Spécial sécurité : Wikileaks, Openleaks, truands, éthique et ratons-laveurs

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur les possibles conséquences des fameuses fuites wikileaks sur la société de l’information et du capital confiance accordé à ces leaks. Ils s’arrêtent ensuite sur Sergey Glazunov, le premier chasseur de bugs à avoir récolté la prime « El33t » du Chromium Security Award. Puis pointent du doigt un billet qui soulève l’épineux problème de l’Open Source et ses lacunes.

Sommaire
Wikileaks, Openleaks, truands, éthique et ratons-laveurs (premier épisode)
2 - Anonymous, éthique et ratons-laveurs (second épisode)
3 - Au bon bug : la « Leet prime » fait recette
4 - Six raisons de détester l’Open Source

1 - Wikileaks, Openleaks, truands, éthique et ratons-laveurs (premier épisode)
Confusion, incertitudes, doutes … le tandem Wikileaks-Anonymous, qui semblait tellement symbiotique il n’y a pas deux mois, paraît se déliter et dériver au rythme des nombreuses contradictions qui animent ces mouvements.

Côté Wikileaks, passé les premiers effets de surprise, les médias en reviennent à des attitudes plus raisonnables. L’orientation probable des sources, la possible « intoxication par omission », l’absence réelle de « révélations » fondamentales (si ce n’est la mise au grand jour du cynisme de la realpolitik et le langage « off » de la diplomatie) font retomber les annonces. Certains journalistes ont l’impression de s’être fait flouer, d’avoir subi une pression leur ayant empêché de prendre le recul nécessaire, mais tous ont reçu une leçon magistrale sur la sensibilité du lectorat, prompt à abandonner les médias traditionnels au profit de ceux de la Grande Toile. Il souffle, sur la presse économico-politique, le même vent qui a pratiquement réduit au silence la presse spécialisée informatique et l’a en grande partie transformé en relais passif au service de l’industrie. Jusqu’à présent, l’heure est plutôt à l’approbation générale : Wikileaks n’est peut-être pas un médium idéal, mais c’est un sang neuf dans le landerneau de l’information. Une vision optimiste qui évite de s’interroger sur l’avenir, notamment sur l’affaiblissement d’une presse institutionnelle qui a mis si longtemps à se construire. Et sur des « Leaks » qui ont mis si peu de temps à naître mais qui pourraient bien soit se faire phagocyter par des lobby plus puissants qu’eux, soit disparaître corps et âme. Dans les deux cas, la chose aboutirait à un désert médiatique. Internet est un monde de bulles, de modes et de technologies séculaires qui ne durent que le temps d’une introduction en bourse.

Jusqu’à présent, quelques rares éditorialistes ont pris des positions très critiques, tel Alain-Gérard Slama sur France Culture, pour qui le rapport d’un « fait brut » n’est pas du journalisme ni même de l’information, et qui condamne les moyens douteux (les « vols d’information ») à l’origine de ces révélations. Querelle de méthode et de « cuisine de métier » qui ne pose pas la question fondamentale de l’avenir à long terme de la presse ou de ce qui la remplacera. D’ailleurs, qu’est-ce que le journalisme au XXIème siècle, son rôle dans la démocratie, et quel est le niveau d’influence (de compromission disent certains) de la source sur celui chargé de rapporter ? Un journaliste a-t-il sa place en tant que participant à un « dîner du siècle » ou à une causerie dans les salons de Davos ? Wikileaks doit aussi son succès à une lente dérive oligarchique de la société occidentale moderne, dérive qui associe de plus en plus médias, intérêts industriels, politiques et membres de l’appareil d’Etat pourtant obligés à un devoir d’indépendance lié à leur charge régalienne. Les « fuites » d’Assange pourraient être une conséquence directe de la perte de confiance du public en ses institutions et en ses contre-pouvoirs, dans l’espoir de voir naître un véritable « quatrième pouvoir 2.0 » adapté à notre époque.

