Spécial sécurité : Loppsi 2 légalise les méthodes musclées
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se projettent dans un avenir cyberpolicier bardé de législations sécuritaires comme Hadopi et Loppsi2. Un avenir où, paradoxalement, le renforcement des moyens à la disposition des forces de l'ordre pourrait nuire à leur efficacité. Aux Etats-Unis, le tour de vis prend une forme différente, avec la nomination de l'ex cyber-patron du Department for Homeland Security à la tête de l'Icann, l'organisme qui a la haute main sur le nommage Internet.
1 - Loppsi2 : légaliser des méthodes musclées
2 - Un super-flic américain à la tête d’Internet
3 - Michael Jackson et Farrah Fawcett : dangers spectaculaires
2 - Plans d’investissement : un second souffle pour Q4
1) Loppsi2 : légaliser des méthodes musclées
Presque lundi, encore Loppsi , titre Cédric Blancher sur sa petite parcelle d’Internet. Sid, en se gardant prudemment de toute polémique, soulève quelques difficultés techniques que posera sans doute la mise en application des dispositifs prévus par la prochaine Loppsi. A commencer par le « logiciel d’espionnage » qui pourra, fort heureusement sous le contrôle d’un juge, être injecté sur l’ordinateur d’un suspect, soit directement au cours d’une opération discrète, soit à distance. Quelle que soit la manière dont on éclaire le sujet et les motivations qui poussent à un tel acte, légitimes la plupart du temps, il ne s’agit là que de légaliser l’usage des outils mafieux par des représentants de la Loi : spywares, exploits Zero Day, rootkits et autres outils d’eavesdroping. Le point est moralement très délicat et repose une fois le plus la question des limites éthiques qui distinguent un policier d’un voyou et des dérives qui peuvent en résulter.
Techniques ou moraux, les problèmes liés à ces mises en application ne sont pas les seuls. Les acteurs du paranoïa business pourraient eux aussi en faire les frais. Car si jamais l’on apprend un jour le nom exact de l’antivirus et du firewall utilisé par un Carlos ou un Mesrine des temps modernes, c’en est fait de sa réputation. Le moindre soupçon de compromission d’un éditeur de produits de sécurité peut rapidement se traduire par une sérieuse perte de chiffre d’affaires (Symantec, il y a quelques années, à propos de la non-détection « patriotique » de Magic Lantern). Si ce soupçon est avéré, la perte se transformera en gouffre. Quel patron d’un McAfee France, d’un Sophos-Paris, d’un DrWeb Ile de France aurait assez peu de bon sens pour oublier que le mot collaboration est parfois suivi du mot épuration ?
Vient ensuite le risque de voir se généraliser les contre-mesures les plus folles. Les premières opérations de « dissuasion » d’Hadopi pourront, par exemple, servir à établir des métriques instructives quant à la généralisation des pratiques de chiffrement systématique : stockage, communications mail, transmissions de fichiers. Et si un public d’adolescents se met à « chiffrer PGP », « chatter VPN » et P2Piser en stégano, on peut aisément imaginer que de véritables truands ou chefs d’orchestres de réseaux pédophiles en viendront à employer des techniques un peu plus efficaces. Les services de police seront-ils encore en mesure de développer un « ver Loppsi » aussi discret qu’efficace ? Et quand bien même cela serait possible, cette généralisation de l’usage des techniques de chiffrement aurait pour résultat l’occultation de quasiment toutes les communications, et pour conséquence une intensification des actions policières sur l’ensemble de la population internaute. Car il est vrai que les « honnêtes gens n’ont rien à cacher » - dans le sens ou les usagers du Net ne subissant pas la pression d’une suspicion ambiante ne cherchent pas systématiquement à préserver leurs données avec des moyens disproportionnés. En stigmatisant une petite délinquance (celle du téléchargement) avec des moyens disproportionnés, Hadopi pousse les téléchargeurs et surtout les non-téléchargeurs (qui sont, aux termes de cette loi, responsables techniques et pénaux de leurs installations) à renforcer leurs protections… et donc noyer les services d’écoutes sous un déluge de bruit. Il y avait un « avant Hadopi » où l’on pouvait distinguer les communications protégées des entreprises, des services d’Etat (aisément identifiables) et… les autres, suspects par nature. Il y aura un « après Hadopi », où la confusion provoquée par la surprotection des informations interdira toute discrimination des flux à surveiller, et renforcera ainsi le camouflage des réseaux pédophiles. De là à en tirer la conclusion paradoxale qui consiste à dire qu’Hadopi limite potentiellement l’efficacité de la Loppsi et favorise le développement des réseaux pédophiles… Sans conclure à de tels excès, il est en revanche quasiment certain que, forcés à pêcher en eaux troubles, les cyberpoliciers seront contraints à multiplier les sondes, accroître le nombre de demandes de commissions rogatoires, intensifier les actions d’intrusion à titre préventif… et ainsi augmenter le risque de voir leurs techniques mises à nu ou leurs méthodes révélées. Abus de flicage nuit au flicage, excès de pression provoque des réactions. Des remarques que l’on retrouve aussi bien dans les mémoires d’un certain Vidocq ou celles du préfet « Claude ». Et pourtant, eux, ne connaissaient pas l’informatique.
