Spécial sécurité : Conficker; barbouzes chinoises; branchitude
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères reviennent sur Conficker - qui est censé frapper aujourd'hui, 1er avril - mais aussi l'affaire de vaste cyber-espionnage trouvant ses origines en Chine et les soupçons britanniques sur les équipements de Huawei.
Sommaire
- 1 - Conficker, poisson d'avril
- 2 - Les barbouzes Chinoises espionnent BT
- 3 - Les barbouzes Chinoises espionnent tout le monde
- 4 - La France, 19ème "branché" mondial
Que se passera-t-il le premier avril, jour programmé de l’éveil de Conficker C (ou D selon certains éditeurs) ?
Réponse : rien de particulier –ou presque.
C’est probablement pour cette raison qu’il s’écrit un peu partout dans la blogosphère une telle quantité d’articles. En fait, Conficker « nouvelle version », qui n’est jamais qu’une mise à jour perfectionnée de l’ancien Conficker B, débutera son travail de virus et entamera sa phase d’appel de domaines « référents ». Une phase d’appel qui, pour la précédente édition, s’était plus ou moins soldée par un échec grâce à un filtrage des noms de domaines « pourris » qui étaient générés par l’infection. Mais la technique a fait long feu, et de 250 domaines quotidiens générés, le ver est désormais capable d’en inventer 50 000, avec plus de 110 TLD (suffixes) différents.
Des synthèses Confickeresques ont donc été rédigées notamment par Microsoft (qui rappelle au détour d’un chapitre qu’il y a toujours une prime de 250 000 dollars pour qui rapportera la peau de l’éleveur d’asticots informatiques) ou SecureWorks –un résumé concis- . Vinoo Thomas de l’Avert se fait shakespearien et titre « Beaucoup de bruit pour rien » , en glissant çà et là les liens pointant sur les manchettes de certains journaux grand public, lesquels nous promettent une apocalypse digne des grandes heures de… Whales ? JeruB ? Du bug de l’an 2000 ? Bref, une fin du monde informatique qui mériterait au moins une mention sur France Info, RTL et RMC réunis. Même réaction de la part de Brian Krebs du « Post ». Mesure et retenue en revanche du côté du Sans ou de F-Secure, qui nous offre une FAQ fort complète traitant du sujet. Le Honeynet traite au passage de l’art de détecter Conficker avec des moyens et des connaissances qui ne sont pas franchement du niveau de « l’auditeur moyen de France Info »… et le Cert Lexsi ajoute un nouveau chapitre au grand roman de Downadup avec cette fois « Conficker et le mode Sans Echec ». Il faut dire que l’épisode précédent, qui aurait pu s’intituler « Mithridate apprend l’informatique », avait tendance à virer « drogue dure ». Rien d’étonnant pour un article très pharmaceutique et épidémiologique. Security Focus ménage la chèvre et le choux, souffle parfois le chaud et, peu après, le froid.
Si la presse généraliste en fait tant autour de ce virus, c’est probablement en raison de la date de déclanchement prévue. Une « catastrophe mondiale » annoncée un premier avril, personne n’y croit réellement. Alors, autant anticiper et forcer un peu le trait pour faire vendre. Il est cependant à craindre que l’effet escompté soit contraire aux résultats attendus. Car, abreuvés depuis plusieurs semaines de détails dantesques décrivant les mécanismes tortueux de ce « super virus », les responsables réseau pourraient très bien finir par négliger le problème, par lassitude ou désintérêt.
Autre fait médiatique remarquable, la « couverture » presse de Conficker est en passe d’éclipser d’autres articles traitant de la sortie de Windows « Seven », d’un quelconque lancement de super-réseau Cloud ou de la naissance d’une nouvelle génération de machine virtuelle. Les marronniers ne sont plus ce qu’ils étaient ? L’attrait du sensationnalisme n’explique pas tout : les honneurs de la presse voués à Conficker sont à la hauteur des efforts de développement et de « sécurisation et mise à jour » que l’on est en droit d’attendre d’un logiciel professionnel. Ce n’est peut-être pas Armageddon, mais il marque un tournant très net dans l’histoire des malwares. Downadup sera le premier virus à avoir atteint un niveau de conception plus perfectionné encore que les outils commerciaux chargés de le combattre.
