Spécial sécurité : investiture et cyber-sécurité
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent au volet sécuritaire de l'investiture de Barack Obama.
Sommaire
- 1 - Investiture et cyber-sécurité
- 2 - Les rustines sèchent trop vite !
- 3 - Facebook, le Tigre, Obama et l’information
1) Investiture et cyber-sécurité
A la une de CBS, le retour de la vengeance des cyberterroristes. Interviewé par Rita Braver, de CBS News, le Dr. Joel Brenner, l’un des patrons du National Counterintelligence US, remet sur le tapis l’épouvantail d’une cyber-guerre concertée par l’Internationale Terroriste. Pour appuyer les propos de Brenner, CBS a repassé un court extrait de la série 24H chrono, durant lequel l’inoxydable Jack Bauer protège l’Amérique d’une terrible attaque visant les infrastructures énergétiques du pays (voir également Die Hard 4). Avoir choisi une série musclée qui fait l’apologie de la torture et anticipé l’élection d’un président « African-American » relève d’une subtile manipulation d’opinion. Les plus visionnaires, en chantonnant « Guantanamera …Guajira Guantanamera », pourraient également y voir une allusion indirecte au guêpier diplomatique de Guantanamo.
Passons sur les atermoiements de certains journalistes qui commentent avec enthousiasme le « retour du Blackberry dans la sphère Présidentielle ». De toute manière, il ne pourra pas fonctionner le jour de l’investiture, pensent les experts du monde de la téléphonie. La faute au public smartphonisé qui, à grand renfort de photographies numériques expédiées sous forme de MMS, saturera immanquablement le réseau GSM de la Capitale Fédérale. Saluons plutôt la mise en place effective sur la quasi-totalité des postes-frontière des USA d’une nouvelle mesure de sécurité imposée par le DHS : la prise des empreintes des dix doigts pour tout « visiteur » franchissant la frontière. Sous l’impulsion de Robert Mocny, Directeur du US-Visit fin 2007 puis mis en place peu à peu tout au long de l’année en cours, cette mesure instituant « plus de biométrie pour sécuriser la biométrie » est désormais généralisée. « Since 2004, biometrics have facilitated legitimate travel for millions of visitors entering the United States /…/ The 10-fingerprint upgrade makes this proven system even more efficient and enhances the security of our nation », précise Mocny. Le département US-Visit dépend directement du DHS. Ce cadeau de l’Administration Bush, dont l’établissement initial était considéré comme une mesure exceptionnelle et limitée dans le temps, s’est transformé en procédure normale et définitive. La durée de conservation des données biométriques n’est plus limitée de manière formelle.
Qui sera le premier et prochain Chief Technology Officer des USA ? Car il est fortement question que l’Administration Fédérale Obama cherche à pourvoir un tel poste. Selon Business Week, le sprint final oppose deux gourous indiens (sic) : Padmasree Warrior, qui fut déjà CTO chez Cisco et Motorola, et Vivek Kundra, un CTO de la fonction publique en poste dans l’administration d’Etat à Washington. Traditionnellement, ce genre de fonction relevait plus du « grade » de conseiller ou de secrétaire de Sénateur. Cette officialisation de la technologie dans les rouages gouvernementaux tranche très nettement par rapport aux habitudes de la précédente équipe dirigeante. D’un point de vue diplomatique, la nomination de Warrior pourrait-être mal vue par les anti-lobbyistes.
Steve Bellovin ne retient de tout çà qu’une information : chaque membre du Congrès va pouvoir ouvrir son propre « canal TV » sur YouTube . Et le docte professeur de Boston de s’inquiéter des avalanches de cookies que provoque la simple visite de télé-sénat ou de Voyage autour de ma chambre version District of Columbia. Le tentaculaire Google espionne les citoyens qui cherchent à s’informer ! Bellovin, de même que nos confrères du New-York Times, évite de s’interroger sur un point pourtant évident : quand les hommes politiques créent eux-mêmes leurs propres canaux d’information, à quoi sert la presse, et est-ce véritablement ainsi que les pères fondateurs de l’Amérique voyaient évoluer la démocratie ? Certes, depuis Alexis de Tocqueville, les conceptions sur la démocratie et le libéralisme ont considérablement évolué. C’est peut-être en raison de cette perception très paradoxale de l’héritage de l’histoire et des contradictions du modèle libéral que l’actuel Président a choisi de prendre pour modèle Abraham Lincoln. Lui, le premier Président noir, et lui, l’abolitionniste convaincu, lui aussi le plus raciste des Chefs d’Etat Américains, dont le désir le plus ancré était de « renvoyer en Afrique » les esclaves libérés afin d’en effacer toute trace dans le Nouveau Monde.
2) Les rustines sèchent trop vite !