2) Un super-flic américain à la tête d’Internet
Rod A. Beckstrom vient d’être nommé Président de l’Icann (Internet Corporation for Assigned Names and Numbers), le principal organisme de gestion et de régulation d’Internet et notamment des grands « top level domains », ou suffixes des adresses Internet. Une information diffusée notamment par nos confrères du Reg. Beckstrom était précédemment cyber-patron du Department for Homeland Security, le DHS américain, puis directeur du National Cyber Security Center. On est très loin des premiers gourous universitaires qui présidaient aux destinées de l’Icann dans les années 80.
En plaçant à la tête de l’Icann un parfait produit de l’administration sécuritaire US, la Maison Blanche marque indirectement son désir de voir pacifier la gestion du monde IP. Une pacification qui n’a aucune chance de s’opérer dans la douceur et dans l’allégresse. Car l’Icann, depuis la mercantilisation d’Internet au début des années 90, est en butte à un nombre croissant de pressions. A commencer par une contestation de plus en plus forte de la part des Européens, qui aimeraient bien voir tomber une partie de la mainmise US sur l’administration du réseau des réseaux. Une sorte de collégiale, de conseil international des sages…. Bref, une Société des Nations des télécommunications IP. Une ouverture qui ne serait pas franchement une atteinte à la toute puissance américaine, tant que la gestion primaire des TLD et de « root » est toujours techniquement sous la main de Washington.
Beckstrom devra également résister – ou non - aux lobbys des marchands du Net, qui militent en faveur d’une extension des TLD, extension telle qu’elle permettrait de voir apparaître des suffixes de « raisons sociales ». Une telle tentative fut opérée et avorta dès les débuts d’IP, alors qu’il était question de concéder aux premières entreprises pionnières des « passe-droits » leur autorisant à arborer un « .Sun » ou un « .IBM ». Cette demande est à rapprocher des réclamations faites par tous les pays n’utilisant pas l’alphabet romain (écritures cyrillique, grecque, arabe, japonaise, chinoise…) dont la translation nécessaire pourra considérablement faciliter la vie des cybersquatters et typosquatters – qui profiteront des « vraies-fausses analogies » possibles entre deux alphabets. Accepter des alphabets non « us-ascii 8bits » pourrait être perçu comme un signe d’ouverture par certains… ou une forme de régression très nette, une manière de créer une multitude de bulles ethniques et communautaires qui feraient s’écrouler la tour de Babel anglophone que sont le Web, l’email et ses quelques centaines de protocoles voisins. L’arme idéale pour les nations qui rêvent d’un Internet filtré et géographiquement limité.
3) Michael Jackson et Farrah Fawcett : dangers spectaculaires
Alors que le Reg titre « I’m bad, I’m bad », la rédaction de Cnis préfère « I'm goin' to Jackson, I'm gonna mess around » du vibrant Johnny Cash. Car, à peine 12 heures après l’annonce du trépas de Michael Jackson, Websense publiait sa première alerte indiquant comment de peu scrupuleux diffuseurs de Troyens exploitaient l’information. Sophos, peu après, entonnait le contre-chant en signalant l’émergence d’un « adress harvester » (moissonneur d’adresses email) profitant de ce même filon. Google, en revanche, s’est fait surprendre par la déferlante des fans venus consulter les derniers potins liés à la disparition de leur idole. A tel point que les administrateurs ont crû à une formidable attaque en déni de service, nous apprend PC Authority. L’Avert y va de son couplet et mentionne également la mort de Farrah Fawcett, l’une des « drôles de dames » de la série TV des années 70.
