Sûr de ses talents de communicant, Kim Schmitz (alias Dotcom) faisait mine vendredi dernier de confier à Wired le nom de son nouveau site de partage de fichiers.

Sans dévoiler l’adresse du nom de domaine, il laissait supposer qu’il s’intitulerait “Mega”. En lieu et place de MegaUpload, fermé à la suite d’une retentissante opération judiciaire menée par le FBI sur plainte de plusieurs majors américaines.

Mais les responsables qui travaillent sur le projet, et avec lesquels nous nous sommes entretenus, se montrent plus nuancés. Tel Emmanuel Gadaix, l’un des cerveaux de la nouvelle (et de l’ancienne) infrastructure, précisant que “Mega” se retrouvera bien dans la nouvelle marque mais attaché à d’autres mots.

Il nous assure que l’offre existera avant “la fin de l’année”, avec des ambitions considérables pour le marché de la musique et du cinéma en ligne :

Nous mettons en place des nouvelles mesures de sécurité. En particulier, un “client-side cryptosystem” qui chiffrera, de manière transparente pour l’utilisateur, toutes les données transmises sur le cloud. Lors du lancement, d’ici la fin de l’année 2012, nous dévoilerons nos API qui permettront aux développeurs de créer une multitude d’applications innovantes, qui utiliseront la puissance et la sécurité de cloud Mega [...] Nous allons respecter les règles du DMCA qui protègent les hébergeurs contre les actions de leurs utilisateurs.

Dans le secret de MegaUpload

Comptes offshore, sociétés à Hong Kong ou à Auckland, porte-parole mystère et pactole considérable dans des paradis ...

Services secrets

Si la trajectoire de Kim Dotcom dresse le portrait d’un bonimenteur 2.0 pas toujours de très bon goût, comme le montre une enquête fouillée du site Ars Technica, celle d’Emmanuel Gadaix, plus discrète, présente le profil d’un visionnaire de la sécurité des réseaux.

Entre 1993 et 1998, ses talents l’amenèrent à être régulièrement sollicité par la DST (les services secrets de sécurité intérieure français, devenus la DCRI) pour organiser diverses opérations et en particulier des tests d’intrusion.

Une tranche de vie qui se trouve résumée dans une décision de relaxe prise par la 13ème Chambre correctionnelle du Tribunal de grande instance de Paris, le 2 novembre 2000, pour une visite à l’intérieur d’un serveur du groupe pétrolier Exxon, réalisée à la demande des services français. Et donc pardonnée. Il était alors âgé de 33 ans.

Depuis, établi entre la Thaïlande et Hong Kong, Emmanuel Gadaix participe comme consultant à d’importants chantiers en sécurité des systèmes, loin des institutions. En marge de ses projets avec Kim Schmitz, il collabore à des travaux de recherche avec la société française P1 Security, dirigée par Philippe Langlois, l’un des papes en sécurité des systèmes d’information – le 8 octobre dernier, ce dernier présentait quelques résultats pointus en compagnie de Gadaix, lors de la dernière Hack in the box Conference de Kuala Lumpur.

Abusive

Grâce à Gadaix, sur le nouveau Mega, les administrateurs du site ne pourront pas déchiffrer les données et les opérations des personnes qui utilisent leurs services – contrairement aux responsables de Google ou de Dropbox. Avec un gros objectif à court terme : concurrencer iTunes, ni plus ni moins, grâce à une base juridique et technique sans équivalent.

Les serveurs seront dans de multiples juridictions y compris en Europe. Comme toutes les données stockées sur le serveur ne pourront être décryptées, nous pourrions même en héberger aux Etats-Unis. Nous ne le ferons pas, à titre de sanction économique tout d’abord, mais aussi par respect pour nos millions d’utilisateurs dont les données sont toujours otages du gouvernement américain.

Internet après la fin de Megaupload

La coupure de Megaupload a provoqué un torrent de réactions. Le problème n'est pas la disparition du site en lui-même. Il ...

Car l’homme, ainsi qu’une partie de l’entourage de Kim Schmitz, considère que l’opération judiciaire du FBI de l’hiver dernier a servi de manière abusive les majors de la musique et du cinéma. Intervenue le 19 janvier, elle précédait de deux jours le lancement de Megabox, prévu le 21 janvier.

À ce moment-là, dans un entretien accordé par Emmanuel Gadaix au site CitizenKane.fr, Megabox était présenté comme un futur iTunes sans intermédiaire, permettant aux artistes d’être directement rémunérés par leur public.

Coïncidences

Le 26 septembre dernier, Kim Schmitz s’en amusait sur sa chaîne YouTube, en diffusant une bande-annonce de Megabox qui semble avoir été produite pour le lancement initialement prévu le 21 janvier, avant d’être annulé.

Gadaix sourit. Dit qu’il ne croit pas aux coïncidences. Peu de temps avant l’arrestation de ses partenaires, il s’était rendu le 11 janvier à une invitation du Sénat français pour discuter droits d’auteur et libertés numériques – les internautes français, à eux seuls, apportaient 12% du chiffre d’affaires global de MegaUpload.

À cette occasion, il avait – nous assure-t-il – pris des premiers contacts avec les responsables d’Hadopi, en coulisses, pour préparer des négociations futures, envisagées début février. Du côté de l’Hadopi, a priori personne ne semble s’en souvenir.

Selon Emmanuel Gadaix, “pour Mega, l’objet de la discussion était de trouver des moyens de travailler ensemble pour réduire la piraterie sur le Net et pour étudier des méthodes de rémunération des auteurs grâce aux nouveaux services de Mega”, avec notamment la possibilité de domicilier en France une partie des revenus dans l’attente de définir la meilleure clé de répartition.

Pas sûr que la renaissance de MegaUpload ne ressuscite les mêmes intentions.

hacker : pirate informatique.

Avec l’essor de l’internet s’est développée une nouvelle catégorie de pirates (hackers) agissant en groupes et essentiellement motivés par l’appât du gain. Ces groupes mettent au point des outils qu’ils peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations criminelles ou mafieuses, des officines d’espionnage économique, des entreprises ou des services de renseignement.

En 2008 comme en 2012, le rapport du Sénat sur la cyberdéfense, dont la dernière mouture vient d’être remise par Jean-Marie Bockel, témoigne que le milieu des hackers semble toujours un peu mystérieux à nos parlementaires. Pourtant, en fouillant dans le détail de ses 158 pages, on constate enfin une nette évolution positive dans la façon dont les hackers sont perçus, alors qu’ils font bénéficier de leurs talents nos réseaux depuis plus d’un quart de siècle. On note aussi au passage que le copié-collé si critiqué quand il s’agit d’élèves pompant Wikipedia semble ici une pratique tolérée.

Le point vocabulaire

En 2008, c’est bien simple, les rares occurrences du terme hacker sont synonymes de pirate informatique mercenaire. Quatre ans plus tard, si la définition dans le glossaire est la même, les occurrences sont plus nombreuses et nuancées, quitte à contre-employer le terme hacker.

Premier grand pas en avant, la sémantique s’étoffe, même si sa précision reste relative :

On peut distinguer trois catégories de « hackers » selon leurs motivations :
- Les « chapeaux blancs » (« white hats ») : Il s’agit souvent de consultants en sécurité informatique, d’administrateurs réseaux ou de cyberpoliciers, qui se caractérisent par leur sens de l’éthique et de la déontologie ;
- Les « chapeaux gris » (« grey hats ») pénètrent dans les systèmes sans y être autorisés, pour faire la preuve de leur habileté ou pour alerter l’organisme visé des vulnérabilités de ses systèmes, mais ils ne sont pas animés par des intentions malveillantes ou criminelles ;
- Enfin, les « chapeaux noirs » (« black hats ») regroupent les cybercriminels, les cyberespions ou les cyberterroristes. [...]

Ce qui n’empêche pas le rapport de dire qu’“il existe d’autres groupes de « pirates informatiques », comme « telecomix.com » qui défend la liberté d’expression sur Internet” Telecomix.org a dû bien s’amuser de découvrir que leur cluster était en fait une société commerciale. Le texte évoque aussi des “attaques informatiques ont été ouvertement revendiquées par des groupes de « hackers » patriotiques turcs, à l’image des groupes « GrayHatz » et « Millikuvvetler », et par d’autres « hackers » indépendants.” On n’abandonne pas facilement vingt ans de clichés.

