Spécial sécurité : Google, un espoir d’amnésie ?
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur une décision de la Justice irlandaise qui a couté à un jeune délinquant sa console et sur celle de Google d’abandonner les profils privés. Ils ironisent enfin sur l’entretien d’un membre de LulzSec, puis sur le détournement du compte Twitter de Paypal.
Sommaire
1 - Le juge, le kid et la Xbox
2 - Google, un espoir d’amnésie ?
3 - Interview avec un « LulzSec », une lobotomie indolore
’ - Les Hacktivistes inspirent, les banquiers transpirent
1 - Le juge, le kid et la Xbox
Un jeune délinquant d’Irlande du Nord âgé de 13 ans a dû, sur décision du Juge pour enfants, accepter la confiscation de sa console de jeu en guise de peine. Arrêté pour de multiples affaires de vol, expliquent nos confrères de la RTE, l’enfant a avoué que son bien le plus cher était une Xbox, bien dont la suppression provisoire, espère le magistrat, sera plus marquante qu’une réprimande. Des interdictions de toucher à un ordinateur ou de se connecter à Internet ont souvent été requises contre des hackers notoires. Cette gradation de la « proportionnalité des peines par limitation du bien-être» pourrait donner lieu à un code pénal d’un genre nouveau destiné à frapper les ados là où ça leur fait mal, en plein cœur du plexus de la geekitude. Traverser en dehors des clous : privé d’Arduino pendant un mois. Absence de port de casque sur vélomoteur : gel de l’abonnement SMS illimité. Manque de respect envers un enseignant : bannissement de Facebook durant 3 mois. Piratage d’une œuvre cinématographique : suspension de l’abonnement Internet…
2 - Google, un espoir d’amnésie ?
« Faites-vous bigbroser, c’est pour votre bien » semble répéter Google : la chasse aux derniers partisans de l’anonymat sur Internet prend un tournant un peu plus radical en ce début de mois avec la décision de Google de supprimer d’ici 30 jours les profils privés et imposer la publication du sexe et du nom complet des Googlenautes inscrits en ses fichiers.
Or, devenir Googlenaute, c’est comme mettre le pied gauche dans un carré de Psilocybe semilanceata : c’est quasi invisible, totalement imprévisible, hautement automatique. Que l’on ouvre un compte Gmail ou que l’on souhaite consulter une liste de discussion, suivre les inutilités diffusées par Youtube, bloguer ou naviguer sur le web à l’aide de Chrome, Google indexe, classe, enregistre, répertorie et vend à des publicitaires le résultat de cette bienveillante attention.
Les plus anxieux de nos lecteurs chercheront donc à éditer ce fameux profil pour en réduire un peu plus la surface d’attaque. Ils risquent d’aller de surprises en surprises. A commencer par la découverte soit de nouveaux champs activés par défaut ( Utilisez les informations de mon compte pour me présenter des publicités pertinentes) ou des procédures de déléature d’information étrangement absentes. Ainsi le lien « Désactiver l'historique de recherches de Google» aboutit sur une page débutant par un très encourageant « Les informations demandées ne sont pas disponibles dans votre langue », suivi d’une procédure expliquant précisément comment « Enable search history » et non l’inverse.
Le tout parsemé d’incitations à l’enregistrement de nouvelles informations, telles que les numéros de téléphone portable. Comment extorquer une telle donnée personnelle ? En jouant sur la peur, l’incertitude et le doute, bien sûr. Armes qui ont fait leurs preuves dans bien des domaines, et plus particulièrement dans celui des « scarewares ». « N'attendez pas qu'il soit trop tard. Les utilisateurs ne possédant pas d'options de récupération sont neuf fois plus susceptibles de perdre l'accès à leur compte. Protégez votre compte en vous assurant que vos options de récupération de mot de passe sont à jour ». Ladite information de récupération de mot de passe s’avère être… le numéro de téléphone portable de l’intéressant intéressé, car c’est, nous dit-on, le meilleur moyen d’expédier une information textuelle de manière fiable, sécurisée, personnalisée et xxxxx (ajouter ici le terme sécuritaire qui flattera le mieux vos angoisses existentielles).
