Spécial sécurité : et si tout cela n'était qu'un immense exercice de cellules de crise ?
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, ironisent sur la crise que vient de traverser l'Europe avec l'éruption d'un volcan Islandais - et même double dans le cas de la France, en raison des effets cumulatifs de la grève en cours à la SNCF. Et de souligner "à quel point le principe de Murphy doit être pris en compte dans l'établissement d'un PRA/PCA fonctionnel." Nos confrères s'intéressent également sur ces véritables kits de l'espion numérique amateur qui fleurissent sur le net avec, parmi les cibles, une proie de choix, l'iPhone.
Sommaire:
1 - Et si tout cela n’était qu’un immense exercice de cellules de crise ?
2 - Guides de l’espion amateur
1 - Et si tout cela n’était qu’un immense exercice de cellules de crise ?
Le moins que l’on puisse dire, c’est que dans la catégorie « exercice grandeur nature », l’équipe sécurité de la SNCF y a mis les moyens. La première phase dite syndicale, entamée il y a près d’une semaine, a eu pour conséquence une forte diminution du trafic ferroviaire en général et des rames TGV en particulier. En raison des mécanismes désormais connus du principe d’avalanche (sur-accident occasionné par une défaillance d’un « single point of failure »), le réseau de réservation Sud-Est a rapidement été saturé, provoquant un « down » généralisé des serveurs de réservation et des transports eux-mêmes. Il faut préciser que la période de vacances choisie était favorable à cet afflux de requêtes et à ses effets de bord. Mais là où la conscience professionnelle de la Cellule de Crise s’est montrée remarquable, c’est lorsque le volume du déni de service s’est trouvé renforcé par le gel des transports aériens (opération Eyjafjallajökull, mot compte triple, super-scrabble), lequel a véritablement montré à quel point le principe de Murphy devait être pris en compte dans l’établissement d’un PRA/PCA fonctionnel.
Une telle minutie dans la préparation et l’exécution de cette simulation nationale d’attaque Scada fait rapidement oublier les couacs du précédent exercice qui ne faisait que combiner une fausse attaque terroriste et une véritable intrusion des systèmes d’information. Les experts es-plan de continuité et les spécialistes des infrastructures de communication demeurent sans voix devant un tel souci du détail.
Mais ce n’est pas tout. Souhaitant probablement pousser les limites de résistance de la vie du rail, la Haute Direction du Service Régularité y est allé de son invention à elle, en proposant d’ajouter à ce festival de compromissions une véritable attaque en vol d’identité massif, prélude probable à une formidable opération de Phishing. Chaque voyageur ayant vu son train retardé en raison des contraintes de cet impressionnant exercice de sécurité s’est vu offrir une « promesse éventuelle de dédommagement non systématique ». Promesse concrétisée sous la forme d’une enveloppe-formulaire. Laquelle demande à chaque personne lésée de communiquer les renseignements suivants :
Nom, prénom, date de naissance, adresse complète, adresse email, détails du trajet, date de circulation -et donc d’absence du domicile- et autres données moins importantes.
Mais là où l’opération confine au génie, c’est lorsque l’on apprend que ces données personnelles doivent être inscrites à l’extérieur de l’enveloppe . Confier à un spécialiste du pentesting une nouvelle intrusion dans le système d’information de la Nouvelle SNCF aurait représenté un investissement relativement lourd, particulièrement si ce prestataire extérieur est, contrats administratifs obligent, certifié CISSP/ISO 27001. Il a donc été décidé que ce serait l’usager lui-même qui fournira en clair et exposé à tous les regards ses propres données personnelles. Comme de toute manière les wagons postaux sont immobilisés par la « régulation » compte tenu des difficultés de circulation ferroviaire, l’accès physique auxdites données personnelles sera par conséquent grandement facilité (Quai F, rame de couleur jaune, voiture 4).
Pendant ce temps, la cellule de crise de la Société Nationale garde un œil sur ses métriques, et complète même sa panoplie de mesures. Le 14 avril dernier, l’entreprise semi-publique organisait un sondage BVA intitulé « grande enquête de satisfaction ». Gageons que l’enthousiasme des usagers face à cet extraordinaire effort de sécurisation des infrastructures se traduira par un indice de satisfaction quasi pyramidal.
Comme cette simulation combinée air-rail ne concerne que la France, on ne peut que saluer l’à-propos du Ministère des Transports qui a immédiatement interdit tout trafic aérien… y compris celui des aérostats –dont les moteurs ont pourtant très peu de chances de se gripper-, de l’aviation de tourisme et des hélicoptères, même si ceux-ci n’évoluent qu’en dessous du « plafond » du nuage volcanique. Une mesure très probablement destinée à empêcher les quelques usagers finauds qui auraient pu voir là un moyen d’échapper aux contraintes de l’exercice de simulation et par conséquent en fausser les résultats finaux. Les autres pays de l’Union Européenne n’étant pas inclus dans ce merveilleux scénario n’en ont bien entendu pas fait autant.
A l’heure où nous rédigeons ces lignes –qui ne sont ni ferroviaires, ni aériennes- l’opération Eyjafjallajökull n’est toujours pas achevée. Les compagnies aériennes, dont les systèmes d’informations financières sont considérablement plus efficaces et rapides que leurs outils de tracking des bagages égarés, clament depuis J+2 que leurs pertes frisent les 148 millions d’Euros par jour et par compagnie. Celles des entreprises touchées par cet exercice sont en revanche loin d’être estimées…
2 - Guides de l’espion amateur
Comment suivre un iPhone à la trace, récupérer des preuves de téléchargement illégal sur LimeWire, envisager l’émission d’une commission rogatoire internationale visant les serveurs de Gigatribe ou installer une « panoplie du petit hacker WiFi », farfouiller dans un compte MySpace ? En lisant attentivement une série de documents d’information publiés par différents services de police américains et diffusés par Cryptome. Ce sont là, pour la plupart, des notes de services internes destinées à vulgariser certaines notions de hacking auprès de fonctionnaires de police ne possédant pas forcément une fibre de techno-gourou. Si les professionnels de l’intrusion et du pentesting n’y trouveront que peu d’intérêt, ces fiches-cuisine pourront en revanche expliquer aux usagers « normaux » les rudiments de ce qu’il est possible de faire et ce qu’il est conseillé de ne pas utiliser… Une bonne introduction aux principes de base du chiffrement des données personnelles.
L’on peut noter au passage que l’étude de Gigatribe (programme Français) a été conduite par la Technological Crime Unit de la région de Niagara dans le cadre d’une enquête sur un réseau d’échange pédopornographique. Officiellement, en France, ce logiciel ne fait pas partie des programmes sous surveillance utilisés par les forces de gendarmerie du Fort de Rosny.