Spécial sécurité : sur-accident du premier Albaniciel
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur les indiscrétions du programme de « surveillance » Hadopi commercialisé 2€ par mois par Orange. Et qui a fait les frais d’un décorticage détaillé de la part d’une équipe connue sous le nom de « Cult of the dead Hadopi ». Laquelle nous apprend qu’il y a, dans ce code-là, de la graine de botnet. Nos confrères s'intéressent également à la prochaine édition de l'exercice Cyberstorm qui doit, cette fois-ci, mettre à l'épreuve la coopération internationale.
1 - Hadopi, sur-accident du premier Albaniciel
2 - Cybermanœuvres interarmées : pour les Français y’en a plus (bis)
1 - Hadopi, sur-accident du premier Albaniciel
Comme prévu, pourrait-on dire, les indiscrétions du programme de « surveillance » Hadopi commercialisé 2€ par mois par Orange a fait les frais d’un décorticage détaillé. de la part d’une équipe connue sous le nom de « Cult of the dead Hadopi ». Une analyse de l’analyse est aimablement fournie par Cédric Blancher, lequel nous apprend qu’il y a dans ce code-là de la graine de botnet (pas d’authentification du code expédié par le serveur central, possibilité de prise de contrôle à distance via un proxy de « détournement »), botnet lui-même fortement envisageable compte-tenu des faiblesses de l’infrastructure elle-même. Et ce n’est qu’un début, précise le Cult of the Dead Hadopi… il y a encore du potentiel dans ce programme-là.
Un logiciel de protection possédant tout ce qu’il faut pour fabriquer un botnet et compromettre des milliers de machines, le tout payé avec l’argent des victimes consentantes sous le douteux prétexte de veiller à la bonne santé financière d’un quarteron de marchands de musique essentiellement de variétés …. Cela ne rappelle-t-il rien aux habitués de la sphère sécurité ? Mais oui, bien sûr… le « botnet Sony BMG » qui valu à ses auteurs une place méritée sur Wikipedia. Qui donc, après un tel exploit (au sens « sécurité informatique » du terme) osera reprendre le flambeau et envisager de se lancer dans le négoce des hadopiciels sans craindre un « reverse engineering » ravageur ?
Et c’est sans parler de l’atteinte à l’image de marque. Les persifleurs auront beau jeu de demander à Orange (le FAI) si les offres de services « antivirus en ligne » protègent efficacement contre leurs propres productions internes… Les maraîchers de la Rue Saint Denis vanteront la qualité de leurs agrumes « garantis sans pesticides ni virus »… les truands entre eux en plaisanteront : « Si jamais tu te fais serrer, on t’apportera des clémentines… parce que les oranges, par les temps qui courent… ». Nos confrères des hebdos du Mercredi sombreront dans la facilité et titreront « Orange, Oh désespoir ! »… Quand aux journalistes de la presse spécialisée, il s’en trouvera bien un ou deux pour se demander si la LCEN ne pourrait être appliquée dans toute sa rigueur. Car après tout, cette branche de l’Opérateur Historique Français ne s’est-elle pas rendue coupable de « faire publicité », de diffuser, de détenir, de commercialiser un outil pouvant manifestement porter atteinte à des systèmes d’information ? La balle est dans le camp de Maître Eolas.
Cet esprit de sel mis à part, et en faisant abstraction des « dommages collatéraux » qu’auraient pu occasionner ce programme bâclé et dangereux, on peut se demander si la logique d’entreprise et la notion de recherche de profit n’est pas incompatible avec les impératifs de l’appareil d’Etat.
Peut-on conclure que l’application d’une loi sotte ne peut engendrer que des sottises ? Que l’hypothèse que nous soulevions le 15 juin dernier se confirme ?–à savoir que le business model d’un Hadopiciel géré par des entreprises privées fait que ladite entreprise n’a aucun intérêt à voir disparaître les pirates puisqu’ils constituent le terreau d’un fond de commerce profitable. Que toute extension Européenne d’un équivalent d’Hadopi (Acta notamment) aura des conséquences probablement semblables… mais à l’échelle Européenne, donc d’une gravité bien plus grande encore.
