Spécial sécurité : Hadopi, déjà des dégâts pour les premiers "Albaniciels"

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, détaillent une faille d'un des premiers logiciels chargés de surveiller les téléchargements illégaux. Un cas emblématique qui inspire à nos confrères une réflexion sur le désengagement de l'Etat. Egalement au menu de cette édition : l'exploitation de Facebook pour des arnaques par ingénierie sociale.

Sommaire :

1 - Hadopi, les dégâts des premiers Albaniciels 

2 - C’est sur Facebook, c’est forcément vrai  

3 - Machine du milieu ou homme du milieu ?

 

1) Hadopi, les dégâts des premiers Albaniciels

L’histoire commence un peu comme un échange sur le court central de Roland Garros : le blogueur Bluetouff dévoile que les premiers logiciels de « sécurisation » Hadopi (celui d’Orange en particulier) provoquent des fuites de données assez étonnantes de la part d’un opérateur qui se veut sérieux. L’Albaniciel échange, entre le poste du « client protégé » et le serveur de supervision, des informations transitant en clair sur Internet.

Renvoi de fond de court de la part de Cédric Blancher, qui, sortant à peine de l’amphithéâtre de l’Université de Rennes, en rajoute une couche en faisant remarquer une seconde et probable vulnérabilité liée à JBoss (car c’est précisément JBoss qu’utilise le logiciel de surveillance Orange).

N’ayant aucune envie de perdre son service, Bluetouff tente et réussit un revers, accompagné d’un superbe néologisme : le « failware de sécurisation Orange ». Et rappelle que, pour voir sa propre machine potentiellement compromise et son numéro IP semé aux quatre vents, les usagers doivent tout de même payer 2 euros par mois ce qui, multiplié par le nombre de personnes « sensibilisées » par les discours anxiogènes des promoteurs d’Hadopi, peut représenter une « opportunité commerciale » avantageuse.

Rappelons au passage que les Albaniciels étaient à l’origine destinés à « protéger » les usagers du Net contre les méfaits des «  insiders téléchargeurs compulsifs ». En d’autres termes, il s’agit d’éroder la confiance qui peut régner au sein d’une cellule familiale pour mieux justifier l’installation de programmes de surveillance et de contrôle de contenu.

Alors, les hadopiciels sonnent-ils la fin de l’Internet Libre ? C’est là une question trop parcellaire. Il y a près deux ans et demi, Jean Marie Chauvet, éditorialiste-agitateur chez nos confrères d’ITR News, écrivait à propos du rapport Olivennes
… «  Sonia Katyal de la Fordham School of Law appelait très justement les « nouveaux réseaux de surveillance ». Il s'agit d'instaurer progressivement un régime extrajudiciaire de contrôle et de sanction des infractions aux réglementations de la contrefaçon et du copyright, dont l'inspiration rappelle inévitablement la métaphore du Panopticon de Jeremy Bentham »

Si l’on écarte la vision Foucaultienne du panoptique, parcellaire et partiale à tel point qu’elle transformerait en HLM le Familistère Godin, on ne peut que reconnaître la justesse de la vision de Katyal/Chauvet sur cette forme de « privatisation » des institutions d’Etats dans notre monde moderne. Avec pour premier justificatif, sous couvert de sécurité, l’économie à court terme induite par cette forme de sous-traitance. Confier à des opérateurs et fournisseurs de services – voire directement aux parties concernées - le droit de rendre justice sans que la Justice n’ait à intervenir, c’est là une logique de désengagement financier de la fonction publique qui rejoint d’autres actions. Ainsi la disparition progressive des antennes de gendarmerie dans les villages, au profit de la « police municipale » - euphémisme intéressant pour désigner une milice locale financièrement supportée par les communes. Ainsi la sous-traitance à des entreprises de droit privé chargées de la gestion à la fois des cinémomètres et de la verbalisation des excès de vitesse. Ainsi – l’exemple américain est là pour prouver cette tendance - la rétrocession à des entreprises privées des centres de détention, voire des centres d’éducation surveillée pour mineurs… ou, pis encore, l’entrée dans la ronde d’entreprises spécialisées dans la «  sécurité physique des biens et des personnes sur les terrains d’opération »… en d’autres termes la privatisation de certains pans des forces armées par des Halliburton.

