Spécial sécurité : Swift, le Parlement européen dit non aux Etats-Unis
Etats-Unis, rubrique ironie. Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'amusent de la décision du Parlement européen rejetant la demande américaine d'accès aux données des transactions financières européennes. Avant de se lancer dans un morceau de bravoure à propos de la manie américaine consistant à demander à un quidam d’avouer les choses les plus inavouables (souvenez-vous des formulaires de douane). Egalement au menu : les premières analyses de l'attaque Aurora, celle dont a été victime Google et qui émanerait de Chine.
1 - Swift : les USA ne fouilleront pas dans les comptes européens
2 - Hacking Aurora, ou la Chine à Lépante
1) Swift : les USA ne fouilleront pas dans les comptes européens
378 votes favorables à la résolution de rejet, 196 contre et 31 abstentions : le Parlement Européen rejette l’accord Swift/TFTP (Terrorist Finance Tracking Program) donnant aux Etats-Unis un droit de regard sur les transactions financières internationales effectuées par des ressortissants et sociétés européennes. Cette demande des USA avait été acceptée sans grande discussion par la Commission et le Conseil Européen, et donnait à Washington un accès sans contrôle sur les flux émis par les différents pays d’Europe. Le Parlement estime que la « menace terroriste » n’est pas un motif suffisamment étayé pour justifier ce blanc-seing de perquisition permanent, et qu’il constitue même une menace certaine pour les libertés individuelles.
L’association Les Iris rappelle que, dans sa boulimie de données personnelles, les Etats-Unis étaient déjà parvenus à imposer au Conseil la fourniture PNR, ou dossier passager, qui indique notamment les « données du passeport, le nom, l'adresse, les numéros de téléphone, l'agence de voyage, le numéro de la carte de crédit, l'historique des modifications du plan de vol, les préférences de siège et…. autres informations ». Des informations bancaires notamment qui sont conservées Outre Atlantique pour une durée minimale de 15 ans… sans précision de ce qui pourrait se passer « après » et sans, bien sûr, que la moindre instance européenne puisse exercer le moindre droit d’oubli. Jusqu’à présent, les récents attentats ont montré l’absence totale d’effet préventif de ce dossier.
2) Hacking Aurora, ou la Chine à Lépante
Face à l’armada des virus venus de Chine lors de l’attaque concertée souvent désignée sous le nom de code « Aurora », quelques groupes de chercheurs se sont mobilisés pour décortiquer les techniques utilisées à cette occasion. Et notamment David Litchfield, de NGSS Software, qui n’avait pas écrit de tels articles depuis longtemps, ainsi que le cabinet HBGary Federals. Tous deux expliquent comment « reconnaître » une attaque Aurora, et ce n’est pas franchement simple.
Car le vecteur est complexe. En premier lieu, un code JavaScrip exploite une vulnérabilité d’Internet Explorer 6. Un IE6 qui est encore très largement utilisé en entreprise pour des raisons de compatibilité avec des applications Web. Ledit JavaScript contient un shellcode qui à son tour télécharge un « dropper ». Du dropper est extrait une « porte dérobée » ainsi qu’une DLL peu innocente, laquelle s’installe dans le répertoire Système de Windows et se charge en mémoire sous forme de « Service ». A ce stade, la DLL se modifie afin d’échapper aux détecteurs les plus classiques, tandis que le dropper se suicide par effacement afin d’éliminer toute trace de l’intrusion. Les deux articles s’attachent notamment à démonter les mécanismes de l’attaque JavaScript.
Parmi les étranges coutumes chamaniques qui empreignent la société nord-américaine en général et celle des Etats-Unis en particulier, celle qui consiste à demander à un quidam d’avouer les choses les plus inavouables semble de loin la plus curieuse. Cette fausse candeur n’a d’autre but que de faciliter le travail des juges d’instruction en cas de flagrant délit, puisque toute dénégation antérieure transforme ipso-facto l’incartade en « felony » et le crime en « crime avec préméditation ». C’est tout de suite plus cher. Ainsi, les formulaires douaniers demandant aux touristes s’ils ont appartenu dans leur folle jeunesse à une organisation nazie, si leurs intentions sont ou non de trucider le successeur en place d’Abraham Lincoln, ou si, à une certaine époque, eux ou l’un de leurs proches avait acheté un sandwich jambon-beurre à la dernière fête de l’huma.
Cette tradition est fidèlement entretenue et continue de figurer en première place des traditions états-uniennes. Ainsi, remarque Concurring Opinions, cette clause de contrat que comporte la EULA d’iTunes, et qui interdit aux terroristes localisés dans les pays mis à l’index par les ministères du Commerce ou de l’Economie. Chez Apple, si l’on sait que la musique vendue en ligne pouvait enrichir les actionnaires de Cupertino, l’on doit également penser qu’elle est incapable d’adoucir les mœurs.
Par mesure de prudence, le contrat insiste : « You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture or production of nuclear, missiles, or chemical or biological weapons ».
Si d’aventure un lecteur pouvait indiquer à la rédaction par quel miracle d’ingénierie inverse l’on pouvait fabriquer un missile thermonucléaire, une bouteille de gaz moutarde ou des cultures de toxine botulique à l’aide d’un Buffer Overflow affectant iTunes, nous nous ferions une joie de publier par le menu les détails de cette recherche. Ce constituerait, pour la science informatico-physico-biochimique, une avancée spectaculaire et la promesse certaine d’un Nobel à courte échéance.
Mais il y a pire encore. Bruce Schneier sur son blog, Slashdot, RawStory… tous s’extasient de cette mise en application officielle d’une loi d’Etat Sud-Carolinienne obligeant les organisations subversives à s’enregistrer auprès de l’administration (Amis terroristes attention, les frais administratifs s’élèvent à 5 dollars). Qui donc doit s’inscrire ? « chaque membre d’une organisation subversive, ou organisation assujettie au contrôle d’une puissance étrangère, d’un agent étranger, ou toute personne professant, militant, promulguant ou se faisant une règle de souhaiter contrôler, s’emparer du ou renverser le pouvoir du gouvernement des Etats-Unis . Voilà qui va singulièrement faciliter la tâche des contre-espions, des chasseurs de terroristes et des G-men de tous crins. Las, les futurs épisodes de « 24H Chrono », de NCIS ou de DHS vont prendre un coup de vieux. Un Jack Bauer qui met à l’ombre d’un seul coup 150 membres d’Al Qaida en consultant l’annuaire des associations terroristes de Caroline du Sud, sans poursuite de voiture, sans fusillade, sans prise d’otage, sans torture, sans rébellion, sans hiérarchie jugulaire-jugulaire, mais avec un simple coup de fil, ça va pas nous faire péter l’audimat. Ayons également une pensée émue pour ces pauvres fonctionnaire Caroliniens qui, par les temps terroristes qui courent, vont être débordés dans les mois qui viennent par le traitement des milliers de formulaires que rempliront civilement des conspirateurs de tous bords.