Spécial sécurité : Obama, président privé de BlackBerry

Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères s'amusent de l'interdiction d'utiliser un BlackBerry qui frappe le président américain. Avant de rire de la condamnation du spammeur de Facebook.

cnis logo

Sommaire

- 1 - Plus de BlackBerry pour le Président américain

- 2 - Les milliards virtuels du spam Facebook : un coup d’IP dans l’eau 

- 3 - Comment les virus profitent de la disparition de l’argentique 

- 3 - Symantec soupèse le cybercrime

1) Plus de BlackBerry pour le Président américain 

Verba volent, scriba manent ? Certainement plus !, s’exclame Bruce Schneier dans la reprise d’un de ses épitres initialement écrit pour le Wall Street Journal. Ce billet, intitulé «  Le futur des conversations éphémères », peut être résumé ainsi : « No Future pour les conversations éphémères ». Car les babillages futiles de notre époque moderne sont – ou peuvent être - gravés à tout instant dans l’airain des disques durs d’un quelconque fournisseur de services. Des balbutiements SMSisés de nos ados via Messenger ou autre messagerie instantannée, en passant par nos conversations téléphoniques VoIPisées, les fichiers transmis « pour information », les Twitters, les Facebook/LinkedIn, les blogs… tout ce que fait l’homme moderne peut être tracé, stocké, puis ressorti un jour à un moment peu opportun. Même les « verba » manent désormais.

Mais le Blackberry d’Obama, dans tout ça ? C’est précisément ce qu’explique le New York Times : ce que pouvait se permettre le sénateur, grand utilisateur d’e-mails sur terminal mobile, n’est plus permis au Président. Il sera interdit de Blackberry, y compris dans le cadre de ses communications privées. Car en utilisant des moyens de communication contemporains, qui échappent aux archives institutionnelles, c’est tout un pan de la mémoire du pays qui s’efface. Pour la durée d’un mandat, le moindre SMS familial, à l’instar des écrits relevant de l’exercice du pouvoir, transitera par des outils maîtrisés par les services de sécurité de la Maison Blanche, avec leur cortège de chiffrement, de camouflage des sources et des origines et d’enregistrement minutieux de leur contenu. Le moindre geste d’un homme d’Etat appartient à l’histoire, et ce n’est pas à un simple fournisseur de téléphones ou à un vague secrétaire d’Etat de déterminer ce qui, ou non, sera intéressant pour un historien dans un avenir lointain. Seuls les dictateurs et monarques absolus ont parfois tenté de réécrire leur histoire, en censurant tantôt une opposition politique, tantôt un autre aspect peu glorieux de leur règne. Mais il faut bien admettre que, depuis 5 ou 6 siècles, il se trouve toujours un Philippe de Commynes, un Machiavel ou un Saint Simon pour rapporter les faits, banals ou glorieux, des grands de ce monde.

Elle est d’ailleurs paradoxale, cette notion de « chose publique », de « Res publica » au sens premier du terme. Durant un mandat tout entier, les moindres paroles, gestes, écrits d’une personne appartiennent à la postérité et à la contemplation de tous. Mais une contemplation qui est elle-même soumise à une période conservatoire plus ou moins longue, protégée par le secret d’Etat. Avant, tout accès à ces données relève de la « tentative d’intelligence et atteinte à la sûreté de l’Etat »… à quelques jours près, un employé de Verizon en aurait fait la dure expérience, pour s’être intéressé d’un peu trop près au détail des communications passées par le candidat à la Présidence. Subtiliser le carnet d’adresses de Paris Hilton, c’est œuvre de paparazzi. Examiner la « fadet » (facture détaillée) du premier homme des Etats-Unis, c’est de l’espionnage.

Pourtant, l’article de Schneier insiste sur ce point, notre monde moderne n’est qu’une succession de traces numériques. Le Web, consulté ou écrit, est devenu une forme quasi innée de communication, pratiquement aussi naturelle que la parole. Il est totalement impensable, à moins de vouloir passer pour un tyran inique ou un parent rétrograde, d’interdire la messagerie instantanée ou le blog à un adolescent. Il n’est plus concevable, pour 80 % de la population, d’affirmer quelque chose sans en avoir vérifié ou puisé l’origine dans les entrailles d’un Google ou d’un Wikipedia. Il n’est plus envisageable même, dans le cadre du travail, de ne pas contrôler si telle ou telle bibliothèque n’a pas déjà été développée, si tel ou tel outil ne serait pas déjà disponible sur un Sourceforge ou une ressource de freewares. A terme, il sera très probablement nécessaire que le droit et l’esprit des lois s’adapte à cette nouvelle situation. Non seulement parce qu’il est de moins en moins naturel de considérer que l’usage d’Internet à des fins « privées » relève de l’abus de bien social – on n’interdit plus de parler sur le lieu de travail depuis le gouvernement Thiers, demain, on ne devrait plus interdire cette autre forme d’expression quasi naturelle qu’est le « en ligne ». Ensuite, parce qu’il faudra bien unifier un jour ce qu’il est « possible » de faire et ce qui relève de l’abus, sans que cela soit le fruit d’un capharnaüm « d’avenants au contrat de travail » ou de constats « d’actes non nécessaires à l’exercice d’une fonction ». Il y a, en ces périodes de récession économique, bien des abus qui servent de prétextes pratiques pour éviter à certains patrons – une minorité espérons-le - les charges financières d’un « plan social ». Enfin, parce qu’il sera également nécessaire de définir des limites juridiques de ce qu’il est possible d’exhumer et de faire ressortir sur la place publique. Il est de plus en plus fréquent de voir utilisé par les parties adverses, dans des procès outre Atlantique, un vieux « mémo confidentiel » ou un ancien échange d’e-mails privés, souvent utilisé hors contexte.