Retard français

Ce soin nouveau apporté à la définition témoigne d’un changement net de regard sur la communauté des hackers. “L’État doit s’appuyer sur les hackers” : le credo d’Éric Filiol est enfin arrivé aux oreilles du Sénat. Si le directeur du laboratoire de sécurité informatique de l’École Supérieure d’Informatique Electronique Automatique (ESIEA) n’a pas été auditionné directement, il est cité à plusieurs reprises :

Il faut chercher les ressources là où elles sont. Chez les hackers que l’on a tendance à diaboliser à l’excès.

Plus loin, ses propos sont encore repris pour souligner le paradoxe juridique français. La loi Godfrain de 1988 puis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 ont en effet mis de gros bâtons législatifs dans les roues des hackers :

Or, actuellement, notre législation ne permet pas la publication, même à des fins scientifiques, de vulnérabilités décelées à la suite d’intrusions dans les systèmes informatiques, ce qui oblige les « pirates informatiques » français à publier le résultat de leurs recherches dans les revues d’autres pays, notamment aux États-Unis, ou lors de conférences de « hackers ».

Depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hackers ». [Aux yeux d'Éric Filiol], il existe une véritable fracture en France entre « un monde d’anciens qui administrent mais qui ne comprennent rien à la technique et de jeunes hackers qui maîtrisent mais qui n’administrent pas ».

Cruel miroir que tend cette dernière phrase au Sénat, entre autres… Mieux vaux tard que jamais, la main est tendue envers cette communauté avec qui une collaboration officielle serait fructueuse :

A cet égard, pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ?

Dangereux hackers d’intérêt public

Depuis jeudi et jusqu'à samedi soir, en plein Paris, le festival Hackito Ergo Sum réunit la crème des hackers sur les ...

Une communauté fournie et patriote

Le rapport se montre optimiste sur l’avenir de cette collaboration, en s’appuyant sur des données au doigt mouillé, dont la source n’est pas précisée. Le texte dessine une communauté fournie et patriote, sans qu’on en sache plus sur ce qui leur permet d’affirmer cela  :

D’après les informations recueillies par votre rapporteur, la « communauté des hackers » serait estimée en France à environ 4 000 personnes. Nombre d’entre eux seraient désireux de mettre leurs compétences et leurs talents au service de notre pays.

Les États-Unis sont cités comme un exemple d’écosystème favorable à l’émergence de “sociétés privées de conseil et d’assistance en matière de sécurité informatique”. Où la présence de guillemets autour de certains termes montre que la maitrise du sujet peut encore être améliorée :

D’ailleurs, certaines entreprises américaines, à l’image de Microsoft ou de Facebook, ne s’y sont pas trompées, en lançant un appel public à tous les « hackers » pour déceler les vulnérabilités de leurs systèmes informatiques, réalisant ainsi gratuitement et à l’échelle mondiale un audit de leur sécurité informatique. [...]

Aux États-Unis, les « communautés de hackers » sont d’ailleurs largement reconnues et entretiennent des relations étroites avec les autorités chargées de la sécurité des systèmes d’information. On peut ainsi mentionner la communauté de « hackers » « Defcon », qui compte plus de 12 000 membres aux États-Unis et qui entretient des relations avec le département de la défense et l’agence de sécurité nationale (NSA).

Pourtant l’évolution législative européenne va à l’encontre de ces recommandations de bon sens. Un projet de directive prévoit de pénaliser la possession et la distribution d’outils de hacking pour lutter contre la cybercriminalité, dans la lignée de la LCEN.

À lire aussi sur Reflets.info :

Rapport Bockel : un point sur la cyberdéfense française

Tu t’es vu quand tu parles des pirates chinois ?

Et à revoir sur Owni, l’interview de Stéphane Bortzmeyer, ingénieur à l’Afnic (l’association en charge d’attribuer les noms de domaine en .fr), engagé dans l’équipe de campagne du Front de gauche. Il avait donné lors du festival de hackers Pas sage en Seine une conférence intitulée “Le technocrate, le geek et le politique ignorant”.

Cliquer ici pour voir la vidéo.

“Contre-productif”, “stupide”, un “danger pour l’Europe”, les spécialistes de la sécurité informatique interrogés par OWNI ne mâchent pas leurs mots pour décrire le projet de directive européenne qui vise à étendre à toute l’Union européenne ce qui existe déjà en France depuis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 : la répression du hacking. Qui est à la base un usage créatif des technologies et n’a donc rien d’illégal en soi.

Dangereux hackers d’intérêt public

Depuis jeudi et jusqu'à samedi soir, en plein Paris, le festival Hackito Ergo Sum réunit la crème des hackers sur les ...

En résumé : “Les cyberattaques sur des systèmes de communication deviendrait une infraction pénale passible d’au moins deux ans de prison. La possession ou la distribution de logiciels et d’outils de hacking serait aussi une infraction pénale, et les entreprises seraient responsables des cyberattaques commises dans leur intérêt.”

Sous couvert d’intentions louables, ce projet de directive présenté par la commission des libertés civiles ressemble fort à une bêtise technocrate dont les origines remontent à plusieurs années.

Ralf Bendrath, conseiller politique de l’eurodéputé Vert Jan Philipp Albrecht, rapporteur fantôme pour la directive, et accessoirement ancien hacker, nous rappelle l’historique :

L’approche générale pour combattre le cybercrime et les attaques contre les systèmes d’information à l’aide de lois pénales et de répression est basée sur la Convention sur le cybercrime de 2001 approuvée par le Conseil de l’Europe, et la nouvelle directive met à jour une ancienne décision de mise en application des ministères de la justice et des affaires intérieures européens de 2005

Épée de Damoclès

Sur certains points importants, le texte est flou, laissant une grande marge d’interprétation au juge. Ralf Bendrath déplore que l’on poursuive une politique aux effets pervers :

Dès le début, nous avons expliqué que si vous pensez avoir le moindre effet sur les mauvais garçons en mettant en place des sanctions et en introduisant quelques circonstance aggravantes dans un code pénal, vous êtes juste naïf.

Dans ce sens, la directive ne fera pas beaucoup la différence. Le danger vient plus des dispositions qui pourraient aussi affecter les “white hackers” (les “gentils hackers”), ceux qui identifient et réparent les failles de sécurité. Nous avons besoin d’eux car ils servent de système immunitaire de la société de l’information, et l’article 7 qui bannit les outils de hacking ou l’article 8 sur l’incitation à certaines attaques pourraient aussi les entraver.

C’est une épée de Damoclès qui est donc suspendue au-dessus des hackers. Eric Filiol, chercheur français spécialisé dans la sécurité informatique, directeur du centre de recherche de l’ESIEA, est tout aussi inquiet :

Cela peut concerner beaucoup de monde, les hackers, les chercheurs, c’est-à-dire ceux qui font vraiment de la sécurité informatique. Cela risque d’être à géométrie variable en fonction des intérêts. Ce texte est liberticide.

L’innovation vient d’en bas

Les opposants au texte redoutent que les intérêts défendus soient surtout ceux des grandes entreprises du secteur soient favorisées, car elles bénéficieraient de dérogations. L’eurodéputé suédoise du Parti Pirate Amelia Andersdotter détaille :

Tant qu’il faut une autorisation  pour l’utilisation d’outils, c’est bien sûr très bénéfique pour toutes les entreprises déjà établies dans le domaine de la sécurité – ils ont la capacité administrative d’avoir une autorisation, alors que quelqu’un qui bidouille sur son temps libre ne pourra pas.

Toutefois, Amelia Andersdotter pense que cette proposition ne fait pas non plus totalement les affaires des cadors de la sécurité :

Je pense que le lobby le sait aussi, si les gens ne peuvent plus se livrer à leur passion durant leurs loisirs, les entreprises de sécurité perdront leur base de recrutement.

Philippe Langlois, organisateur du festival Hackito Ergo Sum, qui a réuni la semaine dernière la crème des hackers à Paris, s’inquiète, en particulier sur le frein que cela pose en terme d’innovation :

On risque de construire un nouveau système où les poids lourds de l’armement et de la sécurité ont un droit non écrit d’avoir des outils de sécurité hostiles.  Sauf que celui qui innove dans la sécurité, ce n’est pas la grosse entreprise, c’est le petit gosse de 14 berges qui déchire tout, qui n’est pas identifié.

Et de s’interroger sur le rôle de l’ European Network and Information Security Agency (Enisa), l’agence de l’Union européenne dédiée à la cybersécurité, censée encourager les “best practices”. Sollicitée deux fois, elle n’a pas répondu à nos questions.

