Spécial sécurité : piratage record dans la CAO
Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette édition, la rédaction de CNIS s'intéresse à la tempête autour du RFID, au piratage des logiciels industriels et enfin à l'arrêt d'un programme de cyber-soldat américain.
Sommaire :
- RFID : les professeurs protestent, les consommateurs manifestent
- Le pirate et le programme de CAO
- Cybersoldat vole ? Non Chef, plus maintenant !
RFID : les professeurs protestent, les consommateurs manifestent
La vague dépressionnaire qui s’est installée sur la zone RFID semble s’être stabilisée pour une durée assez longue. Le juge O’Toole Jr, chargé d’instruire l’affaire opposant la MBTA, régie des transports de Boston, subit une averse de signatures, précipitation orchestrée par un collège de « professeurs des sciences informatiques et de scientifiques du domaine ». Il est bon de signaler que les étudiants ayant cherché à soumettre, durant la dernière Defcon, une communication sur la vulnérabilité des infrastructures de la MBTA travaillent sous la direction d’un certain Monsieur Rivest, Ron de son prénom, le « R » de RSA. Un catalyseur anticyclonique qui a immédiatement provoqué un amas nuageux constitué de cumulo-Schneier, de Cirro-Bellovin, de Strato-Farber etc. De grands noms qui généralement provoquent de grands effets.
Le front tempétueux de Boston se déplace également lentement vers le Sud, et provoque, dans la région de New York, une précipitation de manifestants, circonscrite à la journée du 13 août. Des manifestants réunis, à l’initiative de l’association Spychips, pour protester contre la généralisation des étiquettes RFID dans l’industrie du vêtement et de la chaussure. Il y a, expliquent les protestataires, le discours officiel, celui de la « bonne gestion de stock » et de l’optimisation des outils d’inventaire, tel que diffusé sur le RFID Journal. Derrière ce masque se camoufle parfois une volonté très différente, celle cherchant à fliquer le consommateur, ainsi que le décrit et le revendique cet ancien brevet IBM sur la surveillance des personnes par le biais des étiquettes RFID.
Le pirate et le programme de CAO ViLabs et ICG (Internet Crimes Group), deux entreprises spécialisées dans la conception des outils de production, viennent de publier une enquête peu commune : l’état du piratage des logiciels très spécialisés que sont les PLM (gestion du cycle de vie d’un produit), les EDA – conception de circuits électroniques - et CAO.
En général, ces programmes sont vendus à des tarifs très élevés. Rarement en rapport avec le budget de pays en voie de développement ou de petites entreprises. Une tarification qui semble créer une sorte « d’appel d’air » en faveur de produits piratés. Les enquêteurs se sont donc mis en quête de près d’un millier de « cracks » disponibles sur le marché gris, des générateurs automatiques de clefs de licence et autres outils servant à débloquer des logiciels vendus par Agilent, ANSYS, Autodesk, Cadence Design, Dassault, The MathWorks, Mentor Graphics, National Instruments, PTC, Solidworks et UGS/Siemens. La chasse achevée, il ressort que si 21% des EDA sont « crackés », les outils de CAO et PLM le sont à 79 %. Le « time to market » d’un code servant à casser ou contourner une protection Autocad ou un Orcad ne dépasse pas 30 jours.
Cette activité quasi industrielle est assurée par des groupes de black hat très spécialisés, connus de tous. Ils ont pour nom TBE (the Bitter End), LZ0 (LineZero0), oDDity, MAGNiTUDE, Fortune ou Zero Waiting Time (ZWT). Leurs rôles sont définis d’une manière tellement précise qu’il est possible d’attribuer à chacun les scores et la nature de leurs piratages. Ainsi, ZWTiSO est responsable de 34% des hacks sur le créneau des EDA, suivi de près par MAGNiTUDE (26%) et LND (20%). La CAO est plutôt le domaine de TBE (39%) et de FoRTuNe (10% des piratages revendiqués).
Contrairement aux autres secteurs de l’industrie logicielle, il n’y a, dans ce domaine, pratiquement pas de ce « piratage d’étudiant », ces copies peu légales qui sont récupérées par des personnes qui, de toute manière, n’ont ni un usage professionnel de ce genre de programme, ni les moyens de se l’offrir. Les éditeurs d’outils de CAO l’ont depuis longtemps parfaitement compris, eux qui, généralement, vont même jusqu’à proposer une version limitée mais gratuite de leurs productions, voire parfois des « tarifs étudiant » très bas. Les clients des TBE et autres oDDity sont des industriels peu scrupuleux.
Ces chiffres et la réaction du marché noir du crack sont très éloignés des modèles économiques actuels en vigueur sur le créneau des noyaux Windows et des suites bureautiques d’origine frelatée. A une demande en masse de logiciels vendus à grande échelle par le biais de vastes campagnes de spamming, s’oppose une offre de classe, très spécialisée, très verticale, utilisant encore des procédés de diffusion semi-artisanaux : sites spécialisés discrets, diffusion sous le manteau.
Remarquons au passage, ce que ne mentionnent pas les rédacteurs de l’étude en question, que ces sites spécialisés sont dans la mouvance des HastaLaVista canal hystérique ou Keygen.us. Des sites qui, sur une simple visite, peuvent réserver bien des surprises désagréablement infectieuses, ou donner matière d’analyse aux chercheurs en sécurité. Il s’y trouve parfois – souvent même - des attaques Java ou ActiveX qui ne sont pas encore répertoriées dans les listes d’éditeurs d’antivirus.