Si cette logique n’a rien de choquant dans des pays où le néolibéralisme confine à la religion, elle est difficilement acceptée en Europe, où les quatre attributs du pouvoir – Police, Justice, Finance et Armée - sont le ciment pour lequel le citoyen accepte de payer des impôts et de s’identifier à une nation. L’on pourrait adjoindre à ces secteurs « sacrés et intouchables » ceux de la santé, des infrastructures routières, des flux indispensables (eau, gaz, électricité), des télécoms, de l’enseignement… domaines qui, peu à peu, sont « expulsés » du sein de l’Etat-Nation pour des raisons de « réalisme économique ». Sujet du Bac des années 2020 : sans ces institutions, un Etat est-il toujours un Etat ?

Il y a bien plus, derrière Hadopi et les Albaniciels qu’une simple chasse aux pirates de chansonnettes et autre futilités. En « inventant » Hadopi, l’actuel gouvernement a répondu favorablement à la demande pressante d’un lobby – les éditeurs et industriels du loisir -, sans pour autant s’engager dans la moindre démarche institutionnelle, puisque la concrétisation de ce soutien relève précisément d’initiatives également privées. Et qui dit initiative privée pense immédiatement « logique de rentabilité », indépendamment de tout impératif qualitatif et éducatif.

Orange n’est donc pas coupable, ou du moins pas responsable, mais victime de cette logique du « rendement sécuritaire » et du désengagement institutionnel. Placé dans une situation analogue, un organisme public aurait mis en place probablement les mêmes mécanismes, mais avec une optique différente, visant à la disparition ou la forte diminution du piratage. En confiant ce travail au secteur privé, mu par une logique de bénéfice et de croissance, l’Etat a mis en place un système qui vise à faire perdurer et le piratage par téléchargement, et la victimisation des éditeurs du secteur du loisir. Car quel intérêt aurait une entreprise à développer, diffuser, entretenir une base de logiciels Hadopi si c’était pour voir s’étioler les ventes par excès d’efficacité ?

2) C’est sur Facebook, c’est forcément vrai 

Deux billets à propos de Facebook. Tous deux publiés sur des blogs dépendant d’éditeurs d’antivirus. Et tous deux traitant du pouvoir de crédibilité que les réseaux sociaux apportent aux attaques en social engineering … si c’est sur Facebook, c’est forcément vrai.

Le premier est signé par François Paget, et traite d’une de ces nombreuses escroqueries au « job en or » qui ne demande qu’un léger investissement de 2,97 $... une somme qui, en fait, est une sorte de blanc seing donnant le droit au prétendu apporteur d’affaires de prélever chaque mois 93 $ sur le compte de la victime. Et cette sorte d’abonnement au succès peut être interrompue sur simple appel téléphonique, encore faut-il avoir la chance d’entendre quelqu’un décrocher pour prendre l’appel. Rien là que de très classique, dira-t-on, car de tels chalutiers à gogos écument les océans du Web et de l’email depuis quelques décennies. Mais le Web Deuzéro, nous indique François Paget, offre l’avantage d’afficher haut et clair l’ampleur de chaque buzz, la portée de chaque escroquerie. Dans le cas de ces illusionnistes du travail à domicile, plus de 268 000 « membres » se sont inscrits pour suivre l’actualité de ce Facebookemaker faisandé… 268 000 crédules drainés en moins de deux semaines.

Même histoire du côté de F-Secure. Sean est parti enquêter sur les résultats de fréquentation d’un spam tapageur utilisant les vieilles ficelles de la presse à scandale. En moins d’une demi-journée, 140 000 personnes avaient cliqué sur le lien incitatif. Pis encore, près de la moitié des personnes tombées dans ce piège aussi grossier que vulgaire ont également activé la fonction «  Accéder à mes informations publiques, nom, profil, liste d’amis et autres aspects publics de mon profil ».