L’Avert de McAfee pousse un cri d’alarme : le temps s’écoulant entre la révélation publique d’une faille et la publication d’un exploit raccourcissent comme jours en hiver. Pis encore, alors qu’il fallait 335 fois 24 heures en 2001 pour que Nimda naisse des cendres de la MS01-02, Gimmiv, l’an passé, s’envolait à la date même de la publication de la MS08-067. Et Vinoo Thomas en dresse un tableau historique inquiétant. Parti comme çà, en 2010, les exploits seront publiés 15 jours avant l’émission de la plus petite rustine. Microsoft devra totalement revoir sa procédure de « pré-annonce » privilégiant ses clients grands comptes et acteurs importants du monde de la sécurité. La publication des CPU Oracle aura un goût de moisi et de déjà-vu, et l’on sera terrassé d’étonnement lorsqu’une publication « hors calendrier » corrigera une faille encore répertoriée dans les boîtes à outils de développement de malwares. Pour peu, ce seront les Response Team qui devront faire du « reverse engineering » de virus pour découvrir l’existence d’une faille dans Internet Explorer 11 ou Firefox 7.1.5.3.8.5.9 (beta 4). Le ZDE devra changer de nom. L’on parlera de « Week before patch Exploit » ou WBPE, le « Minus One Month Exploit » ou MOME et le « F… anticipated yearly exploit » ("Faye", qui, une fois corrigé par sa rustine salvatrice, prendra l’appellation de Faye done away). Précisons que le tableau de Thomas n’est qu’une succession d’exemples particuliers, et non le fruit d’une moyenne lissée. Si tel avait été le cas, ce raccourcissement aurait été discernable, certes, mais considérablement moins marqué et surtout moins alarmiste.
Bien sûr, ce raccourcissement des temps de réaction des auteurs de malware n’est pas chose nouvelle. Plus l’industrie du spam et du spyware progresse, plus se professionnalise la cyber-délinquance et plus les moyens mis en œuvre pour exploiter un défaut se perfectionnent. Le pirate de 2001, ce dilettante égotiste, a cédé la place au spécialiste du fuzzing noir, à l’expert du spyware facturé à la pièce. Une menace, estime Vinoo Thomas, qui ne peut s’éviter que d’une seule manière : en complétant ces imparfaites armures que sont les antivirus et les firewalls personnels « workstation » par une protection de réseau intégrale : le « HIPS sur le Endpoint » (HIPS pour Host Intrusion Prevention System). Un outil que bon nombre d’administrateurs commencent à considérer comme inefficace. Un outil né lui-même de la mort par inefficacité des IPS, les systèmes de détection d’intrusion, qui prévenaient plus qu’ils ne protégeaient, qui assourdissaient surtout les responsables réseau de leurs logs pléthoriques. Alors que les HIPS « serveur » et NIDS (IDS orientés réseau) semblent entamer un déclin marketing, remplacés par des cocktails d’IDS, de NAC, de contrôles comportementaux et de trafic, il semblerait que l’industrie cherche à recaser au niveau du poste de travail ses technologies dépassées. Encore au stade du firewall (presque la préhistoire de la sécurité), le marché du « endpoint » pourrait encore amortir les investissements entamés il y a 5 ou 6 ans et renouveler les ventes déclinantes de la périmétrie appliquée au PC de base. Argument financier d’autant plus important que le business de l’antivirus « seul » ne rapporte plus un seul centime. Le jour où Microsoft, malgré l’échec commercial de OneCare, offrira son A.V., fin 2009, plutôt que de le vendre, une page sera tournée. Le « personal Hips » sera à la mode, espèrent McAfee et ses confrères.
3) Facebook, le Tigre, Obama et l’information
Nous n’en parlerons pas. Lorsqu’a éclaté le pseudo scandale – ou orchestration médiatique - provoqué par l’article « Marc L… »du Tigre, la rédaction de Cnis-mag a décidé d’ignorer l’affaire. Tant pour éviter de plonger dans le bain sulfureux et voyeuriste qui entourait cette histoire que pour ne pas revenir une fois de plus sur une évidence, un truisme, une lapalissade que tout responsable sécurité connait bien : l’on trouve aujourd’hui sur Facebook bien plus d’informations que dans le journal intime d’une collégienne des années 50. Que des ados ou adultes soient assez inconscients pour rendre publique des pans entiers de leur vie privée est un fait connu, bien antérieur à l’invention du « web Deuzéro ». Cette forme d’exhibitionnisme virtuel que l’on pensait réservé à un public restreint et qui fait la joie des journalistes et des recruteurs, est né avec les premiers protocoles IP, à commencer par nntp (les newsgroups).