Glissons sur l’enregistrement de l’historique Web « in the cloud »systématique et activé par défaut dont pratiquement aucun usager n’a connaissance (1 spécialiste sécurité averti sur un panel de 25 « sondés » proches de la rédaction et donc théoriquement au fait des pratiques Google, encore doit-on préciser que ledit spécialiste averti se pique d’analyse forensique). Ne mentionnons pas plus l’apparente impossibilité de supprimer (ou peut-être est-ce camouflé dans un sous-sous-menu ésotérique) l’historique de la section « ma bibliothèque ». Dis-moi ce que tu lis, je te dirais qui tu es, proverbe bien connu des boutiquiers du html. Arriveront-ils à effectuer une corrélation entre la vente d’un technogadget et la lecture de « Essai sur les mœurs et l'esprit des nations » écrit par un certain François-Marie Arouet, défenseur de l’esclavagisme et des cultes mythologiques ? Serions-nous client pour une paire de menottes vendu par « S.M.-Boutique, le Web marchand de tous vos fantasmes » ou lecteurs potentiels de « l’Introduction à la vie dévote », édition expurgée à l’usage des jeunes filles ? De quoi se perdre en conjectures …
3 - Interview avec un « LulzSec », une lobotomie indolore
Samantha Murphy, du New Scientist, consacre deux pages du magazine à l’interview d’un membre présumé du mouvement LulzSec. Entrevue toute en finesse, parsemée de questions en apparence anodine, mais qui dressent un portrait sans concession d’un être qui se fond dans l’idéologie et la phraséologie de la « meute », sans s’émouvoir des conséquences de ses actes –bien au contraire- sans même se poser la moindre question sur la causalité ou l’éthique du mouvement. Un subtil mélange entre « j’avais des ordres » et « le parti a toujours raison ». L’un des passages l es plus étonnants étant celui où l’interrogé estime qu’il est quasiment préférable pour un particulier d’être victime d’une « exposition » publique de ses données personnelles par le clan LulzSec que par des organisations mafieuses. La frontière entre le « pouvoir d’indignation » et le « coup de main de milicien » n’existe plus. C’est d’ailleurs sur cette absence d’analyse et de mesure témoignée par les attaquants qu’exploitent à plaisir les « victimes » qui, malgré l’impéritie de leurs politiques de sécurité, ne se gênent pas pour jouer les victimes et demander des lois et des sanctions.
Cette « double culpabilité » qui caractérise chacun des deux camps, Cédric Blancher la décrit avec une méticulosité désabusée. Le Lulz est le pendant démoniaque du délabrement –ou du j’menfoutisme- de certaines directions informatiques, voire de certaines directions « tout court ». Mais à quoi est dû ce lent pourrissement des défenses des S.I. du secteur industriel ? Les coûts d’équipements ? La quête d’économies à tous prix ? L’âpreté de la compétition des marchés ? Peu probable. Lorsque la patrie-entreprise est réellement en danger, les crédits mettent peu de temps à être débloqués. Et si le monde du commerce est une guerre économique perpétuelle, il est logique que les boucliers constituent une première ligne de défense.
Il y aurait bien une explication, pourtant. L’interventionnisme constant des Etats-Providence qui volent en permanence au secours des rouages de l’économie libérale. Si Sony en appelle à un durcissement des lois contre la cyberdélinquance, c’est probablement parce que cette entreprise est habituée à ce que les politiques réagissent en ce sens, par instinct populiste, pour des raisons électoralistes… Un Etat qui « cocoone » les plus beaux fleurons de son économie, qui semble se substituer à leurs défenses naturelles, mais qui en fait ne vise que sa propre survivance politique. Une telle hypothèse ne peut plaire à personne, car tous les membres de ce ménage à trois sont également –et à la fois- dupes et coupables.
4 - Les Hacktivistes inspirent, les banquiers transpirent
Le blog de Sophos a amoureusement conservé le détournement graphique dont a été victime le compte Twitter de Paypal UK. C’est là manifestement l’œuvre d’un client mécontent des services de l’intermédiaire de paiement, client qui en a profité pour remplacer le logo de l’entreprise par un dessin aussi imagé qu’imaginairement odorant. Le tout accompagné d’un message comparant le niveau de sécurité dudit Paypal à l’illustration ci-avant mentionnée. En bref, un déçu de Paypal a fait son « Anonymous » à lui tout seul.
Paypal UK réagit immédiatement. Après avoir repris la main sur son compte Twitter, l’entreprise fait publier un communiqué de disculpation dans les colonnes du Blog Sophos : « There is no link between customer systems and our Twitter account ». « No link »… Comment doit-on l’interpréter ? En France, l’explication serait claire : les ordinateurs utilisés pour Twitter ne sont pas reliés, de quelque manière que ce soit, à ceux chargés des transactions en ligne. Mais nous sommes au pays de l’understatement, du non-dit subtil qui en dit plus long que ce qu’il semble raconter. Ce No Link pourrait alors revêtir plusieurs significations.
Soit le compte Twitter en question n’est pas et n’a jamais été tenu par un représentant de Paypal. Soit le compte Twitter n’a reçu l’aval d’aucun responsable du service informatique en général et des spécialistes en sécurité en particulier… ce qui impliquerait que le pouvoir de consultation desdits responsables sécurité est pratiquement nul. Ou plus simplement que le personnel Paypal chargé de « twitter » agit en franc-tireur et n’a effectivement aucune relation avec l’organisme de payement.
L’autre « point exquis » de cette fracture informatique, c’est celui de la banalisation du règlement de compte. Les Anonymes, tout comme les autres mouvements hacktivistes, ont tenté avec un certain succès de légitimer une certaine forme d’auto-justice expéditive, qui ne tient compte d’aucune proportionnalité des peines, qui nie toute possibilité de défense ou de justification, qui élimine tout parti indépendant –juge ou tribunal- qui viendrait apporter un semblant d’équité. La moindre cyber-escalope filandreuse ou le plus petit techno-yaourt pas frais pourrait bien provoquer une riposte d’une violence toute nucléaire contre les online-boucher-charcutiers ou les crémiers-branchés.