Spécial sécurité : Fuite TMG, la logique du marteau

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur l’affaire TMG, société nantaise commanditée par l’Hadopi pour récupérer les données des téléchargements illégaux, qui a finalement décidé de porter plainte. Ils ironisent ensuite sur la faille des Scada Siemens et des chercheurs de NSS qui dissimulent fièrement leur trouvaille. Enfin, direction le Royaume-Uni où le CPL donne du fil à retordre aux services secrets.

Sommaire
1 - Fuite TMG : la logique du marteau
2 - Scada et NSS : je sais tout, je dirais rien
3 - Courants porteurs : les barbouzes anglaises se rebellent

1 - Fuite TMG : la logique du marteau
L’affaire des fuites TMG prend une tournure attendue et comparable à celle de la société Magix. Dans le but probable de renforcer l’image de l’entreprise, la société chargée de la dénonciation automatisée des « téléchargeurs illégaux » sur Internet a décidé de porter plainte. Contre qui, l’histoire ne le dit pas. L’information est confirmée par un article du quotidien régional Nantais Maville.com. Les propos étant entre guillemets, verbatim d’une interview, le lecteur attentif remarquera que Monsieur Alain Guislain, le PDG de l'entreprise, avoue que l’ordinateur en libre accès contenait « un certain nombre d'adresses IP (un numéro qui permet d'identifier un internaute) ». Ergo à des identités réelles, donc en dehors de tout protocole de test. A moins que ladite phrase laisse entendre que la société TMG ait obtenu une dérogation spéciale de la CNIL pour effectuer des tests sur une machine non protégée avec des identités réelles et des adresses IP effectives.

L’usage systématique d’une « contre –plainte » destinée à masquer une grave carence dans la protection d’un S.I. est devenu une presqu’habitude en Europe. En France, l’on se souvient de l’affaire qui avait opposé Kitetoa et Tati. Généralement, que le « contre-plaignant » ait ou non gain de cause, la virulence de sa réaction a pour conséquence une dégradation de son image de marque qui perdure dans le temps. Dans le domaine Informatique, Tati n’est pas une chaîne de distribution spécialisée dans l’habillement, mais le porte-drapeau de la sécurité informatique par l’obscurantisme, le champion de la dénégation… Et ce, malgré les années passées.

Mais que la « victime » tienne la bride haute à sa meute d’avocats et elle peut transformer une déroute cuisante en victoire, grâce à une communication orientée « amélioration des sécurités périmétriques » ou « mise aux normes 270x de l’infrastructure des laboratoires »… bref, transformer la sécurité en un centre de profit. Pour l’heure, les dirigeants de TMG semblent tout faire pour que le nom de l’entreprise rejoigne le panthéon des Tegam, MBTA, HID Global ou Cisco du temps de l’affaire Lynn et puisse rejoindre le tableau d’honneur de la profession

2 - Scada et NSS : je sais tout, je dirais rien
Dans un billet signé Rick Moy, l’on apprend que les chercheurs de NSS seraient tombés sur des failles affectant un logiciel de commande de processus conçu par Siemens et pouvant faire l’objet d’une attaque distante. Le logiciel en question serait largement utilisé dans le cadre d’applications Scada. La divulgation de ladite faille aurait dû faire l’objet d’une conférence par MM Dillon Beresford et Brian Meixell dans le cadre de la conférence TakeDownCon. Las, le problème n’a pas été totalement corrigé par l’éditeur et la grande moralité des chercheurs de NSS n’étant plus à faire, l’annonce en question s’est transformée en non-annonce, annulation de ladite conférence, le tout étant rapidement retransformé en opération marketing ad majorem NSS gloriam, sur l’air du « nous n’avons rien à dire, mais nous le faisons savoir fort et clair ».

D’ailleurs, les logiciels de supervision étant, par nature, déconnectés (en théorie) de tout lien internet, il y a fort à parier que si faille était trouvée par d’autres personnes moins honnêtes (et si par hasard les éditeurs responsables étaient parvenus à corriger ledit défaut), on se demande comment les bouchons auraient pu être déployés simplement. Et par conséquent, il est facile de conclure que la majorité de ces logiciels de ce type et en production sont actuellement vulnérables, rustine ou pas rustine. A décharge, si les administrateurs ont du mal à déployer des correctifs sur ces réseaux isolés et hermétiques, les éventuels pirates ont tout autant de mal (sinon plus) pour diffuser leurs propres œuvres. N’est pas Stuxnet qui veut.

La rédaction de CNIS-Mag profite de ce non-événement pour communiquer un message de la Correctrice des Notes de la correctrice : « De Lille à Marseille et de Strasbourg à Brest, on ne dit pas PLC ou contrôleurs logiques programmables, mais Automates Programmables. On ne parle pas de « process control » mais de « commande de processus industriel ». Fort heureusement une boucle PID reste une boucle PID (proportionnelle-intégrée-dérivée, en Français dans le texte). En revanche une « probe » ne se traduit pas par « sonde » mais par « capteur » ». La rédaction tentera de respecter les recommandations de notre commission-de-la-langue-française-à-nous.