Pourtant tout n’est pas si transparent et intègre dans le royaume Assange. Les révélations de Wikileaks sont mises en doute, notamment par une entreprise spécialisée dans la sécurité des contenus, Tiversa, qui affirme qu’une partie des scoop Wikipediesques était disponible sur les réseaux P2P depuis belle lurette. Une affirmation que dément l’équipe d’Assange, rapportent nos confrères d’IDG US. Par ailleurs, l’autocratisme d’Assange et la sécession de son équipe qui a donné naissance au concurrent OpenLeaks (http://openleaks.org/) (site officiellement ouvert le 27 janvier) laisserait à penser qu’il se développe une sorte de Web 3.0. Si le Web 2.0 c’est l’exploitation commerciale par une minorité des contenus fournis gratuitement par une majorité, ce Web 3.0 serait la diffusion non commerciale par une minorité étendue de contenus fournis (gratuitement ou non) par une autre minorité « bien placée » et à destination de la majorité. C’est le règne de ce que les américains désignent sous le terme générique de « disgruntled employee leaks », les cadres aigris par les promesses non tenues d’un siège confortable à la table des seigneurs. Les désabusés du système libéral, engendrés par le système libéral. Les « leaks » reposent sur un désir de vengeance, tout comme l’ont été certains grands « scoops » de la presse traditionnelle, à commencer par l’affaire du Watergate ou certaines révélations de nos confrères du Canard.

Et les truands, dans tout ça ? Ils prennent le train en marche. Car si un « leaks » quelconque bénéficie d’un capital-confiance anormalement élevé, il faut s’attendre à ce que ce capital soit immédiatement exploité par des professionnels de la carambouille. Le nom d’Assange commence à voir le jour dans certains malwares, découvre F-Secure, et John Leyden d’El Reg nous décrit par le menu comment des escrocs utilisent les leviers de l’intimidation pour extorquer quelqu’argent à des victimes faisant l’objet de prétendues « révélations détenues par Wikileaks ». Le montage est d’autant plus plausible que les menaces d’Assange visent désormais le secteur privé, tel que Bank of America.

2 - Anonymous, éthique et ratons-laveurs (second épisode)
Qui sont les anonymes ? Parmi les premiers à s’être posé la question, le Cert Lexsi, qui a publié une suite remarquable d’articles sur le sujet. Notamment au fil d’un billet Operation Zimbabwe : chronique d’une cyber-attaque… qui remonte au début du mois de janvier. Certaines conversations relatées par le Cert sont totalement irréelles. « What will be the next target'm kinda outdated » demande un participant. Et les propositions de fuser… Hongrie, Pologne, Chine, Iran… Au ton des conversations, l’on croirait presque entendre Anna Karina chantonner « qu’est-c’que j’peux faire, ch’sais pas quoi faire… » en shootant du pied dans de petits cailloux. C’est Robert Mugabe qui décroche le pompon, grâce à son épouse qui avait fait pression sur un journal ayant publié des « news » Wikileaks la mettant en cause dans une affaire de corruption. Dans quelle mesure cette désignation de cible n’est pas une habile manipulation ? Ou le résultat d’une sorte de roulette russe ? Plouf plouf Ce se-ra toi qui i-ra au pi-quet !

Le reste se poursuit dans une ambiance bon enfant, un peu comme un jeu de guerre se déroulant dans une cour d’école. L’engagement politique à l’abri derrière un clavier, c’est moins glamour qu’un pavé lancé aux côtés de Rudy Dutschke. Mais le service marketing est là, les icones de personnages masqués, au sourire aussi narquois que leur houppelande est noire, marque probablement plus les esprits que les résultats de cette guerre en dentelle. D’ailleurs, qui se souvient encore du blitzkrieg des Anonymous contre Paypal ou Amazon ?

Une fois la cause de l’Afrique opprimée traitée, il faut passer aux choses sérieuses : l’Hadopi Espagnole grandit (c’est logique) et le Sénat Ibère est désigné comme cible. Une nouvelle analyse du Cert Lexsi explique le déroulement de l’attaque en DDoS qui n’a pas duré plus de 40 minutes. Puis, tel un enfant lassé de son jouet, les anonymous cessent leur bombardement IP et se reportent sur l’ambassade des Etats-Unis. L’on pourrait également citer les raids contre la Tunisie en début de mois, puis les premières actions contre des sites Egyptiens (information rapportée notamment par Netcraft ). Une fois n’est pas coutume, ce dernier assaut n’aura strictement aucune conséquence, puisque le gouvernement égyptien fermera lui-même les vannes d’Internet. Les statistiques de Renesys sont sans appel. Un blocage des communications qui semble ne pas faire débat sur les canaux IRC utilisés par les anonymes. Et pourtant… à force d’utiliser un outil de censure (les attaques en déni de service), la confrontation à une forme encore plus brutale de censure ne pourrait-elle pas soulever quelques cas de conscience ou une remise en cause du procédé ? La cyberguéguerre se résume à un simple rapport de force, une version post moderne de la bataille navale, totalement déconnectée de la réalité, des émeutes, des violences de la rue.