2 - Les barbouzes Chinoises espionnent BT
Le Times Online publie un long, très long article faisant état d’un rapport émis pas les services de renseignement Britanniques, et dénonçant les risques élevés d’espionnage sur le réseau de British Telecom. Il n’y a pas plus d’arguments et de preuves techniques qu’il n’y en avait il y a 10 ans à propos des « backdoor NSA » cachées dans tous les équipements de commutation made in USA. A un détail près, tout de même : l’on retrouverait au « board » de Huawei un peu trop d’anciens membres de l’Armée Populaire de Libération. Propos qui, fait remarquer le Reg, vise directement Mr Ren Zhengfei, ancien patron de la recherche de l’APL dans le domaine des télécoms. Par le jeu de la concurrence et des appels d’offres, Huawei aurait notamment remporté une partie des marchés d’équipement de l’infrastructure 21CN de British Telecom. Ceci, réplique le Times, au détriment de Marconi, le « Sagem-Alcaltel » Britannique. Un Marconi dont les tarifs sont bien entendu considérablement plus élevés que ceux du concurrent Chinois, mais qui offre l’avantage de n’intégrer à priori que des backdoor « Brit Made » et estampillées MI6.
En l’absence totale de preuves scientifiques, l’on ne peut interpréter la réaction des Services Secrets de Sa Gracieuse Majesté que comme l’invocation d’un principe de précaution, lequel, paré de la sacro-sainte Raison d’Etat, peut parfaitement servir à dénoncer le contrat passé pour l’octroyer à nouveau à une entreprise nationale. En ces temps de crise et de tentation protectionniste, tout motif est bon, surtout s’il est assez subtil et permet d’éviter les foudres de l’OMC.
Notons au passage qu’un autre grand équipementier « compatible Huawei » publie une impressionnante liste d’alertes nécessitant une mise à jour d’IOS dans les plus brefs délais. Cette douzaine de trous Cisco –qui n’ont rien à voir avec d’éventuelles vulnérabilités programmées par la NSA- devrait stabiliser les switchs et routeurs pour les 6 mois à venir. La prochaine fournée de correctifs ne devrait pas être attendue avant le 23 septembre.
3 - Les barbouzes Chinoises espionnent tout le monde
Un réseau de cyber-espionnage Chinois comptant près de 1300 postes infectés répartis dans une centaine de pays : C’est Ghostnet, une organisation tentaculaire et secrète que dénonce le centre de recherche Canadien Citizen Lab. Citizen Lab avait déjà attiré l’attention des média le jour où il avait été révélé que Skype, filiale d’eBay, avait reconnu faciliter la surveillance, le stockage des informations et le fichage de ses usagers résident en Chine Populaire. Ce qui est dénoncé, cette fois, c’est un formidable réseau d’Intelligence Economique. Pas une seule fois, pourtant, le rapport n’accuse le Gouvernement Chinois, et il est même envisagé que ces réseaux –car il est fort probable qu’il en existe plusieurs- soit le fruit d’initiatives privées, de « hackers possédant des visées proches de celles émises par les dirigeants et par le parti ». Le propre des régimes politiques collectivistes est précisément de jouer en permanence sur le distinguo confus qui existerait entre les « intérêts de l’Etat défendus par une mobilisation populaire volontaire et spontanée » et la « non responsabilité et l’absence totale d’ordre » incitant lesdites forces populaires à commettre des actes que la diplomatie ne peut que réprouver.
En d’autres termes, il semble que Pékin soit en train de déployer de grands botnets d’espionnage, mais les choses ne doivent pas être formulées de cette manière. Les précédents faits marquants dans la déjà longue histoire de la « cyber-warfare » -Estonie, Géorgie, raids « anti-ambassades », tentatives d’intrusion des grands réseaux institutionnels nationaux …- laissent clairement entendre que ces actes provoqués par des éléments incontrôlés sont généralement trop bien synchronisés pour être seulement malhonnêtes.
4 - La France, 19ème « branché » mondial
Lente amélioration, mais amélioration tout de même. La France serait, estime la dernière étude Insead/Forum Mondial de l’Economie, à la 19ème place des pays « Network Ready ». Cette grande enquête tient à la fois compte des infrastructures téléphoniques et informatiques, des filières de formation et d’éducation, des ressources de financement, de la pression fiscale et de l’implication du gouvernement dans les grands chantiers et initiatives de développement. A titre de comparaison, les premières places sont détenues respectivement par le Danemark, la Suède, les Etats-Unis, Singapour et la Suisse. Ce sont en général les pays nordiques qui décrochent les meilleures places du classement. Il est important de noter que cette étude mesure les richesses TIC « per capita » et non en fonction du volume global des investissements ou des équipements. A cet encan, Taiwan est situé à la 13ème place (Hong Kong à la 12ème), la Fédération Russe à la 74ème place, la Chine à la 46ème. Pour ce qui concerne nos voisins immédiats, l’Italie décroche la 45ème position, l’Allemagne la 20ème, l’Espagne la 34ème, la Belgique la 24ème, derrière le Luxembourg (21ème) et la Grande Bretagne (15ème).