3 - Courants porteurs : les barbouzes anglaises se rebellent
Les adaptateurs CPL peuvent perturber les systèmes du GCHQ (Government Communication Headquarters), le service britannique d’écoute radio, autrement dit les « grandes oreilles du sans-fil » des services secrets de Sa Gracieuse Majesté. Le document, initialement diffusé par le Register, a dû être retiré sur injonction de la Défense, sous prétexte que le sujet divulguait des informations « qui pourraient compromettre des militaires du Royaume Uni et des méthodes et opérations de renseignement, ou compromettre la sécurité de ceux impliqués dans de telles opérations, ou faciliter des attaques qui endommageraient des infrastructures nationales critiques ou mettraient en danger d es vies humaines » ( that would compromise UK military and intelligence operations and methods, or put at risk the safety of those involved in such operations, or lead to attacks that would damage the critical national infrastructure and/or endanger lives).

En d’autres termes, les CPL brouillent les réseaux radio, des ondes courtes aux UHF semble affirmer le document toujours accessible sur Internet, mais le faire savoir peut faciliter le travail de terroristes ou compromettre la sécurité de l’Etat. Les amateurs de réponses ubuesques et d’humour absurde à la Monty Python apprécieront.

Et le rapport de continuer en faisant remarquer que les équipements en question contournaient la loi en respectant des définitions normatives « elles-mêmes reposant sur des brouillons de normes qui ont depuis été supprimés par le Comité ». « Nous avons déjà constaté une élévation du niveau de bruit dans la bande HF au voisinage de nos stations, avec d’importantes variations [ndlr : du niveau de bruit] selon l’heure du jour ou de la nuit. La propagation de ce bruit et sur ces bandes varie également en fonction des saisons et autres phénomènes naturels ». L’on pourrait ajouter que la proximité ne constitue même pas un argument. Sur les « bandes basses » exploitées par les boutiquiers du CPL, un signal de très faible puissance peut, selon l’état de la couche ionosphérique, être « entendu » à des dizaines de milliers de kilomètres de son point d’émission. Comme, depuis le début de l’industrialisation de ces adaptateurs réseau, l’activité ionosphériques est faible, l’augmentation du niveau de bruit et la perturbation généralisée passent pratiquement inaperçues. Et dans 24 ans*, il sera trop tard pour faire machine arrière.

Pourtant, en 2008, un autre rapport considérablement plus technique et argumenté, rédigé par ERA Technology, concluait que la majorité des équipements CPL disponibles à l’époque sur le marché étaient perturbateurs, qu’ils ne respectaient pas les normes Européennes sur la compatibilité électromagnétique (CEM). Et de conclure en substance que « les émissions des appareils testés excèdent les limites, de 2 à 27 MHz et à l’exception de quelques fréquences épargnées par des filtres de réjection, dans des proportions de 36,7 à 39,4 dB ». Rappelons qu’un rapport de 3 dB correspond à un doublement de la puissance de rayonnement… l’échelle étant logarithmique, un rapport de 10 dB correspond à un facteur multiplicateur de 10 en puissance, 20dB un rapport de 100, 30 dB un rapport de 1000… 39,4 dB, ce n’est plus ce que l’on pourrait appeler un « détail qui ne perturbe qu’une minorité d’écouteurs d’ondes courtes d’un autre âge ».

Qui gagnera ? Les Barbouzes des M.I. 5, 6 etc.? Ou le lobby des marchands d’Ethernet « sans fil mais avec fil » ? Les mesures relevant d’une science exacte effectuées par des professionnels et des spécialistes des phénomènes électromagnétiques ou les gourous marketing qui courbent les réalités de la physique en expliquant qu’un signal HF injecté sur un câble électrique non blindé ne rayonne pas ? Les scientifiques ou les mercantis ? Manifestement, les espions d’Albion se sont rendus compte qu’ils avaient mis les pieds dans le plat en rédigeant cette lettre de protestation allant contre les intérêts d’un lobby. L’invocation d’une prétendue « atteinte potentielle à la sécurité de l’Etat » est une tentative bien maladroite pour faire oublier ce pas de clerc.

Ndlr Note de la rédaction : Chaque cycle solaire, dit « de Wolf », s’étend plus ou moins sur une période de 11 ans. 2013 est au plus fort du cycle actuel, et est l’un des plus faibles jamais observé depuis le XVIIIème siècle. Les spécialistes s’accordent à dire que le prochain cycle sera également faible… ce qui reporte le prochain cycle « faste » d’activité solaire à 24 ans.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)