Jackson met KO Facebook et Fawcett plonge Twitter dans un coma bref mais intense. Des saturations de réseau causées principalement par une abondance de messages contenant des liens pointant sur des sites contenant des photos, des témoignages… mais également quelques virus et autres malwares. Des liens empoisonnés dont une bonne partie seraient le fruit de ces insupportables campagnes de SEO marrons, les « Search Engine Optimisation » de l’industrie du malware. En d’autres termes, ces SEO « noirs » ne sont que des méthodes destinées à améliorer le référencement des sites hostiles par les principaux moteurs de recherche.
Comment Twitter ou Facebook deviennent-ils l’instrument de ces véritables pots de miel pour usagers trop naïfs ? Par simple gestion des « buzz » et diffusion des faux messages qui courent sur les réseaux sociaux. Dancho Danchev donne à ce sujet un cours magistral sur le business des « spécialistes du SEO pour les truands ». Ce n’est qu’une fois cette saine lecture ingurgitée que l’on peut comprendre comment l’intrépide « Jill » - Farrah à la ville - a pu servir les vils intérêts d’un vendeur de faux antivirus. Une technique simple comme ABC et 123, et droite comme une « yellow brick road ».
4) Plans d’investissement : un second souffle pour Q4
Les RSSI et Ciso Américains peuvent respirer, assurent nos confrères de Security News. Une grande partie (45%) de leurs projets sécurité qui avaient été budgétés, puis suspendus au moment le plus fort de la crise des subprimes, seront reconduits. Cette enquête statistique est d’autant plus significative que les grands chantiers informatiques en matière de sécurité sont essentiellement lancés à l’initiative du secteur bancaire, lourdement touché aux USA. L’enquête, précisent nos confrères, a pris en compte notamment les intentions de Bank of America, Citi, Wells Fargo, MassMutual et Wachovia, tous fortement sinistrés.
Investir, oui, mais dans quelle direction ? Dans la chasse aux fraudes et aux fuites de données principalement, ainsi que dans les outils de protection des identités. Les institutions financières, banques, intermédiaires de transactions, grands commerces ont tous, durant les trois dernières années, été à l’origine de pertes d’informations spectaculaires. Non pas que ces partenaires soient humainement concernés par les conséquences de ces impérities, mais ils sont chaque jour un peu plus durement touchés par les amendes infligées suites aux procès en résultant (ainsi TJX, condamné à près de 10 millions de dollars). S’ajoute à cela la pression des administrations et des organismes normalisateurs. PCI-DSS pour les acteurs financiers, par exemple, ou « Red Flag », un renforcement et une extension à la conformité des Sections 114 et 315 du Fair and Accurate Credit Transactions Act poussé par la FTC. Peu étonnant, dans ces conditions, que 36 % des personnes interrogées espèrent pouvoir déployer des DLP (outils de prévention de perte d’informations) dans le courant de l’année. Sœurs siamoises des DLP, puisqu’intimement liées aux outils de gestion de l’information, les technologies d’authentification entrent dans 42 % des annonces d’intention d’investissement dans les 12 mois à venir. Bien qu’en perte de vitesse par rapport aux promesses de l’an passé, les outils de contrôle d’accès réseau (NAC) pèsent encore 45,7 % des intentions de déploiement.
Ces prévisions doivent, faut-il le préciser, être interprétées avec toute la prudence qui s’impose. En Europe en général, et en France en particulier, les investissements dans le domaine de la sécurité ont subi un important coup de frein, moins drastique toutefois que celui constaté dans les biens d’équipements informatiques généraux. En outre, et particulièrement dans le secteur financier, les jeux des mises en conformité et des normalisations sont « analogues mais pas comparables » à ce que l’on constate Outre-Atlantique.