maux dès qu’une vague de serveurs succombe sous les assauts d’une invisible et insaisissable armée de hackers noirs. L’on pourrait également ajouter à la liste des destinataires potentiels Pékin, Téhéran, quelques pays d’Amérique du Sud dont le développement des cyber-panoplies est régulièrement dénoncé par les médias d’Amérique du Nord.

Reste également à définir ce qui peut être considéré comme une agression informatique. Un déni de service sauce Estonienne ou un suprême d’écoute téléphonique façon Merkel ? Un Stuxnet légèrement maussade ou un Prism franc et joyeux ?

Enfin, la notion de cyberdéfense et de riposte numérique relève encore de la question rhétorique et risque de le demeurer longtemps. L’actuel conflit Russo-Ukrainien n’a provoqué de la part de l’Otan que communiqués et déclarations d’intentions. Ce genre d’armes s’avère relativement peu efficace, tant face à des chars et des divisions d’infanterie que devant une invasion binaire visant des infrastructures Scada.

« Nos entreprises High Tech ne sont pas partie intégrante de notre gouvernement » déclare l’ex Secrétaire d’Etat Hillary Clinton dans un discours rapporté par nos confrères d’IDG News Services « D’ailleurs d’autres pays font la même chose en matière de collecte d’information » précisait-elle en substance. En d’autres termes, le fond de commerce de la NSA ne dépendrait pas d’un diktat de l’Etat, mais de toute manière, d’autres Etats observeraient les mêmes pratiques… Excuser l’inexcusable conduit parfois à de savoureuses contradictions.

Et l’ancienne Première Dame de préciser que l’exploitation de ces informations « sont définies par un cadre législatif sans égal dans d’autres pays ». Las, la présence d’un cadre législatif n’interdit pas les abus, il ne fait qu’en officialiser la légitimité. C’est le cas notamment des droits de regard de la NSA sur les contenus et les métadonnées véhiculés par les opérateurs ou les fournisseurs de service internet. Très habilement, Clinton utilise ensuite une vieille ficelle politicienne, la victimisation. « Chaque fois que je me déplace en Russie ou en Chine, il nous est impossible d’emporter nos ordinateurs, nos équipements personnels sortis des limites de notre avion. « Ils » sont si bon (ndlr en matière de hacking) qu’ils seraient capables de les compromettre en quelques minutes ». Vilains Russes, méchants Chinois. Notons au passage que cette technique de victimisation n’est pas franchement nouvelle. C’est très exactement celle utilisée par les dirigeants Chinois lors des premières accusations quasi officielles d’espionnage numérique et d’attaques formulées par les Américains à l’époque de la vague Titan Rain, dès 2003.

Il faut dire que jamais les espions ou hackers d’Amérique du nord n’oseraient commettre de telles choses. Leur « Sk1llZ » ne s’exerce donc qu’en direction des équipements des gouvernements alliés et des populations locales situées sur le sol US ? Madame Merkel et l’ACLU apprécieront.

Après avoir soufflé le chaud, la très probable future candidate à la Présidence des Etats-Unis regrette « que nous soyons parfois allés trop loin »… mais explique en substance que cet état de fait est en voie de normalisation, et qu’en tout état de cause, ces excès ne sont que la conséquence de « compromis nécessaires » entre la notion de préservation de la vie privée et la sécurité du pays.

Cet enchainement rhétorique semble quasiment définir la feuille de route du parti Démocrate en matière de défense et de militarisation numériques pour les années à venir. Il représente donc la tendance la plus « douce » que nous réserve l’avenir des relations américano-européennes en matière de défense numérique (défensive ou proactive), très en retrait des politiques que pourraient instaurer les faucons du parti Républicain.