3 - Au bon bug : la « Leet prime » fait recette
Il s’appelle Sergey Glazunov, et a reçu jusqu’à présent près de 20 000 $ de « prime au bug » de la part de Google et de son programme 133,7 Prime. Il est surtout le premier chasseur de failles à avoir décroché la prime « El33t » du Chromium Security Award d’un montant de 3133,7 dollars, qui s’additionne à la longue liste de remerciements et de citations décrochées au fil de l’année passée. Une recherche du patronyme « Glazunov » sur le blog Google Chrome provoque une avalanche de dates et de découvertes : 8 juin, 20 août, 17 mars, 2 et 13 décembre, 2 et 15 septembre… et à chaque fois quelques billets verts qui tombent au passage. Cela rapporte plus qu’un peu de gloire et quelques prunes, et l’on se plaît à penser à la fortune qu’aurait pu amasser un Luigi Auriema ou un Thierry Zoller s’ils avaient voulu participer à cette campagne de déverminage. Un chercheur français très connu a fait tout de même remarquer à notre rédaction que les sommes offertes par Google font presque figure d’obole comparées à ce que rapporte une vulnérabilité « weaponisée » (livrée avec un code d’exploitation fonctionnel) et vendues au Zero Day Initiative ou (dito) « mieux, à un gouvernement ».

Ce palmarès tout de même impressionnant obtenu par Glazunov prouve au moins deux choses : il est possible de vivre en ne faisant pratiquement que de la recherche en sécurité à partir du moment où celle-ci est entièrement vouée à l’amélioration d’un produit commercial ce qui laisse peu d’espoir de survie aux travailleurs du monde du Libre-et-gratuit ou aux chercheurs purs travaillant sur des projets complexes genre Honeynet. La seconde certitude, c’est qu’il existe une logique économiquement viable reposant sur une juste rétribution de l’inventeur sur les deniers de l’éditeur… et qui confirme le fait que si un Google achète 1300 $ un trou de sécurité de première catégorie et en tire de la publicité, il pourrait aussi être capable d’augmenter ladite prime. Une logique qui a encore beaucoup de mal à s’imposer en France, ou un chasseur de faille est, juridiquement parlant, passible des foudres de la LCEN.

4 - Six raisons de détester l’Open Source
Lecture humoristique et distrayante, que celle de Hacker Factor. Neal Krawetz y publie un billet intitulé « Open Source Sucks ». A ne surtout pas prendre au premier degré… enfin, pas complètement.

Qu’est qui est pourri dans le royaume de l’Open ?
- Les développeurs eux-m&ecir c;mes qui prennent des attitudes de prima dona lorsqu’un quidam a l’impudence de leur annoncer un bug.
- Les noms des produits qui, au lieu d’annoncer clairement leur fonction (Paint, Write, Internet Explorer) tentent de confondre l’éventuel usager avec des noms de code : Lynx, Chrome, Konqueror… Là, Krawetz est assez charitable pour ne pas également épiloguer sur les numéros de version qui prennent rapidement des tournures de suite de Fibonacci : 6.04.314.42…
- Le coût réel lié à la période d’apprentissage (donc de non-productivité) des applicatifs du monde du libre, qui sont, estime l’auteur, moins bien « finis », moins bien documentés, et généralement d’une ergonomie moins travaillée.
- Le code source et la documentation dudit code, dont les noms de variables confinent parfois à l’abstrus et dont les « remarques et commentaires » dans le source rappellent le désert de gobie
- Le mode de fonctionnement de la licence GPL qui, telle un virus, contamine de son obligation d’ouverture tout programme contenant une portion de code GPL.
- La facilité d’utilisation, plus que relative car, pense Neil Krawetz, les programmes Open Source sont plus pensés en termes de performance que de simplicité d’usage. Un programmeur ne peut prétendre assumer seul les décisions concernant l’interface du programme qu’il écrit, sans le secours d’un spécialiste des « interfaces humaines et de l’intégration »

Troll ou éléments de réflexion ? Il faut admettre que Krawetz n’a pas tort sur bien des points. Il faudra attendre la semaine prochaine pour découvrir la seconde partie de l’article consacré aux « 6 points » qui font cette fois l’honneur des programmes Open Source.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)