À quoi sert l’Enisa, ils sont payés pour ça, à réfléchir aux conséquences de leurs actes, pourquoi n’ont-ils pas expliqué pourquoi c’est débile ?

Retard

Le corollaire de ce système à deux vitesses, poursuit Eric Filiol, est que “les hackers vont se réfugier dans l’Internet underground, ils vont utiliser des BBS, chiffrer leurs communications, cacher leurs découvertes.” Plus encore, le chercheur y voit là le fruit du lobbying américain qui aurait tout intérêt à ce que la loi passe :

Cela va nous faire prendre du retard, alors que nous travaillons déjà beaucoup leurs entreprises américaines, Vupen (société française spécialisée en recherche en vulnérabilités) par exemple, les a déjà pour principaux clients. C’est un danger pour l’Europe. Et cela va inciter les hackers à travailler pour des intérêts contestables, des grosses entreprises commerciales.

En Allemagne, où une loi similaire a été passée en mai 2007, l’effet a été immédiat : dans les mois qui ont suivi, des projets ont été délocalisés ou arrêtés plutôt que de prendre le risque d’encourir des sanctions. Si Ralf Bendrath craint aussi les conséquences néfastes, il n’y voit pas là le fruit du lobbying américain :

Autant que je sache, il n’y a pas eu de pression particulière, car cette directive fait partie d’un ensemble de mises à jour d’un certains nombres de lois de régulation sur les affaires intérieures et le droit pénal, pour lesquelles l’Union européenne a désormais une nouvelle base légale, avec le Traité de Lisbonne.

Contacté par OWNI, EADS a répondu qu’il “ne souhaite pas s’exprimer sur ce sujet pour l’instant car la directive européenne n’est encore qu’un projet”. Le délai était trop court pour Thales et Vupen ne nous a pas répondu.

Hackers de toute l’Europe, bougez-vous

30 ans de bidouille politique

Le Chaos Computer Club, célèbre et influente organisation de hackers allemands, fête ses trente ans cet automne. Pour ...

Les Verts s’activent pour infléchir la loi, réussissant à insérer “quelques garde-fous dans la position du Parlement européen” contre les risques de saper le travail des hackers amateurs. Sans toutefois être sûr qu’ils passent toutes les étapes. Les négociations entre la Commission européenne, le Parlement européen et le Conseil des ministres commenceront le 23 avril, avec une session plénière au  en juillet prochain. Ralf Bendrath en appelle à la communauté :
“Cela serait d’un grand secours que les experts en sécurité informatique et les hackers des différents pays de l’UE pouvaient parler avec leur eurodéputé et leurs administrations dans les semaines qui viennent pour s’assurer que nous aboutissions au meilleur résultat possible, ce qui dans ce cas, signifie expurger les dispositions les plus stupides et les plus dangereuses du texte final.” Et en la matière, le fameux modèle allemand sert de référence, encore une fois, comme l’explique Eric Filiol :

L’Allemagne agit de manière intelligente, en développant leur communauté de hackers : le Chaos Computer Club a pignon sur rue. Il est sain d’avoir une communauté active.

L'amphithéâtre Niemeyer, plein à cracker.

Le hack est quelque chose d’intérêt public qu’il faut protéger dans notre société de plus en plus technique.

Tout au long de la présentation inaugurale d’Hackito Ergo Sum (HES), un événement réunissant jusqu’à demain au siège du Parti Communiste à Paris des hackers passionnés de sécurité informatique, Cédric “Sid” Blancher n’a eu de cesse de démontrer ce que la majorité des gens ne comprennent pas : le hacking, cet usage créatif des technologies, est par essence politique, au sens profond du terme. Philippe Langlois, figure “historique” de la scène hacker française, fondateur du hackerspace le TMP/LAB, et organisateur, explique :

Nous faisons de la politique réelle, concrète, par les actes, sans rentrer dans un schéma de parti. Nous participons à l’élaboration de la loi (“policy making”), il faut comprendre les enjeux, les dynamiques sociétales, pour élaborer un cadre afin que les gens se pluggent de façon intelligente, c’est ça la politique. À HES, nous le faisons avec une approche technique.”

La faute revient en partie, aux médias qui parlent de plus en plus de hacking, mais mal, en assimilant hack et pratiques illégales. Notre conférencier, ingénieur-chercheur en sécurité des systèmes et réseaux informatiques, a rappelé en quoi le hack est nécessaire pour le bon fonctionnement de la démocratie à travers une série de mots-clés comme :

Apprendre. Nous avons besoin d’apprendre pour nous et nos enfants car les systèmes sont de plus en plus complexes. On perd ce pouvoir d’apprendre.

Protection des données, systèmes fermés, les exemples sont infinis de systèmes que tout un chacun devrait pouvoir ouvrir, manipuler, se réapproprier, pour comprendre les enjeux et mieux le maîtriser. Sauf qu’actuellement, cela peut vous coûter cher, par exemple si vous cassez des systèmes propriétaires, comme l’iPad en regorge par exemple.

Innovation. Le hack est une grande source d’innovation.

Cédric Blancher a souligné le rôle que les individus jouent dans les processus d’innovation, face à des entreprises sclérosées qui ne favorisent pas la créativité.

Empowerment. C’est une question de citoyenneté.

Souvenez-vous les machines à vote électroniques, censées mettre fin aux fraudes qui entachent les élections. Trouées comme pulls mités, ont révélé des chercheurs ! Dans ce contexte, le “prenez le pouvoir” marxiste affiché sur les murs résonnait de plus belle, à la lumière technologique.

Législation “débile et contre-productive”

Précieux, les hackers ne sont pourtant pas aidés, et pas uniquement par le JT de TF1 et ses reportages racoleurs sur les pirates biélorusses. Un projet de loi européenne inquiète la communauté, préparé en toute discrétion. Il étendrait à toute l’Europe ce que la loi pour la confiance dans l’économie numérique (LCEN) française de 2004 prévoit, du moins en théorie : rendre illégal la possession d’outil de piratage. Décryptage en colère de Philippe Langlois :

C’est complètement débile et contre-productif. Je comprends la nécessité pour le législateur d’avoir un texte pour taper sur les méchants, mais pourquoi n’ont-ils pas appris de leurs erreurs ? L’Allemagne a voté une loi similaire en 2007 et sa jurisprudence a dit qu’il était  impossible de faire passer un tel texte. Les techniques duales, par exemple les scanners de vulnérabilité sont autorisées, par contre tout ce qui est déni de service, qui ne peut être utilisé qu’en mode attaque illégale est interdit. Ils auraient pu se limiter à ça mais même pas.

On risque de construire un nouveau système où les poids lourds du secteur ont un droit non écrit d’avoir des outils de sécurité hostiles.  Sauf que celui qui innove dans la sécurité, ce n’est pas la grosse boîte, c’est le petit gosse de 14 berges qui déchire tout, qui n’est pas identifié.

Vous êtes en train de tuer la capacité de développement par une nation de personnes qui vont grandir, murir, passer d’un moment où ils ont fait des bêtises peut-être, à celui où ils font des trucs fondamentaux pour la communauté et le développement général du domaine. HES existe pour essayer de faire changer les choses.

Politique par la pratique

Et la meilleure façon de prouver que le législateur européen est “à la ramasse” passe donc“par des trucs concrets, des projets, des ateliers”. Mais attention, si le fond est sérieux, il ne faut pas oublier un aspect important du hack, il faut s’amuser, même si l’intitulé des conférences et des ateliers peut sembler aussi drôle qu’une blague de Christine Boutin. Un exemple (smiley d’origine) : la conférence Hacking the NFC credit cards for fun and debit . Une préoccupation absconse de nerds ? Non,  cela concerne monsieur tout-le-monde.

Un peu de traduction : les NFC credit cards, ce sont tout simplement des cartes de crédit sans contact, sur le principe du Pass Navigo bien connu des Parisiens. On les utilise pour du micropaiement, 20 euros maximum. Visa a son payWave et Mastercard son PayPass. Très courant aux Etats-Unis, ce système monte en puissance en France, avec déjà 100 000 terminaux. Renaud Lifchitz, un jeune ingénieur en séurité informatique s’est posé la question :

Est-ce plus sécurisée que le pass Navigo ? Non car il n’y a pas d’authentification ni de chiffrement.

Démonstration en direct. L'affichage des données se fait en un clin d'oeil.

