Spécial sécurité : La cyber-peur plus forte que la terreur terrorisante
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, attirent notre attention sur une étude Unisys qui révèle combien la peur de la cybercriminalité est grandissante chez les Américains, quitte à dépasser celle du terrorisme « traditionnel ». Ils s’arrêtent ensuite longuement sur l’affaire Amesys. Puis, nos confrères pointent du doigt une faille iCloud avant de terminer par les chiffres Gartner du marché des UTM.
Sommaire :
1 - La cyber-peur plus forte que la terreur terrorisante
2 - Karsten Nohl et Sylvain Munaut perfectionnent leur « crack du GSM »
3 - Apple iCloud, une illusion de sécurité
4 - UTM : toujours en forme
1 - La cyber-peur plus forte que la terreur terrorisante
Tout a une fin, même les campagnes politiques poussant le culte de la peur et de l’omniprésence terroriste, puisque, si l’on en croit une récente étude réalisée par le cabinet Lieberman commanditée par Unisys, le citoyen Américain craint plus les Anonymous, les cyber-attaques et le « big one » numérique que les poseurs de bombe barbus. Peut-être est-ce là un premier effet de la crise économique qui frappe les pays occidentaux, et qui recentre les préoccupations autour des intérêts et risques financiers de chacun.
74% des citoyens US veulent voir se développer une meilleure protection des infrastructures informatiques fédérales, 73% estiment qu’il faut faire des efforts pour sécuriser les réseaux d’alimentation en énergie : un syndrome Die hard national en quelques sortes bien que la probabilité d’une attaque Scada portant sur tout un pays soit techniquement hautement improbable. En revanche, l’intérêt pour la chasse au terrorisme et l’importance du DHS (département de la défense intérieure), qui fut tant à la mode ces 10 dernières années, tout cela n’éveille l’attention « que » de 68 % de la population.
Précisons que l’étude Unisys a été effectuée non pas auprès de responsables d’entreprise ou de spécialistes sécurité, mais en interrogeant une population d’un millier de foyers sans critère particulier.
Cette étude, qui ne mesure en aucun cas le niveau d’une cyber-menace réelle, montre à quel point il est simple de créer des psychoses d’envergure nationale sans avoir à avancer la moindre parcelle de preuve. Elle met également en évidence un étonnant non-sens qui semble avoir pris racine aux USA : la croyance qu’il est possible de combattre une technique. Les « années Bush » ont inventé la « guerre au terrorisme », les années Obama sont passées à la « guerre contre la cyber-guerre ». Cette cristallisation des angoisses non pas contre une entité, une nation, un danger identifiable, mais contre un concept polymorphe et imprécis donne à quelques lobbyistes les coudées franches pour écouler des stocks de caméras de flicage (ou de vidéo protection selon le radicalisme idéologique du moment), des outils de surveillance d’Internet, des lois sur la suppression du secret de la correspondance lorsque celle-ci devient numérique et ainsi de suite. Las, l’étude d’Unisys n’établit pas de courbes mettant en regard la montée des cyber-angoisses et les prévisions de vente des spécialistes de la cybersurveillance, pourtant critiqués par ailleurs dans le milieu de la presse économique
2 - Juridique : Amesys, un « précédent » prometteur ?
Lorsque le moteur de recherche Google renvoie plus de 77 000 réponses à la requête « Amesys torture », c’est qu’il se passe quelque chose de nouveau depuis la plainte déposée l’an passé par la Fédération Internationale des Droits de l'Homme. En effet, une enquête vient d’être ouverte par un bureau du Tribunal de Grande Instance de Paris spécialisé dans les crimes de guerre, crimes contre l'humanité et génocides. L’enquête en question serait diligentée par le juge Céline Hildenbrandt.
L’affaire Amesys, c’est avant tout le travail de deux médias, de trois journalistes : Owni, et notre confrère Jean Marc Manach, auteur du livre « Au pays de Candy », ainsi que de MM Antoine Champagne et Olivier Laurelli, de Reflets.info. C’est également la conséquence de l’attitude très ambigüe du gouvernement Sarkozy avec les gouvernements musclés d’Afrique du Nord. Entre les « conseils et soutiens logistiques » proposés au gouvernement tunisien en pleine révolution et la volonté de considérer les outils de flicage télécom comme de simples « logiciels commerciaux en vente libre dans le civil », on ne peut pas franchement dire qu’il y ait eu un grand souci éthique en matière de relations internationales. Et c’est précisément cette ambigüité, cette volonté de ne pas trop se compromettre d’un point de vue politique qui a provoqué l’affaire Amesys.
