Spécial sécurité : Passeport, place au « maillon faible »

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur plusieurs dossiers où le maillon faible dans la sécurité n’est pas forcément celui qu’on croit : la falsification des passeports biométriques, l’interception d’un drône américain, le piratage de vidéos depuis… l’Elysée. Ils nous dirigent ensuite vers une étude de l’ Enisa sur la sécurité des communications dans les transports maritimes.

Sommaire
1 - Passeport : Place au « maillon faible »
2 - Drones : Place au « maillon faible »
3 - Flicage Hadopi : Place au « maillon faible »
4 - L’Enisa mène la sécurité en bateau

1 - Passeport : Place au « maillon faible »
« Ah, qu’il est difficile de bâtir un état policier » aurait rétorqué fielleusement une Laurence Boccolini virtuelle. Car si l’on en croit nos confrères du Parisien, du Figaro, de 20 minutes, de l’Express, de France TV Info pour n’en citer que quelques-uns, le « super passeport inviolable biométrique que même les méchants pirates informatiques ne peuvent compromettre » se falsifie à tour de bras dans les locaux des préfectures de France. Dans quelles proportions ? Entre quelques milliers et 10% des documents délivrés (chiffres avancés sans véritable preuve ou enquête sérieuse). Les données sont aussi vagues et les chiffres avancés aussi « estimés » que l’annonce est anxiogène.

Encore un coup des hackers de RFID ? Une sale blague des truands du « remote exploit » sur les ordinateurs du Ministère de l’Intérieur ? Un fric-frac à l’italienne qui a compromis les stocks des imprimeries hyper-gardées chargées de la production de ces documents de voyage ? Que nenni ! Car pour obtenir une telle pièce d’identité officielle, il suffit d’un extrait d’acte de naissance, papier qui s’obtient généralement par simple demande téléphonique ou par Internet. Le « maillon faible », c’est l’administration elle-même. Une administration qui n’y peut rien et qui se trouve confrontée à un problème déterministe digne d’un sujet du bac : doit-on prouver son identité lors de la demande d’un justificatif d’identité destiné à fabriquer un justificatif d’identité ? Face à un tel dilemme administrativo-cornéliano-policier, l’âne de Buridan et le rasoir d’Occam peut aller se rhabiller.

Du coup,des « milliers de vrai-faux passeports » auraient été délivrés pour le compte « d’étrangers en situation irrégulière, escrocs » et autres malandrins. La surprise est de taille !

Enfin, pas tout à fait. Ne sont surpris que quelques journalistes de la presse généraliste. La fabrication des vrai-faux passeports est une science typiquement française. Parfois d’origine mafieuse (ainsi le faisait remarquer notre confrère Bakchich il y a pratiquement 3 ans, démontant pièce par pièce la procédure utilisée), parfois d’origine plus ou moins officieuse et franchement politique, comme nous le rappellent les archives de la presse des années 86 ( dont cet article synthétique de nos confrères de l’Express), parfois encore totalement historique. La fabrication des faux papiers officiellement validés par les Préfecture est, en France, plus qu’une tradition. C’est une référence culturelle, un patrimoine génétique du pays pétri d’encrage de Mariannes en patatogravure « taille douce ». Tenter d’interdire ce genre de filière est aussi vain que de prétendre développer un algorithme de chiffrement éternellement inviolable ou espérer que l’Etat et la Police seront toujours garants des libertés de pensée ou d’action. Ce serait oublier un passé encore récent.

A moins que… A moins que cette « révélation » soit une manière détournée, une « fuite orchestrée » visant à justifier un autre train de mesures législatives venant renforcer les « lois sur l’usurpation d’identité» déjà prévues par la Loppsi. Mais ce serait franchement médire.

2 - Drones : Place au « maillon faible »
Le bruit a tout d’abord couru sur les « mailing lists » spécialisées et fait l’objet de quelques entrefilets dans la presse anglo-saxonne : l’armée Iranienne serait parvenue à récupérer « sans crash » ni violence, un drone de l’armée US. La séquence vidéo hébergée par nos confrères de la BBC montre un officier de l’armée Iranienne inspectant un drone manifestement en bon état, exposé tel un trophée aux yeux des téléspectateurs. L’on peut noter que le dessous de l’appareil n’est pas visible et que le train semble être rentré. Si l’on écarte l’hypothèse d’une attaque aérienne (qui aurait probablement laissé quelques traces d’impact sur le fuselage) il ne restait que deux hypothèses techniques : soit une perturbation électromagnétique déstabilisant l’électronique de bord, soit une attaque « man in the middle » visant le système de navigation ou d’altimétrie.

La première hypothèse, peu probable, aurait eu pour conséquence soit une mise en « mode autonome » du drone, soit son crash. La seconde possibilité semble la plus probable. Selon le Christian Science Monitor,, la récupération de l’aile volante de type RQ-170 aurait été possible grâce à une variante de l’attaque en « evil twin », le jumeau maléfique si u tile en attaque WiFi et ayant pour fonction de fournir de fausses données cartographique GPS au drone. Il est probable que cette attaque n’ait pas porté sur l’ensemble du flux de géopositionnement de l’appareil, mais seulement sur ses données altimétriques, ce qui expliquerait la façon dont est exposé l’appareil capturé.