En bref, on peut lire à livre ouvert, moyennant un lecteur NFC USB qui coûte quelques dizaines d’euros et un programme. Le tout tournant dans un téléphone portable. Il faute juste être proche de la victime, dans la version low cost de son hack. Par exemple dans une queue à la boulangerie. Il est ainsi très aisé de récupérer le contenu de la bande magnétique et sa tripotée de données personnelles pour faire un double de la carte : nom, prénom, âge, numéro complet de la carte bancaire, historique des transactions, etc.

Il donc possible de faire des achats sur des sites de e-commerce. Et comme le rappelait lors de sa keynote son confrère Fyodor Yarochkin, il est très lucratif de piquer un grand nombre de fois une petite somme.

Sa démonstration en direct de son programme a provoqué une salve d’applaudissements. En bon hacker, Renaud a aussi émis des recommandations pour améliorer la sécurité des cartes de crédit et comment se protéger. À part investir dans un porte-monnaie métallique qui coupe les ondes, la solution est simple :

Jetez-la !

Dans l’absolu notre brillant hacker prend des risques juridiques avec cet exposé d’utilité public. Une contradiction que les nombreuses personnes travaillant pour le gouvernement qui ont assisté à Hackito Ergo Sum remonteront avec force aux pontes législateurs, espérons.

—

Pour poursuivre :

Le livestream de Hackito Ergo Sum

Eric Filliol : “L’État doit s’appuyer sur les hackers”

Les étonnantes fuites de la carte bancaire sans contact

Photographies © Pierre-Henry Muller, tous droits réservés

Son nom : SE Android, pour Security Enhanced (Sécurité Renforcée) Android. Sa mission : “identifier et résoudre les graves failles dans la sécurité d’Android”. Le tout, estampillé NSA, pour National security agency, les services de renseignement américains en charge de l’espionnage des télécommunications étrangères, mais également de la sécurisation des télécommunications gouvernementales américaines.

Pour faire simple, SE Android limite les dommages que pourrait entraîner une application malveillante sur les données du téléphone. Car des applications malveillantes, l’Android Market – équivalent de l’App Store d’Apple – en a hébergé beaucoup. Si certaines laissaient peser la menace d’appels indésirables et surtaxés, d’autres permettaient d’activer à distance le micro du téléphone ou encore de lire le contenu des SMS de l’utilisateur.

Chaque jour, il se vend pas moins de 700 000 téléphones fonctionnant sous Android dans le monde. Dont on peut penser que quelques-uns sont achetés par les membres des ministères et agences gouvernementales états-uniennes. Soucieuse de remplir sa mission de sécurisation des télécommunications gouvernementales, la NSA a donc publié début janvier la première mouture de SE Android. Une extension qui n’est en fait pas si nouvelle : elle est basée sur SE Linux, un autre module de sécurité développé par la NSA spécialement pour Linux, le célèbre système d’exploitation open source.

Open source, le code de SE Android l’est aussi. Il est donc accessible à tous les développeurs amateurs ou professionnels qui veulent “l’auditer”, comme on dit dans le milieu. De quoi dissiper toute inquiétude quant aux intentions réelles de la NSA. En théorie.

Entrée par la porte de derrière

Car la NSA ne se contente pas de sécuriser les télécommunications du gouvernement américain, elle exerce également une mission de renseignement électromagnétique. Aussi appelé interception des télécommunications. D’ailleurs, son site Internet donne le ton :

Nous recueillons l’information que les adversaires des Etats-Unis souhaitent garder secrète.

Vue sous cet angle, la sortie d’un Android amélioré par la NSA a une autre teneur. En témoignent ces commentaires méfiants glanés sur les nombreux sites de fans du système d’exploitation :

Ces “petits mouchards indétectables” pointés du doigt, ce sont les “portes dérobées” (backdoors en anglais), un genre de cheval de Troie qui permet de prendre à distance le contrôle d’un système informatique. Et donc de récupérer les données d’un utilisateur à son insu. Le problème, comme l’indique un ingénieur de recherche en sécurité informatique qui n’a pas souhaité être cité, c’est “[qu’]il est très facile d’insérer une backdoor et de la noyer au milieu de milliers de lignes de code”.

Des soupçons d’espionnage au moyen de chevaux de Troie, le gouvernement américain en a d’ailleurs connu beaucoup. En janvier 2007, un scandale éclate aux Etats-Unis lorsque la NSA admet avoir travaillé avec Microsoft à la sécurisation de Windows Vista. Deux ans plus tard, la polémique rebondit pour la même raison à propos de Windows 7, la dernière version du système d’exploitation le plus utilisé au monde. Enfin, en décembre 2010, les doutes sur les intentions des services gouvernementaux américains culminent avec l’affaire Open BSD. Gregory Perry, ingénieur informatique, révèle que son ancienne société, NETSEC, a introduit des portes dérobées dans le code d’Open BSD, un système d’exploitation libre comparable à Linux. Et qu’il remplissait-là son contrat avec le Federal Bureau of Investigation (FBI), le service de renseignement intérieur des Etats-Unis.

Cela dit, les nombreux experts en informatique interrogés par OWNI font part de leurs doutes sur d’éventuelles portes dérobées dans SE Android. Radoniaina Andriatsimandefitra, thésard à l’Ecole supérieure d’électricité de Rennes :

D’après mon premier examen du code de SE Android, rien n’indique la présence de backdoors mises en place dans le but d’intercepter les données du téléphone. De plus, un code disponible en open source est relu par un bon nombre de personnes ce qui augmente la possibilité de détection avant usage même du produit.
Cependant, même si une telle chose paraît improbable, elle n’est pas à exclure.

Même avis pour Cédric Blancher, chercheur au laboratoire en sécurité informatique d’EADS Innovation Works :

La NSA prendrait un risque énorme à laisser traîner une backdoor dans son code, considérant la probabilité non négligeable que celle-ci soit découverte un jour.

L’argument open source revient sans cesse : parce que le code informatique de SE Android est vérifiable par quiconque souhaite mettre la main dans le cambouis, il semble peu probable que la NSA y ait inséré une porte dérobée. La densité du code de SE Android pourrait néanmoins réserver des surprises : “On pourrait y découvrir un cheval de Troie dans seulement dix ans !”, lance un ingénieur informatique.

Sous-traitance bon marché

En fait, l’intérêt de la NSA à rendre publique et libre d’accès une extension de sécurité pour Android se niche ailleurs. La licence libre est une nouvelle façon pour les services de renseignement américains d’imposer leurs propres standards de sécurité aux téléphones du monde entier. La pilule passe mieux que lors d’une annonce de collaboration NSA/Microsoft.

Mais l’open source a un autre avantage pour la NSA. Selon Radoniaina Andriatsimandefitra :

En agissant de la sorte, elle s’offre la possibilité de déléguer une partie du développement et de la maintenance à des développeurs issus de la communauté libre.

Un code de sécurité maintenu et enrichi gratuitement par une communauté de fans, que rêver de mieux pour la NSA ? Pas sûr, cela dit, que l’agence de sécurité rende la pareille, d’après Cédric Blancher :

Ils se serviront sans doute de SE Android comme socle à d’autres développement conservés en interne.

Ces développeurs contribueront peut-être aussi aux avancées du futur smartphone destiné aux soldats de l’armée américaine. Qui, comme par hasard, tourne sous Android.

Les exemples belges et néerlandais font craindre le pire: DigiNotar, la société qui certifiait les sites officiels des autorités des Pays-Bas a été piratée par un hacker iranien. Et le « Comité R » (la commission du Sénat chargée de la surveillance des services belges de sécurité) vient de remettre un rapport dont la conclusion a fait l’effet d’une bombe: la Belgique constitue la cible idéale pour les attaques informatiques !

Les sites officiels n’auraient subi aucun dommage. Pour l’instant, les autorités travaillent à leur sécurisation avec une nouvelle entreprise. Mais pendant quelques heures, les sites publics (gouvernementaux, mais aussi municipaux) seront inutilisables. En réalité, la mise à niveau de la sécurisation prendra plusieurs jours.

Le eGov hollandais : exemplaire mais fragile

De quoi ébranler la confiance des citoyens dans la sécurité informatique. Qu’en est-il de la fiabilité des moyens de paiement en ligne ou la protection de leurs données privées quand « DigiB », le certificat personnel qui atteste de l’identité des internautes, ne vaut plus rien?