Cybersoldat vole ? Non Chef, plus maintenant !
V’zavez entendu, m’nadjudant ? Le haut commandement américain vient de débrancher brutalement la prise à finances qui alimentait le Cyber Command de l’Air Force. Une « unité spéciale » chargée de développer un « service capable de sécuriser la Nation à l’aide d’équipements et de moyens d’envergure internationale ». Malheureusement, explique NextGov, des cyber-pioupious, la Marine et l’Army (mer et terre) en ont déjà des contingents entiers. Et depuis bien plus longtemps… tiens, ça me rappelle la première fois que je les ai vus défiler, en Afghanistan. Z’étaient fiers, avec leur Thinkpad qui faisait « bip bip », au pas cadencé, à raison d’un « ping » de wardriving par seconde, rythmés par « Then I wish I was in Dixie! Hooray! Hooray!». Nos légionnaires, eux, détectent les clefs Wep bien plus lentement. Rapport au tempo du « Boudin »… normal. Mais j’mégare, m’nadjudant
Du coup, les gonfleurs d’hélices se retrouvent avec un stock de bombes à virus encombrant, des vecteurs d’attaque anti-rootkit à reconnaissance FoF (friend or foe) inutilisés et des intercepteurs de MiM (man in the middle) aussi coûteux à développer qu’à entretenir. Car ça en représente, des mois de solde, un firewall aéroporté, passé les 50 heures de vol. Chez les matafs, par exemple, la construction d’un honeypot par le charpentier du bord, c’est bradé moitié prix… et si c’est le Coq qui s’en occupe, c’est du presque gratos… et l’on ne vous parle pas des techniques utilisées par les biffins, m’nadjudant. Là où les aviateurs utilisent un fer à repasser, son pilote et son mécano de code virtuel, ceux-là envoient tout un peloton au casse-pipe. Et sans la moindre finesse… tout en batch, pas en bash ! R’marquez, quand c’est l’efficacité qui compte…
J’ai tout de même un doute sur l’origine de ce repli, m’nadjudant. R’marquez, c’est p’têt rapport au fait que je ne sois que sergent. Mais dites-moi : supprimer un corps technologique, c’est-y en rapport avec la vision des conflits asymétriques ? Depuis que Big Georges est au pouvoir, l’asymétrie vue par l’armée américaine, c’est simplement un rapport de force technologique. Alors que la véritable asymétrie, ça serait plutôt l’inadaptation des méthodes d’opération, si j’ai bien compris c’qu’on m’a appris à Saint-Maixent. D’un côté une armée « classique », de l’autre une guerre de guérilla. On n’envoie pas un F16 contre un Afghan armé d’une kalach… un anti-spyware non plus, r’marquez, vu que le quidam n’a probablement jamais entendu parler d’un ordinateur. Car les armes technologiques, ça procède des conflits classiques, de la guerre conventionnelle franche et joyeuse.
Mon camarade de chambrée, le Caporal Dubouton, me le disait encore hier, durant la corvée de pluches : les derniers affrontements Russo-Géorgiens, c’est une guéguerre bien classique comme nous l’apprend le Cert Lexsi, avec du char, du fusil, du déplacement, de l’affrontement de divisions à divisions… Paf, ça n’a pas loupé, une cyberguerre qui serait (conditionnel, m’nadjudant) téléguidée par le RBN ! Sauf vot’ respect, les popov, y sont un peu comme notre Chef des Armées à nous… ils cherchent avant tout l’économie, le regroupement des moyens, l’exploitation d’une armée de plus en plus spécialisée. Avec un contingent RBN, ça leur fait un Cyber Command qui, de surcroît, ne coûte ni un rouble, ni un kopek. On sous-traite à ceux qui savent, avec les moyens de pression qui vont bien. Et les résultats sont immédiats : couverture des médias, réaction de la force opposée, action-réaction, c’est du Sun Tsu en disquette plastique.
Si ça se trouve, à la Maison Blanche, c’est ce qu’ils comptent faire… Cette suppression de Cyber Command de l’Armée de l’Air, c’est p’têt’ le prélude d’une passation de moyens à la Causa Nostra branche New-Yorkaise ou un transfert de compétence à la Mafia de Chicago ? Imaginez, m’nadjudant : amnistie pour les Spammer Kings locaux s’ils déboulonnent un DNS adverse… abandon des poursuites du DHS pour chaque poche de techno-résistance éradiquée à coup de XSS… tout ça sans que le budget de l’Union soit vidé d’un seul Cent. Et puis, après, une fois la guerre gagnée, on monte un « US Aid » pour rebâtir les infrastructures de l’ennemi déchu… Andersen et Deloitte en fer de lance du renouveau de l’ancien ennemi. Ca fait du bien à l’industrie, tout ça. Et ça met un pied dans la place !
J’ai l’imagination un peu trop fertile, mais vous voyez ça chez nous ? On irait faire du recrutement chez les demi-sel des clubs d’informatique familiale, de la chasse aux cerveaux auprès des grossiums du hacking du mitan, en collaboration avec les limiers de la Befti pour nous seconder. Pas besoin de donner un uniforme, un Famas ou une paire de Rangers aux recrues. Une fois nos opérations militaires achevées, on envoie un corps expéditionnaire de reconstruction cornaqué par Alcatel et Thales. C’est sûr que de cette manière, certains redressements d’entreprises nous coûteraient moins cher en impôts.
Y’a pas, m’nadjudant. Les Russes, y z’ont tout compris à la cyber-guerre.