Des décisions schizophréniques
Le fond du problème est de savoir si le catalogue Amesys (et plus particulièrement son logiciel de surveillance multi médias au sens originel du terme) est ou non assimilable à une arme ou un instrument militaire ou policier. Si oui, la vente d’une telle « solution » met directement en cause la responsabilité du gouvernement en place à l’époque, car le commerce d’armes répond à des règles bien précises et à des choix politiques affichés. On ne vend pas un sous-marin ou un missile comme un kilo de carottes et un système de surveillance Eagle comme un traitement de texte. Si Eagle n’appartient pas à cette catégorie d’outils contingentés à l’export (ce qui a toujours été l’argument principal avancé tant par le gouvernement de l’époque que par la direction de Bull), c’est la seule responsabilité des dirigeants d’Amesys qui est alors engagée. Responsabilité évidente, car même si la direction de l’entreprise filiale de Bull à l’époque ne savait rien des pratiques du gouvernement Kadhafi (était-ce possible ?), personne en revanche ne pouvait ignorer tout ce dont était capable le programme et les outils associés vendus dans ce contrat. A priori, un développeur sait ce qu’il écrit, un intégrateur sait ce qu’il assemble et en connait les limites technologiques. De l’écoute téléphonique au flicage d’internet, en pas sant par la surveillance des communications radio, Eagle pouvait tout savoir, tout surveiller, et les arguments publicitaires d’Amesys ne cessaient de l’affirmer. Comment alors s’étonner du « détournement imprévu d’un outil conçu pour lutter contre les cyberpédophiles » ?
L’enquête du juge Hildenbrandt va donc soulever deux questions. La première est celle de la responsabilité d’Amesys. Et plus particulièrement de ses dirigeants et de son chef suprême à l’époque, Philippe Vannier, actuellement à la tête de Bull. La seconde question est celle de l’absence de loi encadrant la vente et l’usage de tels outils (ce qui revient à se poser la question de la véritable responsabilité de Vannier et du coupable désintérêt des Ministres en place). Car comment expliquer ce constant souci de légiférer, sept ans durant, tout ce qui touche aux nouvelles technologies et à leurs dérives d’usage (lopsi, LCEN, loppsi, Hadopi etc.) et accepter l’ignorance touchant les activités d’une Amesys ? Il y a là un hiatus. Hiatus compréhensible pourtant, car en l’absence d’encadrement légal, point n’est besoin d’autoriser ou d’interdire. Dans ces conditions, les responsabilités ne dépassent pas le stade « industriel » et les Ministres conservent leur maroquin. Maroquin qu’un écart tunisien avait fait perdre à Michèle Alliot-Marie lors de l’affaire des grenades lacrymogènes nous rappellent nos confrères de l’Express. Une grenade, c’est un arme, et en vendre à un dictateur n’est pas très sain pour un Ministre qui souhaite conserver son siège, alors évitons d’assimiler un logiciel de flicage à une arme… la diplomatie, le commerce extérieur et les lambris du Quai d’Orsay n’en souffriront pas.
Certes, il n’est pas du ressort du juge Hildenbrandt de proposer un texte de loi. Cela relève de la responsabilité du gouvernement actuel, et plus particulièrement des Ministères de l’Industrie, de l’Intérieur, des Affaires Etrangères… et de notre nouvelle ministre déléguée des PME, de l’Innovation et de l’Économie numérique. Avec les conséquences que l’on imagine, car il faudra bien également statuer sur la nature des outils numériques et les conditions d’usage des équipements des services de police Français et Européens. Il ne pourra y avoir de « gentils outils anti-pédophiles » d’un côté et de « méchantes applications que l’on ne vend pas aux dictateurs » de l’autre. La responsabilité de vendre à un pays tiers ou d’équiper les services régaliens avec de tels équipements de surveillance doit relever du politique, lequel aura des comptes à rendre en cas de dérive. Tout comme Michèle Alliot-Marie a été sacrifiée sur l’autel des larmes en conserve, les futurs Ministres des TIC ou des Affaires Etrangères pourront sauter pour avoir accepté tel ou tel contrat d’Etat dont les dérives d’usage étaient prévisibles. Les Etats-Unis ont entamé une démarche en ce sens, peut-on imaginer que le mouvement soit suivi par le Parlement Européen et par nos députés ?
3 - Apple iCloud, une illusion de sécurité
Présenté comme l’outil de synchronisation ultime destiné à garantir la pérennité des donnés utilisateurs, iCloud d’Apple voit une nouvelle fois sa sécurité critiquée par des spécialistes. Elcomsoft, entreprise moscovite spécialisée dans la récupération des mots de passe oubliés et autres contournements de mécanismes de chiffrement, a découvert qu’il était possible de récupérer les données d’un mobile Apple en clair, directement depuis les services de stockage iCloud. Cette absence totale de sécurisation des données est compensée par le fait que l’accès aux données stockées ne peut être autorisé qu’aux possesseurs de l’identifiant et du mot de passe de l’appareil… lequel n’est pas très difficile à récupérer si l’on est client Elcomsoft et possesseur de la dernière édition de leur « password breaker ». Le mot de passe peut également être extrait des fichiers de sauvegarde « hors ligne » effectués à l’aide d’iTunes.
4 - UTM : toujours en forme
Le marché des UTM, l’un des rares secteurs matériel connaissant encore des taux de progression à deux chiffres, continuera à bien se porter, nous promet une récente étude du Gartner. Les ventes de ces « outils de sécurité universels » ont passé la barrière du milliard de dollars dans le courant de l’an passé et ont culminé à 1,2 milliard de $ en décembre. Cette bonne santé devrait perdurer tout le long de 2012, notamment pour quelques ténors du milieu, Fortinet et SonicWall notamment. Une grande partie de ce succès serait, estiment les analystes, due à l’activité intense des MSSP en matière de sécurité auprès des petites et moyennes entreprises, relativement mal équipées en appareils de protection. Ces MSSP incitent leurs clients à s’équiper en UTM qu’ils pourront par la suite administrer à distance et configurer sur mesure en fonction de l’évolution des demandes.