Il faut dire que les Pays-Bas ont poussé l’informatisation de leurs services à un point rarement vu ailleurs: déclaration fiscale, extrait de naissance, documents officiels en tous genres peuvent s’obtenir via Internet… Dans les affaires, les factures papier tendent à disparaître. Quant au chèque bancaire, si courant dans les transactions françaises, il a tout simplement disparu des banques hollandaises depuis 15 ans. Les écoles primaires remettent certains devoirs aux écoliers sur clé USB…

Cela s’explique sans doute par le très haut degré d’équipement des foyers néerlandais : les derniers chiffres (2009) évoquent un taux d’équipement de 90 % des ménages tandis que 82 % d’entre eux surfent régulièrement. C’est, avec l’Islande, le taux le plus élevé d’Europe. Par comparaison, la France, en 2009, comptait 63 % de foyers équipés…

Le nombre de détenteurs de tablette numériques a doublé dans les 6 premiers mois de cette année et ce sont pas moins de 8 % des Néerlandais qui disposent de ce type d’équipement au mois d’août 2011

L’action des pirates iraniens ne visaient pas directement les sites internet des autorités néerlandaise. Il s’agit d’une nouvelle forme de piratage qui a fait une récente apparition et qui est beaucoup plus subtile.

Comment savoir si le site sur lequel vous surfez actuellement est bien celui que vous croyez? Qui garantit que le site bancaire auquel vous venez de vous connecter est bien le vôtre? Que vous n’êtes pas occupé à donner vos numéros de compte, votre nom d’utilisateur et votre mot de passe à un faussaire?

Détournement de certificats

Très tôt lors de la naissance du réseau des réseaux, la question s’est posée. Et l’une des solutions trouvées est celles des « certificats »: ceux-ci, émis par quelques société hautement spécialisées, garantissent à l’internaute la validité d’un site. Ils sont en quelque sorte la « carte d’identité » d’un site Internet. C’est une opération dite « transparente ».

C’est votre navigateur – Explorer, Chrome, Firefox, Safari, Opera, etc. – qui vérifie le certificat avant de vous donner accès à un site. S’il n’y a pas de certificat ou si les données du certificats ne sont pas fiables, votre navigateur vous avertit par un message : cette connexion n’est pas fiable. « This connection is untrusted », dans la langue de Shakespeare.

Si le certificat est un faux, vous n’avez plus aucune garantie de sécurité. Comme une fausse carte d’identité. Ce monsieur qui vous montre une carte d’inspecteur des finances est en fait un fraudeur qui veut avoir accès à vos données bancaires. Ce site qui ressemble trait pour trait à celui de votre banque est l’œuvre d’un hacker…

Dans un premier temps, l’identification de la provenance du pirate, l’Iran, a fait croire à une attaque du gouvernement. Ce dernier est devenu un acteur actif autant que la cible d’attaques du type « cyberguerre » : les Américains et les Israéliens ont tenté de saboter le programme de développement nucléaire iranien à l’aide d’un virus particulièrement sophistiqué, le Stuxnet.

L’Iran a également attaqué diverses cibles européennes ou américaines. Et notamment, une société américaine émettrice de certificats : Comodo. Cette entreprise a perdu tout crédit en étant attaquée deux fois cette année. Une première fois en mars et une seconde, à la fin du mois d’août. Les spécialistes sont formels : l’attaque est d’origine iranienne.

Dans le cas de l’attaque du mois d’août, ce sont des certificats de services Google qui ont été attaqués. Les opposants iraniens craignent le pire. Le gouvernement a donc pu avoir accès à leurs courriels et ils peuvent s’attendre à des représailles. On sait que l’Iran est particulièrement dur à l’égard des blogueurs, comme Hossein Derakshan, dit Hoder, condamné à 19 ans et demi de prison pour « entente avec des gouvernement hostiles à la République Islamique, diffusion de propagande anti-islamique et anti-révolutionnaire, blasphème et exploitation et gestion de sites pornographiques ».

L’attaque de DigiNotar a été signée. Le hacker a laissé des messages en anglais. Il se présente comme le ComodoHacker. Autrement dit, celui qui a piraté l’entreprise Comodo…

Vengeance contre les bataillons hollandais de Srebreanica

Il se décrit comme un « jeune homme de 21 ans » avec les « compétences de 1 000 pirates, l’expérience de 1 000 programmeurs ».

Est-ce vrai ? Ou s’agit-il d’une « personna » – une fausse personnalité Internet – empruntée par le gouvernement iranien ? En tout cas, l’égo surdimensionné, l’envie de publicité tout en gardant l’anonymat, le besoin de prouver ses compétences hors-pair, tout cela cadre avec la personnalité du hacker de base…

Vrai ou pas, le pirate insiste lourdement sur le fait qu’il a agi seul et qu’il n’a rien à voir avec les autorités de Téhéran:

Je suis une personne seule, n’essayez pas ENCORE de me faire passer pour une ARMEE iranienne. Si quelqu’un a utilisé les certificats que j’ai créés, je ne suis pas celui qui doit fournir une explication.

Il se vante également d’avoir piraté d’autres entreprises de certification – GlobalSign, StartCom – ainsi que WinVerifyTrust de Microsoft…
Quelles sont donc les motivations de ce pirate ? En-dehors de l’énorme besoin de reconnaissance qui éclate à chaque phrase de ses messages ou presque, le hacker déclare :

Le gouvernement néerlandais paie pour ce qu’il a fait à Srebrenica, il y a 16 ans. Vous n’avez plus de e-government, hein ? Vous êtes retourné à l’âge du papier et des photocopieuses et des signatures manuelles et des sceaux ? Oh, excusez-moi ! Mais avez-vous jamais pensé à Srebrenica ? 8.000 morts [d'un côté, contre] 30 ? Impardonnable ! Jamais ! J’entends que le gouvernement néerlandais est en train de rassembler des documents et se prépare à déposer plainte contre l’Iran, vraiment ? Honte sur vous, les gars ! Avez-vous été jugé pour Srebrenica ? Qui devrait déposer plainte pour Srebrénica ? Vous deviez payer: voilà les conséquences de Srebrenica, sachez le ! Ceci est la conséquence du combat de votre parlement contre l’Islam et les Musulmans.

Pourquoi Srebrenica ? Srebrenica est la ville où 8 000 musulmans bosniaques ont été massacrés en juillet 1995, en pleine guerre yougoslave. La population musulmane de Bosnie était alors sous la protection des forces de l’ONU. En l’occurrence, les Dutchbats ou bataillons néerlandais, accusés depuis par les familles des victimes d’être responsables du massacre. Ou en tout cas, d’avoir laissé l’armée serbe d’avoir massacré des civils – hommes, femmes et enfants – sans avoir réagi.

Voilà qui déplace le débat néerlandais à propos de l’islam sur un nouveau champ de bataille, celui de la cyber-guerre…

Le ministre Donner a annoncé qu’une enquête était en cours et que les certificats sont restaurés par d’autres entreprises. Getronics, une filiale de la société de Télécoms néerlandaise, engrange des dizaines de clients depuis trois jours, parait-il: Le malheur des uns…

La Belgique « cible idéale » selon un rapport sénatorial

Et en Belgique, qu’en est-il de la sécurité informatique ? La situation n’est guère plus enviable. Le Comité R (Comité Permanent de Contrôle des Services de Renseignement et de Sécurité) est une commission spéciale du Sénat belge. Comme son nom l’indique, sa première mission et de contrôler le travail des services de renseignement et de sécurité, mais aussi de se livrer à un travail d’analyse et de prospective en la matière.

C’est dans ce cadre, que le Sénat lui avait confié, en 2007, une « enquête sur la manière dont les services belges de renseignement envisagent la nécessité de protéger les systèmes d’information contre des interceptions et cyberattaques d’origine étrangère ».

Malgré son titre interminable, le rapport consiste en 5 pages claires, concises et lisibles pour le commun des mortels. Mais ses conclusions sont alarmantes:

La Belgique constitue une cible idéale pour les attaques informatiques.

Ce qui est mis en cause, ce n’est pas l’absence de services consacrés à la protection informatique. Ce qui pose problème, c’est au contraire la multiplicité des services en charge de cette matière et leur manque de coordination. Pas moins de 6 institutions ont dans leur missions la protection de données ou de systèmes informatiques :

• l’Autorité Nationale de Sécurité (ANS) ;
• la Sûreté de l’Etat (service de renseignement civil) ;
• le SGRS (service de renseignement militaire) ;
• le FEDICT (Service public fédéral de l’Information et de la Communication) ;
• BELNET (le fournisseur de services Internet des autorités belges) ;
• l’IBPT (Institut Belge des Services Postaux et des Télécommunications)

Le résultat de cette dispersion est évident: plus personne n’a donc une vue d’ensemble de la situation ! Et les auteurs du rapport précisent:

L’absence d’une politique fédérale globale en matière de sécurité de l’information (et de réelle autorité en la matière) entraîne une très grande vulnérabilité du pays en cas d’agression sur ses systèmes et réseaux vitaux d’information.

