Spécial sécurité : Tempest, l’art d’écouter aux portes électromagnétiques

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le concept d’écoutes dites « tempest » en nous emmenant vers un article à lire comme un roman d’espionnage. Ils attirent ensuite notre attention sur le plug-in Scrambls qui sert notamment à chiffrer le contenu sur les réseaux sociaux, avant de nous présenter les prochaines rencontres Seagital pour nous placer au cœur de la marétique. Un nouveau « marché » pour les experts de la sécurité. Ils terminent en pointant du doigt une décision du gouvernement Obama de sanctionner les entreprises IT américaines ayant aidé les gouvernements syrien et iranien dans leur répression contre les populations.

Sommaire :
1 - Tempest, l’art d’écouter aux portes électromagnétiques 
2 - Tweeter chiffré n’est pas jouer 
3 - La Marétique, des TIC qui ne doivent pas prendre l’eau 
4 - Les entreprises TIC US « pro-dictateurs » dans le collimateur 

1 - Tempest, l’art d’écouter aux portes électromagnétiques 
Cryptome publie plusieurs liens et documents directement liés aux écoutes « tempest », en d’autres termes aux extractions d’information pouvant « fuir » d’un local sous forme de rayonnements électromagnétiques, de signaux optiques, de vibrations mécaniques et ainsi de suite. Terrain apprécié des barbouzes de tous poils et qui commence à sérieusement passionner la gente hackeuse, la fouille de ces « poubelles rayonnantes » donne souvent des résultats appréciables moyennant l’utilisation d’outils souvent très peu coûteux. Pourtant, la quasi dictature de la « logique logicielle » imposée par les gourous du hacking traditionnel a souvent occulté cet aspect des choses. Qui donc n’a jamais entendu des mantras du genre « il faut déployer des fortunes en ingénierie et en électronique pour capter un signal Bluetooth à plus d’un kilomètre » ou « les écoutes des rayonnements des CRT nécessitent l’usage de récepteurs spécialisés » voir encore « mon routeur possède un processeur de chiffrement intégré, il est strictement impossible de récupérer mes transmissions « au fil de l’eau » ». Dans le premier cas, la « fortune en ingénierie » ne dépasse pas une cinquantaine d’euros, dans le second, l’on trouve sur le marché des récepteurs « à définition logicielle » à moins de 15 euros capables d’effectuer une analyse de signal dans le domaine temporel et à l’aide de logiciels gratuits et open source, quant au troisième exemple, il part du principe qu’il est impossible de récupérer un flux de données en amont du mécanisme de chiffrement sans effectuer une liaison physique sur l’infrastructure « base cuivre » de l’installation. Ce qui est entièrement erroné, rappelle une étude publiée en 2002 par des chercheurs de l’équipe Lookheed Martin et de l’Université d’Aubun. Etude qui reprenait d’ailleurs des travaux vieux de plus de 20 ans sur le décodage des led TxD/RxD des vieux modems, et sur la faisabilité de « keylogers optiques » intégrés dans les claviers d’ordinateurs : une diode IR modulée par les frappes clavier, c’est invisible à l’œil nu, et ça « leak » aussi bien qu’un « rogue AP »… Tempest, ça n’est pas que de la récupération de rayonnement électromagnétique. L’on peut également citer les analyses d’appel de courant effectué par les machines, les variations de vitesse des ventilateurs, les changements de rayonnements thermiques des processeurs, les vibrations des vitres d’une pièce au rythme des ondes sonores… tout ce qui bouge, consomme, communique par un moyen électronique ou ondulatoire fait fuir des informations qui peuvent être interprétées puis transformées en données.

A lire donc, comme un roman d’espionnage ou comme une mise en garde, ces quelques documents, accompagnés par une « histoire des écoutes Tempest » édité par NSA Publications Inc, un grand succès de librairie dans le monde de l’imperméable couleur mastic, du complet sombre et des lunettes de soleil.