Mais ce qui fut le plus riche d’enseignements dans cette triste histoire, c’est la source même de cette révélation, ainsi que le médium qui a permis que l’information circule. C’est grâce à l’activité, à la vigilance de la liste Full Disclosure, que beaucoup voudraient voir disparaître, qu’une telle menace a pu être exposée au grand jour. C’est grâce à cette liberté de parole qui a encore droit de cité dans certains pays étrangers que le danger a pu être écarté. C’est grâce au travail d’un petit groupe qu’un « grand groupe » a dû faire machine arrière et reconsidérer l’opportunisme de son action.
2 - Cybermanœuvres interarmées : pour les Français y’en a plus (bis)
Tiens, voilà du potin, voilà du potin : dans les pages intérieures de notre confrère Security News, ce papier intitulé « Les prochaines manœuvres CyberStorm vont mettre à mal la coopération internationale en matière de sécurité ».
- J’lis pas l’angliche, m’nadjudant.
- Sergent-chef Duclavier, c’est la raison pour laquelle vous n’êtes que Sergent-chef et que je vais prendre du galon. Mais bon : dans les grandes lignes, le gouvernement Américain, ses First, ses Cert, ses grandes entreprises et responsables d’infrastructure (dont 9 sociétés en informatique, 6 fournisseurs d’énergie, 2 compagnies aériennes) effectuent régulièrement un exercice simulant une « cyberattaque ». C’est la troisième du genre, et ça revient comme les radis, comme Satory, comme le 14 juillet, et comme la corvée d’pluches… mais tous les deux ans, en septembre. C’est pas franchement une méga-journée Pentest, rapport au fait que les canons sont chargés à blanc et les attaques franchement virtuelles. De la cyberguerre d’opérette en somme. Mais ça permet de voir tout de même si le piquet d’incendie est encore capable de réagir correctement et dans les temps.
- Mais m’nadjudant, nous sommes une armée moderne… avec des machines à éplucher les patates. Et puis, moi, les virusses et les malouaires, j’les crains pas avec mon Olivetti mécanique. Y’a que vous qui-z-avez un ordinateur Bull BM60.
- Assez de sarcasme, c’est réservé aux-z-officiers et à ceux qui vont le devenir. Mais le point important n’est pas là. Cette année, ces grandes manœuvres seront internationales, avec les cyberdéfenseurs Canadiens, Britanniques, Néo-Zélandais et 9 pays européens invités à participer. C’est confirmé par les Kiwis.
- Mais m’nadjudant, Etats-Uniens, Canadiens, Néo-Zélandais, Australiens, Britanniques… c’est pas nos ennemis numériques ? Ceux de l’Alliance UKUSA ? Les fomenteurs d’Echelon ? Faut dire que j’y comprends plus rien. La semaine dernière, c’était les cyberaccords Salt du désarmement numérique et l’entente cordiale entre le Kremlin et Washington dans une sorte d’Internationale de la Cyberdéfence. Si le Grand Large copine avec les Grandes Steppes, on est comme qui dirait encerclé. R’marquez, chanter l’Internationale, j’ai rien contre… j’ai appris le Drapeau Rouge pendant mon stage commando à la Légion.
- Mais-z-ici, vous êtes à l’Intendance, et c’est interdit. Et puis, on est en pleine reconfiguration géostratégique, d’autant plus épineuse que l’ennemi a oublié Clausewitz et un peu trop lu Mao… il se fond dans le cyberespace comme un poisson dans l’eau. Du fait, nous luttons contre un ennemi intérieur et extérieur insaisissable, voir des groupuscules de technoterroristes eux-mêmes manipulés par d’autres groupuscules politico-religieux évoluant dans un no-mans-land aussi indéfini qu’international. Je doute qu’un jour Jean-Christophe Victor parvienne à nous faire un « dessous des cartes » qui nous aide un jour à comprendre cet imbroglio. - C’est qui, Jean-Christophe Victor ? un Général ? - Sergent-chef Duclavier, c’est la raison pour laquelle vous n’êtes que Sergent-chef. En attendant, inspection des disques durs dans 20 minutes. Si je vois un octet pas nettoyé ou une clef USB pas correctement chiffrée avec la grille qui va bien, j’vous colle trois jours. Rompez.