Ils ne laissent planer aucun doute sur la gravité de la menace:

Les menaces qui pèsent sur ces systèmes d’information sont susceptibles de porter atteinte à la sécurité et aux intérêts fondamentaux de l’Etat.

Mise en garde globale

Mais le pire est à venir: l’Autorité Nationale de Sécurité est l’organisme qui serait le mieux placé pour assurer cette coordination. Or, le rapport précise que « les moyens techniques mis à [sa] disposition sont nettement insuffisants ».

Le rapport pointe aussi du doigt l’importance des certificats et recommande la création d’une instance nationale de certification afin de ne plus dépendre de l’étranger. Mais le cas hollandais démontre malheureusement, que cela ne constitue pas une garantie de sécurité…

Les auteurs recommandent « la plus grande prudence dans le choix des équipements techniques sécurisés » ainsi que dans celui « des fournisseurs de ce matériel ».

Enfin, le rapport insiste sur la nécessité de protéger les sites des ministères autres que celui de la Défense ou « ceux d’infrastructures critiques pour le fonctionnement du pays ». Autrement dit, ils sont pour l’instant exposés aux menaces les plus diverses. Et il recommande de confier cette mission à la Sûreté de l’Etat (VSSE).

Le mot de la fin appartient sans doute à l’association Bits of Freedom, une organisation de défense des données privées des citoyens qui considère que l’attaque de DigiNotar, devrait constituer « un ‘wake-up call [un coup de smeonce] pour les autorités du monde entier ».

Alors que la sécurité informatique reste une prérogative nationale jalousement gardée, l’attaque des certificats publics néerlandais tout comme le rapport belge incitent à se demander si les Etats sont vraiment prêts à faire face à une des dimensions les plus subtiles et pourtant les plus dangereuses de la guerre post-moderne : la cyberguerre ? La réponse, pour ces deux pays au moins, est clairement: Non !

__

Article initialement publié sur MyEurop sous le titre Belgique et Pays-Bas : la cyberguerre a commencé !

FlickR ;   Christopher Schirner ; Gianni Dominici ; FaceMePLS; romainguy ;

Que vous soyez puissant ou misérable…

D’autant que généralement, le seul perdant, c’est le client. Les hacks ultra médiatiques sont oubliés aussi vite qu’ils apparaissent. Et dans ce domaine, personne n’est épargné : les plus gros, les plus riches, comme les plus anonymes. Tous se font avoir un jour ou l’autre.

Pas de souci, tout cela est si vite oublié…

Ceux qui ne l’oublieront pas sont généralement des anonymes, qui n’ont pas les moyens de faire payer ceux qui sont à l’origine de leurs ennuis. Des clients lambda dont les données personnelles se retrouvent sur le Net. Noms, adresses, numéros de sécurité sociale, numéros de carte bancaire, logins et mots de passe pour tel ou tel service en ligne. Factures qui s’allongent, comptes en banques qui se vident. Bienvenue sur Internet, le réseau où ceux qui transigent avec la sécurité de vos données ne seront jamais poursuivis.

Bien entendu, ces entreprises, ces ministères, blâmeront les « pirates » qui ont accédé à ces données. Ils sont maléfiques, viennent au choix de l’Est ou de Chine, mettent en péril le gentil capitalisme.

Pourtant, on semble oublier un peu vite que le défaut de protection des infrastructures est le fait desdites entreprises, desdits ministères.

Leurs économies de bouts de chandelles ont des conséquences.

Le législateur français, à une époque lointaine, lorsqu’il réagissait avec sa tête plutôt qu’en fonction de peurs infondées et sur la base d’un savant storytelling, avait compris que, s’il fallait punir le « pirate », il fallait aussi punir celui qui ne prenait pas les mesures nécessaires  pour protéger les données qui lui étaient confiées.

Ainsi, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 ) en son article 34 dispose que :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Et l’article 226-17 du Code Pénal dispose que :

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Fuite de données personnelles : mise en garde partout, condamnation nulle part…

Maintenant, observons la jurisprudence en France dans ce domaine. Si les condamnations pour « piratage » sont légion (mais pas aussi dures que ce que la loi permet), celles qui concernent la non protection des données personnelles sont… inexistantes.

La dernière remonte à l’époque du Minitel. De mémoire, une femme avait mis en vente son appartement sur un serveur immobilier et ses données avaient malencontreusement « basculé » sur un serveur « rose ».

Les fuites de données personnelles sans même avoir besoin d’avoir recours à un quelconque « piratage » sont légion depuis l’arrivée d’Internet. Et pas une seule condamnation.

Le législateur (français et européen) réfléchit actuellement à un projet obligeant les entreprises à rendre public un éventuel piratage de leurs infrastructures. Voilà qui fera une belle jambe aux personnes dont les données auront fuité…

Depuis 1998, Kitetoa.com, vite rejoint par nombre de sites, dont l’excellent blog de Korben, ou le site Zataz.com, listent inlassablement les milliers de serveurs qui, mal paramétrés, laissent fuiter les données.

Que l’on se comprenne bien, pour ce qui est de Kitetoa.com, il ne s’agit pas d’expliquer des piratages, des moyens illégaux pour accéder à ces données. L’utilisation d’un simple navigateur, sans aucune identification sur le serveur suffit. Avec un peu d’imagination, on comprend ce que de vrais pirates pourraient faire.

Bilan des courses ? Rien.

De toutes ces informations rendues publiques… qu’en est-il ressorti ?

Rien.

La CNIL ne s’est jamais appropriée un seul de ces dossiers. Elle n’en a jamais transmis un seul au procureur.

Et les procureurs, justement… Aucun ne s’est jamais saisi de ces affaires, pourtant publiques. Imaginez un site listant des infractions, des actes pénalement répréhensibles. Donnant tous les détails. Il a des chances pour que des procureurs se réveillent et fassent en sorte que des vérifications soient menées. Dans le domaine de la non protection des données personnelles, rien.

Reflets.info vient de démontrer en quelques lignes que l’ensemble de la loi Hadopi est boguée et qu’il importe de tout revoir. Le problème n’est pas récent, il avait été souligné par des parlementaires pendant les débats, par exemple sous forme de questions au ministre de la culture, des questions dont certaines sont encore sans réponse. La Haute Autorité consciente du problème, s’est montrée très réceptive aux problématiques de protection des données personnelles qui refont aujourd’hui surface. Pour autant, très probablement, les avocats ont désormais en main de quoi faire annuler toute procédure se fondant sur ce texte (Maître Eolas ?).

Ce dernier événement dans la trop longue liste des sites troués charrie un sacré cortège de questions. Pourquoi ce texte a-t-il pu être voté par les députés et les sénateurs ? Pourquoi le sénateur, Alex Türk a-t-il voté un texte critiqué par la CNIL qu’il préside par ailleurs ? Pourquoi personne n’a écouté ceux qui savent et qui fournissaient leurs analyses gratuitement ? Pourquoi tant de questions sont-elles restées sans réponses ?

Le règne des costumes cravates

Depuis que le Net est là,  depuis plusieurs postes d’observation, je contemple l’action des commerciaux en costumes cravates de mauvaise facture vendre à prix d’or des projets troués d’avance. Je les regarde vanter les mérites de leurs entreprises, qui n’en ont aucun. Les marchands de vent qui viennent crier sur tous les toits que leurs logiciels protègent contre les « hackers », contre les failles passées, présentes et futures. Je les contemple enfumer leurs clients, mais aussi les représentants du peuple.

Parmi les hommes en costumes cravates de mauvaise facture, il y en a même qui s’arrogent le droit de jouer aux cow-boys du Net. C’était le cas de HBGary aux Etats-Unis et l’affaire a très mal fini. Rien ne dit qu’il n’y a pas en France une ou des entreprises qui pensent engranger des millions en suivant cette voie périlleuse. L’avenir le dira sans doute. Patience.