2 - Tweeter chiffré n’est pas jouer
Application paradoxale que Scrambls. Il s’agit d’un outil de chiffrement de contenu destiné aux outils de réseaux sociaux. En d’autres termes, ce plugin qui s’adapte aux principaux navigateurs sert à camoufler les propos diffusés par un mécanisme de diffusion conçu pour que la parole de chacun soit entendue par le plus de gens possibles.

A quoi cela peut-il bien servir ? Les plus idéalistes parlent de masquer les propos des opposants politiques dans les pays soumis à une dictature du Net… pays qui, précisément, soupçonnent et pourchassent toute personne cherchant à camoufler quelque chose. Sur le principe totalitariste du « les gens honnêtes n’ont rien à se reprocher, donc rien à cacher », l’usage public d’un outil de chiffrement est souvent une preuve de culpabilité. Il est plus important que soit mis en œuvre des canaux de communication pensés en termes de « dénégation plausible ».

Scrambls est donc un utilitaire destiné à trois profils d’utilisateurs : les groupes d’usagers des réseaux sociaux qui souhaitent organiser leur propre communauté cachés aux regards des autres (une simple mailing list pourrait pourtant faire l’affaire), les « wanabe conspirateurs » qui veulent se donner des airs d’agent secret au vu et au su de tout le monde…. Et les gardiens de botnets qui ont là peut-être un système capable de masquer le contenu un peu provocateur de leurs messages de commande.


3 - La Marétique, des TIC qui ne doivent pas prendre l’eau
Du 31 mai au 1 juin prochain, dans la ville du Havre, se dérouleront les rencontres Seagital qui seront placées sous le signe de la « marétique ». Ce néologisme désigne toute activité du monde maritime et fluvial en matière de technologies numériques. Ce serait nouveau, ce serait tendance… et de grands acteurs tels qu’IBM et EADS possèderaient déjà une offre appétissante en matière de numérisation batelière.

En fait de nouveau domaine d’activité, il n’y a strictement rien de particulièrement révolutionnaire. Les infrastructures de communication et de traitement des données dans le transport maritime et fluvial font partie des infrastructures dites Scada, de celles qui ne datent pas d’hier. Les marins ont été parmi les premiers à utiliser des outils de communication sans fil dès les années 1910/1915. La transmission de l’inventaire de chargement (le « connaissement » disent ceux qui aiment faire des phrases), les routes maritimes empruntées, les rôles d’équipages et autres documents précèdent l’arrivée du bâtiment au port depuis les années 50-60, via des réseaux de télex et de transmission Tor (protocole radio sans rapport avec l’onion router). Passons sur les Tabarly, Pageot, Kersauson ou Riguidel (tadadaaaa) qui ont popularisé l’usage de la téléphonie par satellite, de la géolocalisation GPS et balise Argos, de l’analyse météorologique basée sur la réception directe du réseau NOAA… Celui qui tient bon la barre et tient bon le vent, de nos jours, a plus souvent l’œil fixé sur son écran plat 20 pouces que le « nez dans la plume » bref, les TIC chez les marins, c’est un peu comme les inaugurations de chrysanthèmes pour les hommes politiques : une question d’habitude et une seconde nature.

Reste que les choses changent. Car lorsque l’on invente un terme marketing pour vanter les mérites d’une informatisation unifiée, l’on sous-entend très souvent le mariage d’une multitude de métiers via un réseau unique pas toujours étudié pour. Des moteurs au calcul de cap, en passant par la gestion/optimisation du fret, la coordination des logistiques terre/mer, le suivi de flotte etc., tout pourra être interconnecté nous promet-on afin de simplifier la transmission des flux entre métiers. Et c’est dans les détails que se cachent généralement les défauts les plus diaboliques. Les inquiétudes relatives aux récentes attaques et accidents «involontaires » ayant affecté des infrastructures Scada ont montré que le danger se situait toujours au niveau des jointures logicielles plus ou moins calfatées, des passerelles d’interopérabilités sabordées, des changements de technologies lof pour lof. Sans parler de l’arrivée d’équipements plus modernes censés à la fois faire économiser beaucoup d’argent et améliorer l’ergonomie générale des commandes de processus complexes. C’est ainsi que l’on a pu découvrir la présence de virus sur des architectures Wintel installées dans des complexes nucléaires, et que l’on est esbaudi des fournisseurs d’énergie ou de traitement des eaux qui ont eu le bonheur de retrouver les descriptions de leurs installations sur Pastebin… Sans oublier le jour où la Marine Française (nous savons ce qu’elle nous dit, la Mârine Frangsaiseu) a écopé d’une homérique invasion de Conficker en octobre 2009. A4-B9, Charles de Gaule touché-coulé. Depuis, les marins marris se marrent lorsqu’ils entendent parler de navigation et d’électronique. C’est plus l’homme qui prend la mer, c’est l’amer qui prend l’Ohm.