Le maillon faible, une fois de plus, provient donc de l’absence de chiffrage « de haut niveau » des données descendantes provenant d’un satellite. Rappelons que, déjà, des images prises par des drones sur le théâtre Afghan avaient pu être récupérées pour les mêmes raisons : absence de chiffrement des liaisons vidéo entre le drone, le satellite relais et la station terrestre de commandement. La technique d’attaque « man in the middle » depuis la liaison descendante est un classique ayant fait l’objet de nombreuses publications. Le drone est aussi inviolable qu’un passeport Français. Ce qui n’est pas le cas des éléments périphériques qui sont nécessaires à son fonctionnement.

3 - Flicage Hadopi : Place au « maillon faible »
Rendons à Brian Krebs ce qui lui appartient. Début décembre, le journaliste pourfendeur de cyberescrocs signale l’existence d’un site Russe capable de désigner les adresses IP des principaux internautes fervents pratiquants du téléchargement illégal. Slate s’empare de l’affaire, raconte comment un blogueur Français, Nicolas Perrier, s’aperçoit grâce à cet outil humoristique, que les adresses de l’Elysée ressortent en bonne place dans le palmarès des meilleurs pirates d’œuvres n’appartenant pas au domaine public. Probablement une erreur de contenu, ou un mauvais intitulé d’un flux vidéo provenant d’une caméra « de vidéoprotection ».

Certes, l’Elysée dément. Mais ne va pas jusqu’à affirmer que l’adressage IP associé à une identité est une fumisterie… ce qui contredirait la Commission Hadopi. Une attitude cependant contraire à ce que soutient mordicus le Quai d’Orsay lorsque l’on parle de cyberguerre, d’APT et de piratage semblant provenir de Chine : pour des raisons diplomatiques et techniques incontestables, il est strictement impossible d’associer une adresse IP à une personne ou à un pays, même lorsque ces « traces » peuvent se compter par milliers, voire par millions.

Il semble, cette fois, ne pas y avoir le moindre maillon faible, la loi du plus fort prévalant : tant qu’un numéro IP est associé à un flux P2P ET qu’il est situé à l’intérieur des frontières ET qu’il n’appartient ni à un commissariat de police, ni à une préfecture, ni à une quelconque branche dépendant de la Présidence de la République, alors son possesseur est passible de poursuites n’engageant pas la présence ou la décision d’un juge d’instruction. En outre, le recours devant la commission, semble le souligner une question du Député Christian Paul (publiée par nos confrères de PC-Inpact) serait une procédure soumise à des appréciations qui sembleraient contraires à la notion d’égalité de traitement des justiciables par l’Hadopi. Il serait peut-être nécessaire que ces quelques très rares exceptions à cette loi d’exception soient précisées clairement dans l’intitulé du texte.

4 - L’Enisa mène la sécurité en bateau
Après un « guide du bien savoir programmer sur plateforme mobile », l’Enisa s’attaque à un gros morceau : la cybersécurité des transports maritimes. Des transports maritimes, précise le rapport, qui constituent plus de la moitié des biens de consommation en Europe, ce qui en fait une infrastructure de communication et d’échange stratégique (Scada). Depuis la haute époque des radiotélégraphistes embarqués sur les navires hauturiers dans les années 50 ou 60 et du déploiement du système Loran au lendemain de la dernière guerre mondiale, puis Syledis dans les années 90, les outils de communication, de géopositionnement, de pilotage de flotte se sont considérablement modernisés et automatisés. Sans pour autant gagner en sécurité. La faute au fait que 80 % des infrastructures numériques reposent sur des technologies sans fil (radio HF ou satellites), outils longtemps considérés comme « inattaquables car trop complexes à pirater ».

Pourtant, avec moins de 30 euros d’électronique et un ordinateur, il est possible de récupérer le connaissement d’un navire avant qu’il touche au port. Avec 300 euros d’électronique, un ordinateur et une coque de noix, il est possible de dérouter un tanker de plusieurs milliers de tonneaux (l’armée Iranienne parvient bien à le faire avec un drone). Ceci sans aborder les problèmes de piraterie traditionnelle (qui utilise elle-même parfois ces nouvelles technologies pour planifier ses attaques) ou d’espionnage industrie. Et l’on ne mentionnera pas le risque d’une attaque Scada conduite par un Etat-Nation en guerre dans telle ou telle partie du globe.

Le document de l’Enisa n’est pour l’heure qu’une ébauche générale, une sorte mémorandum des choses à envisager. Mais il révèle l’importance du chantier à mettre en œuvre et la quasi-absence de mesures de protection ou de règlementation en matière de cybersécurité qui semble affecter la majorité des entreprises de transport et infrastructures associées.

Pour approfondir sur Menaces, Ransomwares, DDoS