Quoiqu’il en soit, le réseau Internet n’a pas été conçu pour faire du commerce électronique, bien au contraire. Il est tout sauf sécurisé. Allons plus loin, il est tout sauf sécurisable. C’est juste impossible. Alors vendre du stockage de données personnelles, du paiement d’impôts, de la e-administration publique, du commerce électronique, c’est simplement laisser, en toute conscience, un crime se dérouler.

J’ai coutume de dire dans des conférences qu’il ne faut pas craindre les piratages qui font la Une des journaux. Aussi incroyables soient-ils, aussi dérangeants puissent-ils paraître. Ce qu’il faut craindre, ce sont les piratages dont on n’entend jamais parler. Ils sont bien plus inquiétants. Et ils existent.

Pour ce qui est de la loi Hadopi, dire que les particuliers doivent sécuriser leur accès Internet, c’est très con. Et c’est faire preuve d’une fabuleuse mauvaise foi. Désolé de faire une comparaison avec le monde réel, mais visiblement un sénateur comme M. Türk ne doit pas comprendre autre chose.

Imaginons que l’on oblige les particuliers à prendre des mesures pour éviter que leurs voitures ne soient volées et ne servent à commettre un délit, comme une attaque à la voiture-bélier. Sans quoi ils seraient poursuivis. Stupide n’est-ce pas ? C’est pourtant à peu près la même chose que de dire que les particuliers doivent sécuriser leurs accès.

Dire que si l’adresse IP d’un particulier est repérée en train de télécharger un film cela doit aboutir à une coupure de l’accès au Net, c’est simplement méconnaître la réalité. Avec les millions de bots qui tournent pour exploiter des Windows troués, avec les milliers de logins et mots de passe qui trainent sur le Net pour se connecter à des accès Wifi de particuliers, c’est une honte de passer une telle loi.

Tout cela a été dit lors des débats précédant le vote de la loi par ceux qui savent comment fonctionne le réseau. Personne ne les a écoutés. Depuis des années et des années, nous sommes nombreux à dire que si l’on n’attaque pas les entreprises au portefeuille, les données personnelles continueront de fuiter. En vain.

Laisser le secteur s’auto-réguler, prendre des dispositions comme PCI-DSS, c’est le laisser faire n’importe quoi (voir Sony et Hartland par exemple). C’est à peu près aussi stupide que d’attendre des financiers qu’ils arrêtent, sans aucune pression extérieure, de créer des crises monumentales.

Les seuls qui pourraient faire quelque chose, les procureurs, la CNIL, le législateur, les politiques, sont silencieux et inactifs. Il y a bien quelques écrans de fumée déclenchés de temps à autre. Sept minutes d’amende pour Google par exemple. Mais pour TMG, combien ? Pour ceux qui ont monté l’usine à gaz qu’est la loi Hadopi, combien de minutes d’amende ?

Photos flickr CyberHades; Le Bourg Heïdi ; AngusKingston ; Reza Vaziri.

Près de quinze jours après la révélation des faits, les témoignages recueillis par OWNI montrent que l’opération de transparence effectuée par les autorités autour de cette affaire d’espionnage signe un tournant politique dans l’approche de la sécurité informatique. La France n’est plus victime du syndrome de Tchernobyl: les problèmes de sécurité informatique ne s’arrêtent plus à nos frontières, et l’ANSSI, chargée d’y faire face, a décidé de le faire savoir.

Reste à savoir si, comme semblent le penser certains enquêteurs de la Direction centrale du renseignement intérieur (DCRI), les espions ont bénéficié de la complicité d’une “taupe“, ou si, comme le soulignent d’autres sources, la complexité et l’ampleur de l’infiltration s’expliquent par le savoir-faire professionnel de ceux qui ont mené l’opération.

Un virus créé tout spécialement pour les cerveaux de Bercy

Comme l’explique Jérome Saiz, rédacteur en chef de SecurityVibes France, citant une source proche du dossier, le premier ordinateur à avoir été infecté ne l’a pas été parce qu’un fonctionnaire de Bercy a inconsidérément ouvert une pièce jointe annexée à un spam, mais parce que le ou les pirates avaient envoyé “à un destinataire particulièrement bien choisi” un e-mail accompagné d’un fichier .pdf qui avait été piégé au moyen d’un code malicieux développé tout spécialement pour l’occasion. Explication :

Rien de nouveau ici, c’est une technique courante : un mail légitime est intercepté, sa pièce jointe piégée et le tout est renvoyé au destinataire, en se faisant passer pour l’expéditeur original

Cette technique est d’autant plus sophistiquée qu’il faut d’abord :

soit parvenir à intercepter des e-mails échangés par des fonctionnaires hauts placés
soit effectuer un criblage très précis des cibles visées afin de pouvoir usurper une identité, et créer de toute pièce un “vrai-faux” mail ayant toutes les apparences d’un vrai

Elle n’en serait pas moins “courante” dans les hautes sphères internationales, comme l’expliquait l’an passé à Jérôme Saiz le responsable de la sécurité informatique du Conseil de l’Europe:

Des documents pertinents, émis par le Conseil, sont régulièrement interceptés, piégés dans la journée et renvoyés dans le bon bureau, à la bonne personne qui suit le dossier en question.

Si le code malveillant a pu s’installer dans l’ordinateur, c’est qu’il avait été créé tout spécialement pour échapper aux radars des antivirus, mais également parce que le ministère de l’Economie n’avait pas installé les systèmes de défense en profondeur préconisés par l’ANSSI afin de détecter les signaux faibles révélateurs de telles tentatives d’attaque, sondes dédiées, ou taps, permettant de surveiller un réseau en toute discrétion et sans le perturber.

Un espion au ministère de l’Economie?

De fait, c’est un fonctionnaire de Bercy qui, intrigué de recevoir un e-mail de l’un de ses partenaires alors que ce dernier n’était pas présent à ce moment-là, a alerté les responsables sécurité du ministère. Ceux-là même ont alerté l’ANSSI qui, découvrant l’infection de l’ordinateur, a d’abord mandaté trois, puis, au vu de l’ampleur du problème, 40 personnes au total, dont 20 à 30 mobilisées en permanence, afin de parer l’attaque.

Il a fallu identifier l’ensemble des ordinateurs compromis, mais également étudier le modus operandi et les vecteurs de l’attaque, les heures à laquelle les espions se connectaient, comment, les documents qui avaient fuité… et en référer à l’Élysée puis, comme l’avait déclaré François Baroin sur Europe 1, leur envoyer des “leurres“.

Toutes ces opérations expliquent pourquoi il a fallu attendre trois mois entre la première alerte et la révélation de l’affaire. D’autant qu’il fallait également préparer le nettoyage du réseau et des ordinateurs de Bercy et, comme le souligne Jérome Saiz, l’application des correctifs manquants, “et bien entendu l’installation des sondes et l’audit du trafic“, le week-end du 5 mars.

D’après nos informations, le criblage des personnes dont les ordinateurs ont été infectés aurait commencé six mois au moins avant la détection de l’opération, et sa précision serait telle que certains enquêteurs de la DCRI pencheraient pour la thèse d’une taupe, d’un “tonton” qui, de l’intérieur même de Bercy, aurait aidé les espions à préparer leur infiltration.

Il est en effet courant, en la matière, de procéder à une enquête fouillée concernant les cibles à espionner afin de mieux préparer le lancement, et le déroulé, du piratage de leurs ordinateurs.

Tout en reconnaissant une “opération de renseignement très bien menée“, d’autres sources mettent en doute l’hypothèse d’une taupe infiltrée, avançant que l’organigramme du Trésor est disponible publiquement, tant sur le site du ministère que sur l’annuaire de service-public.fr, numéros de téléphones et adresses e-mail à l’appui.

La fin du “syndrome de Tchernobyl”

On ne saura peut-être jamais, ou pas avant un certain temps, qui est derrière cette affaire d’espionnage, ni ce qui les intéressait dans les préparatifs du G20 ou les autres documents qu’ils ont réussi à exfiltrer… Mais d’après nos sources, la complexité du mode opératoire indique qu’il ne peut s’agir que d’une équipe de professionnels. Nous serions donc en présence d’une affaire d’espionnage, et pas d’un acte perpétré par des Anonymous politiques ou des pirates opportunistes.

En déclarant, sur Europe 1, que “tout a été mis en oeuvre (…) pour envoyer des leurres” et que “la communication de ce matin devrait apporter l’information aux hackers : ils ont été repérés”, François Baroin leur a d’ailleurs tendu une perche. Si d’aventure des documents issus de ce piratage venaient à être exploités, la DCRI aurait beau jeu d’identifier les espions pirates de Bercy. En revanche, leur publication sur un site de type WikiLeaks, ne permettrait probablement pas de remonter à la source.