L’arrivée de la Marétique est donc une excellente nouvelle pour la profession de chasseur de failles, RSSI ou CSO en quête d’un bel uniforme. Ce terrain de jeu aux richesses insoupçonnées sera un très probable vecteur de fuites d’informations personnelles et industrielles. Car quelle que soit la méticulosité dont feront preuve les équipementiers, quelle que soit l’attention et le professionnalisme des intégrateurs, ce Scada marin prendra l’eau « par construction et par définition » pourrait-on dire. Espérons simplement que les « patch Tuesday » y seront appliqués avec célérité, et que l’on pourra sans état d’âme continuer, dans cette noble profession, à saluer tout ce qui bouge et repeindre tout le reste.

4 - Les entreprises TIC US « pro-dictateurs » dans le collimateur
Les USA sont eux aussi en train de vivre leur « affaire Amesys », mais en version plus musclée. L’administration Obama, relate l’Atlantic Wire envisage de prendre des sanctions à l’encontre des entreprises et des personnes ayant, à l’aide d’outils technologiques, aidé les pouvoirs iranien et syrien dans leur répression contre les populations civiles. Une déclaration qui, remarque l’auteur de l’article, pourrait concerner bien des entreprises US. Et de citer Hewlett Packard, bénéficiaire d’un contrat d’un demi-million de dollars pour l’installation d’un système de filtrage des emails et d’Internet en Syrie. Ou encore Bluecoat, accusé également d’avoir fourni les outils qui ont servi à bloquer le Web Syrien, ou NetApp, dont le système de stockage destiné au système de surveillance a été installé durant les évènements du mois de mars qui ont boule versé encore et toujours la Syrie. Des accusation étayées (et non démenties à ce jour) par Bloomberg et le WSJ . Et la liste des entreprises « balancées » continue, avec l’Irlandais Cellusys, l’Italien Area Spa, le Britannique Creativity Software qui tous on fait du business sur le créneau du flicage d’Etat tant en Syrie qu’en Iran. Le WSJ en profite au passage pour rappeler que ces outils sont également achetés dans d’autres pays de la péninsule arabo-persique, de l’Arabie Saoudite au Koweit, en passant par les Emirats, le Bahreïn ou le Qatar, qui ne sont pas des modèles de théocraties éclairées. Ceci sans oublier la Tunisie qui a également passé contrat pour des outils de filtrage et de s urveillance : McAfee, Bluecoat, NetSweeper, Websense sont montrés du doigt. Il aura fallu attendre qu’éclate le Printemps Arabe pour que le monde entier prenne conscience du fait que certains logiciels de filtrage ou de « deep packet inspection » peuvent, doivent être considérés comme des armes de guerre. Logiciels qui, faut-il le rappeler, sont également souvent en usage dans les démocraties Européennes. Et c’est peut-être là la raison première pour laquelle aucun gouvernement n’a, jusqu’à présent, envisagé de contingenter et règlementer ce genre d’outil. Car leur qualification en arme de répression aurait eu des conséquences très embarrassantes sur leurs usages (ou mésusages) « locaux ».

Pour approfondir sur Menaces, Ransomwares, DDoS