Ce qui, en revanche, est assez étrange, c’est l’écho qu’ont pu en faire les différents médias, ceux de la presse institutionnelle, ceux des blogueurs influents. Des médias partagés entre l’indignation et l’ironie. Indignation consistant à s’interroger sur les limites déontologiques et l’exploitation du sensationnalisme de nos consœurs et confrères du Tigre, ironie envers la « victime » dont la techno-naïveté n’avait d’égal que son inconscience. Très peu de médias – à l’exception du Monde, peut-être, et en filigrane - ont cherché à approfondir le principal propos du Tigre : ce n’est pas tant le caractère intime des informations publiées qui est inquiétant, mais le fait qu’elles puissent être concaténées rapidement grâce à des moyens informatiques en général et aux moteurs de recherche comme Google en particulier. Une histoire qui en rappelle une autre, celle du fichier Edvige* : la crainte principale n’est pas que les Renseignement Généraux « fichent » avec un même zèle penseurs, syndicalistes, barbouzes, mineurs, criminels de droit commun et personnages publics… c’est là une habitude de basse police qui remonte à la nuit des temps. Ce qui est à craindre, c’est que les outils informatiques modernes puissent offrir des capacités d’investigation et de relations considérablement plus puissantes et plus rapides qu’aux temps anciens de la fiche cartonnée et de l’aiguille à tricoter. Dans l’industrie, on appelle çà de l’intelligence économique. Dans la vie privée, on préfère ne pas l’appeler du tout, car elle rappelle de bien mauvais souvenirs.
L’autre « interrogation manquée », c’est celle de la périmétrie IP d’une personne morale ou physique et de l’authenticité de l’information. Si le faux site FaceBook d’Obama – monté de toutes pièces par le parti Républicain - ou le détournement du compte Twitter du Premier Etats-unien ou de Britney Spears ont fait autant de bruit, c’est en raison de l’iconoclastie de l’action. On ne touche pas à l’image d’une institution ou d’une idole, même si l’on sait inconsciemment que cette image est entièrement construite… voire le résultat d’une forgerie. Elle n’est que le reflet déformé, contrôlé, policé, poli d’un personnage public. Qui donc peut croire une seconde qu’il puisse exister une parcelle de vérité spontanée ou la moindre franchise idéologique sur ce genre de site ? Et pourtant, le moindre changement y est commenté. C’est là toute la puissance du « statement », de la prise de position officielle qui ne passe pas par les canaux officiels, et qui en prend par conséquent une solidité, une consistance accrue. Le rayonnement IP (emails dévoilés, voyeurisme orchestré et fausses confidences des blogs), la maîtrise des caisses de résonnance (blogueurs et journaux en ligne qui répercutent l’information), les sites Web de promotion ou de présence sont la « vérité perçue » des mondes politiques, industriels et commerciaux.
Personne n’est dupe de ces supercheries, de ces déformations dialectiques, de ces nouvelles formes d’expression que sont le Web « deuzéro » et ses multiples avatars. Alors, pour quelle raison l’histoire de « Marc L… » racontée par le Tigre choque-t-elle ? Parce que personne ne doute un instant que ce qui se raconte sur la vie de Marc L… n’a été forgé, déformé, adapté, hacké ou filtré. C’est du « vrai » et çà heurte les sensibilités. Alors que précisément, le blog n’est généralement que l’expression d’un ego qui se montre tel qu’on voudrait qu’il soit, et non tel qu’il est.
Il en est de même dans le domaine de la sécurité. Qu’un chercheur indépendant ose publier sur son propre site le résultat d’un hack ou une pensée non conventionnelle, et il passe pour un agitateur instable, un individu peu fiable. Qu’il le fasse sous l’étiquette d’éditorialiste invité pour le compte d’un organe de presse, et il se transforme en « faiseur d’opinion », en individu respectable, en analyste visionnaire ou en technicien de haut vol. A contrario, tout « blog personnel » rédigé par une personne clef ou une équipe institutionnelle liée à une entreprise, un parti politique, un groupe de pensée, un journaliste même, sera pris plus au sérieux que son équivalent officiel véhiculé par un médium papier, radiophonique ou Web « officiel ». Il n’est donc, sur le Net, d’information perçue comme objective que des données personnelles « officialisées » par une édition officielle, ou des messages institutionnels rendus plus crédibles par le filtrage d’une publication qui prend les aspects d’une confidence privée.
Combien existe-t-il alors de « blogs personnels » qui ne sont que des couvertures, dont le contenu est entièrement forgé, dont le moindre message est sciemment analysé, dont le caractère outrancier est distillé avec science, pour « choquer le bourgeois » sans « déplaire au peuple » ou donner une image flatteuse ? Dans quelle mesure un chef du personnel – tel que celui cité par Monsieur Alex Türk dans le papier du Monde - peut-il assoir son jugement sur une personne sur la simple « preuve » d’une image publiée, d’un propos déniché sur la Toile ?
*ndlr : notons à ce sujet que les détails d’Edvige, désormais devenus lettre morte, sont toujours accessibles dans la cache Google. L’on en arrive à se demander qui surveille qui… quid custodiet ipso custodes ? Pour l’heure, Google flique plus les RG que les RG n’ont la possibilité de fliquer Google.