2) Les milliards virtuels du spam Facebook : un coup d’IP dans l’eau 

Un spammeur Canadien, nous apprend une dépêche de l’Associated Press, se serait fait condamner à une amende de près de 900 millions de dollars pour avoir pollué la messagerie des usagers du réseau social Facebook. Il s’agit là d’une très grosse conséquence pour un tout petit spam (4 millions d’e-mails non sollicités, une paille comparée à certains polluposteurs d’Europe de l’Est).

Et la dépêche de conclure qu’il y a peu de chances que Facebook parvienne un jour à récupérer ledit pactole, qui équivaut à peu près à 30 fois son « net » annuel. Probablement aussi peu de chances également que ce même Facebook dédommage ses propres clients pour la nuisance provoquée directement par l’usage de son propre service. Et encore moins pour que cette histoire, contrairement à ce que prétendent certains experts, puisse avoir la moindre conséquence ou la moindre exemplarité susceptible d’influencer d’autres spammeurs notoires. La première conséquence d’une somme aussi astronomique ne fera qu’inciter les spécialistes du pourriel à disséminer leurs sources de diffusion et à externaliser leurs activités dans des contrées échappant à tout contrôle juridique.

3) Comment les virus profitent de la disparition de l’argentique 

G.N. White du Sans Institute, raconte comment l’une de ses connaissances s’est fait infecter par un virus après avoir utilisé les services d’une de ces « bornes de tirage photos numériques » que l’on trouve généralement à l’entrée des supermarchés. La carte SD de la victime avait, le temps d’un « développement », récupéré au passage un Autorun.inf et quelques fichiers associés. La plus élémentaire des prudences consiste donc soit à n’employer que des CD-Rom ou DVD-rom non réinscriptibles (les lecteurs de ces bornes sont, en majorité, également des graveurs) ou de vérifier le basculement de l’ergot de protection en écriture. Ce genre de réflexe de prudence, pourtant quasi instinctif à la haute époque des transferts par disquettes et des virus « boot sector », a pratiquement disparu. A cet incident près, il faut tout de même admettre que cette mésaventure est exceptionnelle. Jusqu’à ce qu’un black hat n’en vienne un jour à lire les bulletins du Sans…

4) Symantec soupèse le cybercrime

Selon le récent rapport de Symantec sur «  l’économie de l’underground », le volume du marché de la vente d’identités graviterait aux environs de 276 millions de dollars, dont 59 % constitués uniquement par la commercialisation de numéros de cartes de crédit. Si, continue le rapport, ces informations sont toutes correctement exploitées par leurs acheteurs, le volume total du marché « noir » du cybercrime dépasserait les 5 milliards de dollars chaque année.

Collectés entre juillet 2007 et juin de cette année, les chiffres recueillis par Symantec sont parfois surprenants. Ainsi, une faille sur un site web du monde financier est vendue en moyenne 740 $, mais peut culminer jusqu’à 3 000 $. Un couple carte de crédit/identité, selon son pays de provenance et les garanties de solvabilité, pèse entre 10 et 1 000 $. La cote du keylogger oscille aux environs de 23 dollars, le botnet en état de marche se négocie un peu au-delà de 220 $ prix de départ, le serveur smtp sur zombie cote 10 $ pièce.

Ce n’est pas la première fois qu’un professionnel de la sécurité se penche sur l’économie parallèle du hack noir. Le mois dernier, c’était au tour des experts es-contre piratage de RSA de nous décrire ce même jeu du recel d’informations. Des salles de marché où les voleurs d’identité vendent leurs larcins aux enchères, à des escrocs qui tenteront ensuite d’exploiter au mieux ces informations. Ces boutiquiers du login/password ou du « pin number » travaillent généralement à l’abri de toute menace policière. Les gains sont peut-être moins importants que dans le business du faux viagra ou du bidonnage nigérian, mais les risques de se faire prendre sur le fait sont également inexistants. Ce sont les « grossistes » de l’économie underground, les détaillants ayant, eux aussi, fait l’objet d’une passionnante étude conduite par des universitaires de l’UCSD et de Berkeley.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)