Spécial sécurité : Bohu, premier virus Cloud officiel
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, donnent un vrai coup de projecteur sur le premier ver Cloud, Bohu qui cible en frontal les outils de sécurité placés dans le nuage. Ils ironisent ensuite sur une proposition de loi portée par 132 députés français qui vise notamment à proposer un cadre légal pour s’attaquer au douloureux problème des fuites d’informations. Un loi contre un DLP, en somme.
Sommaire
1 - Bohu, premier virus Cloud officiel
2 - Remplacer les DLP par une loi …
1 - Bohu, premier virus Cloud officiel
Dès sa naissance (voir probablement avant), le cloud computing a fait la joie des Cagliostro de la Catastrophe Annoncée et le bonheur intellectuel de véritables chercheurs en sécurité. C’est plus ou moins avec le cloud computing que sont apparues les premières communications sur les attaques transversales inter-machines virtuelles, c’est avec lui également qu’ont été modélisées des attaques sur des clefs de chiffrement en « brute force massivement parallèle », et c’est toujours avec le cloud computing que l’on a échafaudé les scénarii les plus hollywoodiens sur des attaques man in the middle situées entre l’usager et le centre de calcul « super-protégé ».
Avec Bohu, on quitte les sphères de la recherche pure et du roman noir pour plonger directement dans le véritable cybercrime. Car ce « dropper » s’attaque… aux antivirus en ligne, aux outils de sécurité « dans le cloud » commercialisés notamment par certains prestataires Chinois. L’analyse qu’en fait le MSRC de Microsoft est édifiante.
Sans entrer dans les détails, Bohu modifie les échanges entre le poste client et le serveur de sécurité cloudifié. Ou plus exactement, « brouille » la remontée d’informations dudit client, qui sert généralement à enrichir automatiquement la base documentaire d’attaque tenue par ces serveurs et qui sert à enrichir la panoplie des parades antivirales. Sans ces données, le cloud ne peut échafauder de contre-attaque, et le vecteur d’attaque protégé par Bohu continue son bonhomme de chemin sans être inquiété. C’est donc, par définition, le premier « virus cloud dans la nature » de l’histoire, et ce n’est très probablement pas le dernier. Sans grande imagination, la diffusion initiale de Bohu et son installation sur le poste client prend la forme d’un faux codec, on en pleurerait presque de dépit.
La technique de Bohu n’est pas sans rappeler un autre type de menace agissant dans « l’autre sens », celle visant à corrompre ou à imiter le dialogue entre un poste client et un serveur de mise à jour. Mise à jour de l’antivirus lui-même, du système d’exploitation ou d’un programme (par attaque MIM ou corruption de la base de l’éditeur), ou plus simplement d’autres programmes passant bien en-deçà de la « ligne de détection du radar ». Parmi eux, les nombreux logiciels tiers insignifiants, tels les BHO ( Browser Helper Objects) et autres gadgets aussi inutiles qu’indispensables.
2 - Remplacer les DLP par une loi …
C’est avec un humanisme éclairé et une profonde connaissance tant sociologique que technique des droits de la presse et autres organes d’information que 132 députés, conduits par Monsieur Bernard Carayon (UMP), ont déposé une proposition de loi capable de résoudre immédiatement tous les problèmes de fuite d’information. Le principe de fonctionnement en est très simple : il suffit de condamner toute personne ayant tenté (sans même nécessairement y parvenir) de « s’approprier, de conserver, de reproduire ou de porter à la connaissance d’un tiers non autorisé une information à caractère économique protégée ». La condamnation est celle « prévue par l’article 314-1 du code pénal ».
Le cadre strict et objectif de ce qui constitue une information à caractère économique protégée -en termes vulgaires, un secret d’entreprise de droit privé- étant défini par celui qui détient ladite information, nos 132 députés ont du même coup réussi à résoudre un autre problème tout aussi dangereux que celui de l’espionnage industriel : celui de l’insupportable liberté de la presse en général et, par la même occasion, de tous les blogs et sites web d’informations technologiques, techniques, économiques, stratégiques ou financiers. Dans le cas où l’auteur de ces fuites se cacherait derrière un pseudonyme et le titre d’une publication, la loi prévoit que « « Les personnes morales peuvent être déclarées pénalement responsables des infractions définies par le présent article, dans les conditions prévues à l’article 121-2. »
Précisons que l’article 314-1 du code pénal est celui qui condamne les personnes responsables d’un abus de confiance et les maître-chanteurs, et coûte la bagatelle de trois ans d'emprisonnement et de 375000 euros d'amende.
C’est là une excellente nouvelle que cette nouvelle-là. Les journalistes devront enfin nécessairement respecter les « embargos » imposés unilatéralement par les directions marketing des sociétés. Fini, les « scoops » de l’iPhone 4 perdu dans un bar par un ingénieur distrait… tant que la chose est déclarée « secrète » par la Haute Direction –qui détient alors de facto les pouvoirs d’un juge-, nul gratte papier ne pourra en parler. Mieux encore, en condamnant de la même peine toute personne ayant « tenté de s’approprier une information à caractère économique protégée », le droit d’enquête de ces folliculaires un peu trop curieux devient lui aussi répréhensible. Qu’un fonctionnaire perde une clef USB, et le civisme, tenu par le bras armé de la Justice, persuadera tout bon citoyen d’en apporter le contenu au commissariat le plus proche sans même en regarder son contenu. Au prix du déploiement des outils DLP, des politiques de sensibilisation, des procédures lourdes d’authentification et de hiérarchisation d’accès aux données stratégiques d’entreprise, on va y gagner, la chose est absolument certaine.
Certains esprits chagrins pourraient objecter que la notion même « d’information économique protégée »( Sont qualifiées d’informations à caractère économique protégées, les informations ne constituant pas des connaissances générales librement accessibles par le public) est un terme bien trop flou pouvant conduire à tous les excès possibles. Ce n’est là qu’un détail qui ne tient pas compte de l’ouverture d’esprit et de la sagesse des dirigeants d’entreprises. Une « bonne » information est une information rédigée par un Service de Presse, donc officiellement publique. Toute autre opinion, information, publication ou tentative de recherche de renseignements sortant de ce qui sort d’un Service de Presse peut nuire au développement économique des entreprises et devient du coup passible de poursuites au titre de l’article 134-1 anti-maîtres-chanteurs, escrocs et aigrefins.
Ah, le bon temps que ce siècle de fer. « Microsoft envisage de développer une nouvelle version de Windows » : 3 ans de prison. « Adobe lancera un nouveau logiciel possédant presque autant de trous de sécurité que de lignes de code » : les galères et 375 000 euros d’amende. « Wikileaks nous apprend tout sur les ventes d’armes d’une grande entreprise nationale et un pays du Moyen Orient » : le peloton pour les supporters d’Assange. « Un employé de la HSBC vole des données financières confidentielles en Suisse et les remet à la justice française » : le bagne pour le Garde des Sceaux. Ah… Effectivement, dans certains cas, il faudra prévoir quelques aménagements et quelques clauses d’immunité pour raisons exceptionnelles.