Ces deux métriques apportent aux responsables sécurité un début de réponse, une estimation aisément vérifiable sur les « taux de retour » des attaques en ingénierie sociale en usage sur Internet. Jusqu’à présent, l’ampleur du phénomène était relativement mal appréciée, puisque dépendante des publications d’éditeurs de logiciels de protection ou d’équipementiers, à la fois juge et partie. C’est ainsi que les « bugs du siècle », « virus mondiaux » et « botnet titanesques » s’avéraient parfois aussi vertigineux qu’une taupinière, aussi dangereux qu’une charge de gastéropodes. Facebook, c’est l’énormité en plus et le « FUD » en moins… du moins pour ce qui concerne les métriques de consultation, et tant que les administrateurs du site n’auront pas compris qu’il est possible de faire de l’argent avec ce genre de données.

) Machine du milieu ou homme du milieu ?

Dans la droite ligne de ces édifiantes histoires Facebook, l’on imagine fort bien que les flibustiers de la carambouille cherchent à automatiser ces attaques contre l’élément humain plongé dans un bain de Web Deuzéro. Depuis l’aube des premiers logiciels de « stupidité artificielle » aux recherches pointues sur l’art de tromper les tests de Turing, les mafieux du Web cherchent à confier à des machines le soin de récupérer des informations d’ordre personnel avec le même niveau de persuasion qu’un professionnel : vendeurs de brosses, hommes politiques, marchands d’encyclopédies ou fourgues spécialisés dans le Viagra d’opérette ou de la toquante « imitation Helvétique », tous ne poursuivent qu’un but, l’approbation du crédule… Et vite et de façon massive s’il vous plait ! Car le temps, c’est de l’argent, et là où un humain derrière un clavier peut « convaincre » une victime de communiquer un nom, une adresse et un numéro de téléphone, un logiciel devrait pouvoir faire le même travail mais auprès de plusieurs centaines de personnes simultanément.

Hélas, constatent quatre chercheurs d’Eurecom, les outils générateurs de « faux dialogues » sont rapidement éventés par les victimes potentielles. Réponses évasives, répétitions dans les réactions, interactivités douteuses ou décalées... Pour éviter ce genre d’écueil, ces chercheurs ont inventé une nouvelle technique : faire converser des humains avec des humains, histoire de ne plus succomber aux pièges de Turing. Oui, mais alors, où se trouve l’automate malicieux ? Mais entre les deux personnes réelles, bien sûr, dans une sorte de Botnet in the middle attack ». Le fonctionnement est presque simple. Le Bot initie une conversation avec Bob et avec Alice :

-Bonjour, dit le Bot.
-Salut, répond Alice
-Salut envoie le Bot à destination de Bob
Lequel Bob rétorque avec à-propos
-« Vous habitez chez vos parents ? »
… phrase que retourne le Bot vers Alice
… laquelle Alice rétorque
-« J’en avais entendu parler, mais on ne me l’avait encore jamais faite ! »…

Et la conversation est engagée. Le rôle du Bot in the middle est de choisir le moment le plus approprié pour glisser dans la conversation un « lien intéressant à cliquer » ou un fichier à récupérer (en fait, le « payload » de l’attaque), actes dont les conséquences seront plus que bénéfiques pour le « Bot herder » qui contrôle ainsi la communication.

Avec une telle technique, le taux de fiabilité et d’efficacité dépasse les 76 %, affirment les chercheurs de Sophia, qui ont modélisé ce genre d’assaut sur des canaux IRC de conversations estudiantines et sur… Facebook, à tout hasard. 76 % : de quoi rendre vert de rage les barons du scareware et les princes du scam nigérian, qui ne se battent que sur des taux de retour ne dépassant pas 1 à 5 pour 1000 dans le meilleur des cas. Ajoutons que le procédé est indétectable et pratiquement impossible à contrer. Est-ce là une approche purement universitaire du problème qui n’a aucune chance d’être exploitée ? C’est hélas peu probable. Il existe d’ores et déjà des réseaux (notamment des filières chinoises et indiennes de déchiffrement de « Captcha »), qui exploitent une méthode inverse : des réseaux de robots qui emploient un « homme au milieu » pour lire et interpréter le contenu d’un test de Turing et ainsi améliorer les performances d’attaques automatisées. Paradoxe étonnant, l’homme devient robot au sein d’un réseau de machines censées imiter le comportement humain. Il n’y a donc aucune raison pour qu’un jour des humains collaborent, à leur corps défendant, à des escroqueries d’envergure reposant sur ce principe du « botnet in the middle ».

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)