Spécial sécurité : Internet, une zone de non-droit… enfin !
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, nous livrent un billet d’humeur plein d’ironie sur Internet, présenté aujourd’hui comme un champs de bataille. Ils pointent du doigt ensuite sur les intrusions puériles opérées sur les serveurs de la société Vupen et sur le blog de Zythom.
Sommaire :
1 - Internet, une zone de non-droit… enfin !
2 - Vupen, Zythom : La vengeance des frustrés
1 - Internet, une zone de non-droit… enfin !
Voilà qui va faire plaisir à quelque ex-ministre au chômage qui voyait en Internet une zone de non-droit, un ramassis de pédopornographes violeurs et poseurs de bombes. C’en était effectivement trop de ces geek boutonneux ou de ces cadres en cravate IBM costume trois-pièces-cuisine-salle de bain qui vous ressassaient des histoires de « netiquette », des discours sur les firewall-antivirus et qui, inconscients qu’ils étaient, utilisaient des ordinateurs pour « faire du business » ou « échanger des idées ». A tel point que même les Lopsi, Loppsi, Hadopi, LCEN et autres entremets sauce techno-psychose finissaient par rendre leurs auteurs et ceux chargés de les faire appliquer aussi ridicules que leurs textes. A la longue, cette apparente inoffensivité, c’est un coup à se faire barrer même des Municipales de Nogent-La-Garenne ou de la Présidence de l’Amicale Bouliste du Bas-Quercy.
Vrai, quoi. Depuis le « non-démenti qui sonne comme un aveu » révélant une potentielle paternité U.S. de Stuxnet, on se sent franchement soulagé. Décontracté même. Va seulement falloir légèrement revoir la copie des discours de Comice Agricole, et apprendre à utiliser la fonction Recherche-Remplace des traitements de textes parlementaires. « Cyberpédophile » devient « Puissance Extérieure », « poseur de bombe influencé par les sites web d’incitation à la violence » se transforme en « techno-soldats engagés dans une opération commando de riposte Scada », et, plutôt que de parler de « hordes d’Anonymous sans foi ni loi » ou de « bandes mafieuses spécialisées dans le vol d’identité », on avancera quelques périphrases du genre « opérations préventives d’information sous la responsabilité des Services de Renseignement ». Que des bonne choses, quoi. En Haut Lieu, on envisage même de renforcer Hadopi. Le délit d’incompétence informatique qui pouvait frapper même les membres de la Maison de Retraite « Les Tilleuls » (on a encore du mal à devenir CISSP dans cet établissement) sera désormais transformer en « désertion face à l’ennemi » ou « insoumission à un ordre de cybermobilisation générale ».
Internet devient le Far-West qu’il n’a jamais été jusqu’à présent, et c’est pas trop tôt.
Certains nostalgiques s’émeuvent et parle de boîte de Pandore, ainsi Mikko Hyppönen, qui nous promet des « réveils pénibles et des nairvousses brèkdonnes » Ce à quoi Steve Bellovin nous fait remarquer que le réveil pénible, c’est celui de ce début juin 2012, mais que cette Far-Westisation de l’Internet par les Etats-Nation ne date pas d’hier. Stuxnet, Duqu, Flame avaient déjà quelques années d’existence avant que l’on ne les découvre. Et encore, précise-t-il, ces attaques ont été révélées par des entreprises privées occidentales et ne visaient que d’exotiques pays d’orient ou du moyen orient. Et de poser la question « et dans nos pays, là où ce sont précisément les Agences Gouvernementales qui auraient plutôt le rôle d’analyser les malwares qui nous frappent, combien d’équivalents Stuxnet sont actifs sur nos machines ? ». Et compte tenu de la longue tradition d’ouverture, de transparence et de savoir-faire en matière de communication qui caractérise les CIA, FBI, NSA, Secret Services (et ajoutons dans la foulée la DCRI, l’IRCGM, l’Anssi du côté de nos frontières), on peut être assuré que jamais la population ne sera inquiétée par les ravage d’un virus Stux-Titan-Dragon-DuQu- Rain Night-Flame-quelque-chose. Car ce serait franchement amusant d’un pur point de vue entomologique que de constater que le virus d’Etat n’affectionne que les pays chauds et néanmoins pétrolifères ou les ordinateurs du Pays de Mahom.
1 - Vupen, Zythom : La vengeance des frustrés
Quelques mots rapides pour signaler la revendication d’un « hack et demi ». Le premier, hack complet, a frappé, en plein déroulement des SSTIC, le blog de Zythom, expert judiciaire connu comme le loup blanc dans le landerneau français de la sécurité. Hack bête et méchant, revendiqué par un courageux anonyme justifiant son acte par un « Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l’on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc…), ou préférez-vous les aider ? ». Faire taire ceux dont le discours dérange, casser pour le plaisir de montrer une prétendue compétence est une activité … sans grande intelligence.
Autre revendication de hack par frustration, celui de l’entreprise Française Vupen, conséquence probable de la fameuse histoire de l’exploit utilisé à l’occasion de P0w20wn et que le gagnant « ne donnerait pas même pour une fortune s’il peut rapporter plus en le vendant ». Demi-revendication devrait-on dire, car l’origine est assez confuse et dénuée de preuves tangibles. Cette intrusion des systèmes de Vupen aurait permis de dérober près de 130 ZDE stockés sur les serveurs de l’entreprise, dévoile un billet de Kevin Townsend. Chaouki Beckrar, Grand Timonier et fondateur de Vupen, a répondu par un twitt laconique qualifiant l’affirmation de « Troll ».
Bataille de sur-moi et jeux de l’ego, le monde de la sécurité est parfois d’une étonnante … puérilité.