Spécial sécurité : vol à la HSBC et vol de rustines
Aujourd'hui, nos confrères de CNIS se sont intéressés au développement de l'affaire HSBC de Genève, chez qui un vol de données est à l'origine de fuite ayant conduit à la divulgation par Bercy d'une liste de 3 000 contribuables indélicats en France. Avant de se pencher sur les dernières salves de correctifs en date.
Sommaire
Affaire HSBC de Genève : trop de coupables… ou pas
Rustines du Mardi Adobe et Microsoft : Coup de Flash et exploits I.E.
Affaire HSBC de Genève : trop de coupables… ou pas
Le scoop est signé Elisabeth Fleury, du Parisien : la fameuse liste regroupant près de 3000 noms de personnes soupçonnées d’évasion fiscale aurait, du moins en partie, été constituée par une « fuite d’information » provoquée par un cadre de la banque HSBC Genève.
Laquelle HSBC reconnaît ce mercredi l’existence d’un vol (probablement perpétré courant 2008 et ne portant pas sur plus de 10 noms). L’informaticien qui serait à l’origine de la fuite est passible de poursuites en vertu de l’article 47 de la loi sur les banques. Mais il y a bien des chances que le jugement soit prononcé par contumace, puisque l’intéressé se serait réfugié en France et placé sous la protection de la police.
Depuis, cette opération marketing orchestrée par Bercy commence à tourner au cauchemar. Car si les Douanes ou le Budget utilisent des informations de nature et d’origine illégales, les poursuites visant les présumés fraudeurs seraient également entachées d’illégalité. Si le fichier des « 3000 » contient en partie des noms provenant de ce vol d’informations, il contrevient à la fois à la loi Informatique et Libertés, et, plus indirectement à la LCEN (puisqu’il y aurait eu intrusion dans un système de traitement d’une entreprise privée avec l’intention de nuire, le tout accompagné de vol d’informations). L’on peut également noter que la future Loppsi (alias Lopsi2) lutte contre le vol d’identité et que l’utilisation d’un fichier douteux par Bercy irait à l’encontre de l’esprit de cette future loi, sans omettre le projet « anti-fuite de données» proposé par les Sénateurs Détraigne et Escoffier. Passer outre serait donner des arguments supplémentaires aux adversaires de Loppsi 2 défendu bec et ongles par Madame la Ministre Michèle Alliot-Marie et enterrerait à coup sûr le projet Détraigne-Escoffier.
Autrement dit, le Cabinet Woerth a tout intérêt à exclure cette liste de son fameux fichier. Et incidemment de s’attendre à devoir prouver la légalité de la provenance de chacun des « autres » fichiers en cas de poursuite visant un contribuable.
Toujours selon nos confrères du Parisien, le débat sur la légalité de la provenance des données en question avait déjà été soulevé début octobre, et provoqué un début d’enquête. Contactée dans la matinée du 9 décembre, la CNIL n’a pas encore éclairé la rédaction de CNIS-Mag sur les conclusions de cette enquête ou sur les conséquences légales de l’usage d’un tel fichier s’il s’avérait partiellement d’origine frauduleuse.
Nulle réponse non plus de la part du Correspondant Informatique et Liberté en place au Ministère du Budget. Lequel a nécessairement été interrogé par la CNIL suite à l’ouverture de l’enquête.
La HSBC, précisent nos confrères du Parisien, aurait porté plainte. Plainte non confirmée par le papier de Pierre Yves Frei de la Tribune de Genève, mais des échanges judiciaires certains entre les deux pays semblent indiquer l’article d’Axel Constantinoff de la rédaction de TF1. Que la fuite d’informations ne porte que sur une dizaine de noms et non sur la totalité des 3000 suspects ne change en rien l’illégalité de l’acte. Ce qui, nous indiquent nos confrères Genevois, a conduit les autorités Helvétiques à demander l’extradition de l’informaticien présumé hacker. Demande que la France n’a manifestement pas l’intention de satisfaire. Autre détail intéressant, les soupçons de hack seraient doublement confirmés par le fait que l’informaticien en question « aiderait même les enquêteurs à décrypter ces listes qu'il avait lui-même contribué à coder » (sic la Tribune de Genève). Ce qui impliquerait que les informations ayant transpiré étaient chiffrées, et que l’usage de cette liste prouverait sans le moindre doute la mise en œuvre de pratiques et d’outils condamnés par la LCEN. HSBC ayant peu de chances d’être confondu avec une horde d’espions ou de pirates asiatiques, toute tentative « d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement informatisé de données (article 323-1 du code pénal) » pourrait se retourner contre nos Techno-Pandores de la Brigade Financière. Sans oublier le fait d’utiliser « un programme informatique conçu pour commettre les infractions énumérées précédemment, sauf si ceci est justifié par les besoins de la recherche scientifique et technique ou de la protection des réseaux et des systèmes d'information ». La police Française ou le Ministère du Budget ne peuvent, à priori, pas être mandatés pour expertiser les défenses périmétriques d’une entreprise Suisse.
Rustines du Mardi Adobe et Microsoft : Coup de Flash et exploits I.E.
Comme prévu par le bulletin préalable, les 12 failles affectant les logiciels Microsoft ont fait l’objet d’une publication de rustines. L’index d’exploitabilité, émis désormais chaque mois et accompagnant les bouchons de sécurité, est, ce mois-ci, relativement fourni : 5 fortes probabilités d’exploit fonctionnels, 3 risques d’exploits « peu fiables » (généralement suffisants pour provoquer une attaque en déni de service). Seuls 3 failles CVE n’ont pratiquement aucune chance de déboucher sur un code d’attaque.
Egalement, chez Adobe, pour qui c’est également le « jour des rustines », la firme alerte ses usagers de deux problèmes qualifiés de « critique ». Un trou de sécurité dans Illustrator CS3 et CS4, et surtout un défaut dans le très répandu Flash Player, cible privilégiée ces temps-ci par les auteurs de malwares. Le correctif est à appliquer d’autant plus vite que, également à l’image de Microsoft, Adobe pratique le « patch cumulatif » avec conscience. Sont donc colmatées 7 failles, dont une seule affectant le monde Windows uniquement, et 6 autres possédant de très fortes probabilités d’exploitation sur plateformes Windows ou Macintosh. Les alertes CVE sont immatriculées CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800 et CVE-2009-3951. Inutile de préciser que statistiquement, les « chances » de voir apparaître une vague d’exploits Flash en cette période de fêtes sont hautement probables.