En expliquant à Paris-Match qu’il s’agissait de “la première attaque contre l’Etat français de cette ampleur et à cette échelle“, Patrick Pailloux, le directeur de l’ANSSI, a contribué à relativiser les failles de Bercy en matière de sécurité informatique. Mais il a également mis en avant le travail ainsi que la montée en puissance et en capacité de ses équipes, dont les compétences, à en croire les profils de poste recherchés, sont particulièrement pointues.

En tout état de cause, cette affaire montre que si Bercy, contrairement à d’autres ministères, n’était visiblement pas préparé pour empêcher une telle attaque, “c’est la preuve que cela n’arrive pas qu’aux autres“, comme nous l’avait expliqué un porte-parole de l’ANSSI:

C’est moins un coup de projecteur sur l’agence qu’un formidable moyen de faire de la prévention dans les institutions. Il n’y a pas de nuage de Tchernobyl qui s’arrête aux frontières dans le domaine de la sécurité informatique.

Quand le contre-espionnage
diabolisait les hackers

Cette approche des questions de sécurité informatique est un véritable tournant dans la façon dont l’État aborde ses sujets. Et nombreux sont les journalistes et blogueurs férus de sécurité informatique qui, de fait, avaient d’abord exprimé des doutes, portant notamment sur le timing de cette annonce, le mode opératoire (vieux comme une antiquité), la “piste chinoise” ou encore le côté “plan com’” de cette révélation.

Pour mieux comprendre ce tournant, il faut revenir sur l’histoire des hackers, et plus particulièrement sur la façon dont ils ont été perçus et gérés par les autorités françaises.

En 1989, le Chaos Computer Club allemand, le plus important des groupes de hackers dans le monde, est impliqué dans la première affaire de cyberespionnage internationale. Plusieurs de ses membres avaient piraté des ordinateurs américains pour le compte du KGB. Le cadavre de l’un d’entre-eux, Karl Koch, a été retrouvé carbonisé dans une forêt, la police concluant au suicide.

Découvrant que des jeunes bidouilleurs pouvaient ainsi mettre en péril la sécurité nationale, la Direction de la surveillance du territoire (DST), en charge du contre-espionnage, décide alors de recruter de jeunes hackers, profitant du service militaire alors obligatoire, pour attirer en son sein un certain nombre de petits génies de l’informatique.

Parallèlement, la DST demande à un musicologue et informaticien, Jean-Bernard Condat, de créer le Chaos Computer Club de France, afin de mieux pouvoir cerner et de surveiller le milieu des hackers français.

L’opération d’infiltration ne fut révélée qu’en 1995, par Jean Guisnel, dans un livre intitulé Guerres dans le cyberespace, services secrets et Internet, mais le mal était fait : en France, depuis, plus personne ne se revendique officiellement de l’étiquette “hacker“, de peur de passer pour une taupe de la DST, ou de se retrouver placé sous sa surveillance rapprochée.

La cécité informatique des autorités

Eric Filiol, lieutenant-colonel de l’armée de Terre, qui se définit lui-même comme un “corsaire“, pour se démarquer des “pirates“, et qui avait créé un laboratoire de cryptologie et de virologie du temps où il était militaire, estimait ainsi l’an dernier que “le problème c’est que la France a pendant longtemps diabolisé les hackers“, contribuant à placer un écran de fumée au-dessus des questions de sécurité informatique.

Lorsque je l’avais interviewé en 2010, il déplorait la “défiance totale vis-à-vis de l’informatique (et la) totale méconnaissance” ayant amené les responsables politiques à voter les lois Hadopi puis Loppsi alors que, pour lui, l’État devrait s’appuyer sur les hackers, plutôt que de les diaboliser. Signe de cette déconnexion des autorités avec la réalité de la sécurité informatique :

En France, la sécurité informatique ressemble aux nuages nucléaires: les problèmes s’arrêtent aux frontières. Pourtant, on a dénombré pas moins de 600 attaques critiques envers l’administration française en 2008 !

Au vu de ce passif, on comprend un peu mieux les doutes exprimés par ce même Eric Filiol qui, réagissant à l’annonce du piratage de Bercy, avait d’emblée mis en doute l’hypothèse chinoise, un péril jaune régulièrement avancé par les responsables politiques en matière d’espionnage informatique. Daniel Ventre, ingénieur chercheur au CNRS et auteur de deux livres sur la guerre de l’information, exprimait les mêmes réserves en notant qu’”il ne sortira probablement pas grand chose de cette affaire” :

La Corée du Sud a elle aussi connu des déboires similaires il y a quelques temps, à l’occasion du G20. Elle a accusé la Corée du Nord, la Chine, et en a profité pour valider son projet de création d’unités de cyberdéfense.

En l’espèce, et comme OWNI s’en était d’ailleurs étonné en évoquant un piratage qui tombe à pic, l’ANSSI venait tout juste d’être dotée, un mois plus tôt, de capacités de “cyberdéfense” la faisant clairement monter en puissance, et alors même que le coordonnateur national du renseignement avait de son côté déclaré, fin janvier, qu’”il s’agit d’un dossier que le Président de la République suit de très près“.

Si tu ne viens pas à Lagardère,
Lagardère ira à toi

De fait, le timing de cette révélation, à 7h du matin, sur ParisMatch.com, puis par le ministre du Budget François Baroin, interrogé par Jean-Pierre Elkabbach à 8h sur Europe 1, avait de quoi susciter quelques interrogations. Ces médias sont en effet les deux vaisseaux amiraux du groupe Lagardère Publishing, propriété du “frère” de Nicolas Sarkozy.

A ceci prêt qu’il ne s’agissait nullement d’une collusion mais bel et bien d’un hasard complet. Contacté par OWNI, David Le Bailly, le journaliste de Paris Match à l’origine du scoop, nous explique qu’il avait eu vent, le lundi précédent et de la part d’une personne qui ne connaît pas grand chose aux questions de sécurité informatique, d’une “attaque informatique sur Bercy“.

Après avoir recoupé l’information, il contacte l’ANSSI. Son directeur, Patrick Pailloux, le rappelle le lendemain et lui fait comprendre qu’il ne répondra à aucune question, mais que si le journaliste peut attendre jusqu’au week-end suivant, il lui raconterait tout, “en exclusivité“.

Vendredi, une opération de maintenance informatique est annoncée à Bercy. L’information remonte jusqu’au journal Libération, qui interroge le ministère de l’Economie et des finances, mais ne parvient pas à recouper l’information.

Dimanche soir, Patrick Pailloux répond aux questions de David Le Bailly, lui demandant de garder l’embargo jusqu’au lundi 9h, de sorte que les fonctionnaires de Bercy découvrent le message qui allait s’afficher sur leurs ordinateurs avant d’entendre parler de cette histoire dans la presse :

Comme cela a été annoncé vendredi, d’importantes maintenances informatiques ont été effectuées afin de renforcer la sécurité. Cette opération a été décidée suite à des attaques informatiques visant le réseau informatique de Bercy.

Mais le journaliste de Paris Match, découvrant le dimanche soir que François Baroin devait être interviewé par Elkabbach sur Europe 1, le lundi à 8h20, craint de se voir griller son scoop, et décide finalement de le publier à 7h.

En tout état de cause, l’information avait commencé à fuiter, les fonctionnaires de Bercy commençaient à en causer, 12 000 postes étaient concernés par l’opération de maintenance, il était impossible de continuer à garder le secret.

Des sources proches du dossier nous ont confirmé que l’ANSSI avait prévu, avant même que David Le Bailly ne les contacte, de nettoyer tous les ordinateurs de Bercy ce week-end là, mais également de communiquer sur le sujet. Par contre, François Baroin n’aurait pas prévu, initialement, d’évoquer l’affaire sur Europe 1.

Contactée, l’ANSSI, qui a été très sollicitée suite à la révélation de l’affaire par Paris Match, et qui avait fait un point presse le lendemain, a décidé de ne plus s’exprimer sur la question au motif qu’elle a répondu à toutes les questions et que tout a été dit. Reste, maintenant, à attendre les conclusions de l’enquête de la DCRI.

—

Photos CC Vicent-t, Pierre Numérique, regis frasseto, jfgornet, jfgornet, regis frasseto