Spécial sécurité - Média sociaux : réaction émotive ; despotisme numérique
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, passent en revue l’actualité de la sécurité IT de ces 15 derniers jours. Au programme, un regard décalé sur le hacking des comptes Twitter et Facebook, un coup de projecteur sur un rapport américain qui pointe du doigt les cyberattaques de la Chine et la perquisition d’emails autorisée aux US. Ils reviennent également sur l’histoire, digne d’un roman policier, du gang des distributeurs de billets, avant de nous alerter sur les rustines de Microsoft et d’Adobe. Ils terminent leur tour de piste par un long article, passionnant, sur le marché des exploits et du rôle des gouvernements.
Média sociaux : réaction émotive ; despotisme numérique Le hack du mois dernier du compte Twitter de l’agence Associated Press (et les réactions boursières qui s’en sont suivies) semble ne pas conduire du tout dans la direction logique que l’on aurait pu attendre, à savoir une prise de conscience que Twitter n’est pas une source fiable d’information en matière d’outil d’aide à la décision. Bien au contraire, beaucoup souhaiterait voir instaurer une forme de sécurisation des média sociaux, que ce soit par la formation à de « bonnes pratiques » ou par d’autres moyens, pourquoi pas légaux (tel que des lois répressives sur l’usurpation d’identité pouvant englober les alias et pseudonymes sur Internet). Ainsi cet article de DigitalGov, qui offre à ses lecteurs un certain nombre de recettes et conseils de sécurité, et dont le titre est sans équivoque : Le gouvernement doit rapidement réagir au hacking des réseaux sociaux Cela s’appelle chevaucher un tigre, même si l’on sait que le tigre pourra toujours mordre.
Et pourtant, les hacks noirs ne cessent d’être perpétrés. Après l’Associated Press, un autre compte Twitter de médium, celui du Guardian britannique, tombait sous les coups de l’armée électronique Syrienne. Une information de nos confrères SecurityWatch, qui font remarquer au passage qu’ont également été piratés les comptes de la BBC, de NPR, de CBS, en concluant « Be Skeptical on Twitter ».
Be skeptical… En français, méfiez-vous des fausses sceptiques. Le doute permanent, la remise en cause de l’information diffusée par Internet, est une vieille marotte des médias et des sociologues spécialistes de l’information. Car il y a en chacun de nous (à plus forte raison dans le cœur de chaque trader ou affairiste) un je-ne-sais-quoi de Nathan Mayer Rothschild, le fondateur de la dynastie, qui bâtit, dit-on, sa fortune grâce à une information confidentielle capitale : la défaite de Waterloo. Le mythe du scoop qui rapporte fortune ou qui laisse présager une promotion. Toute la différence entre Rothschild et le goldenboy qui interprète un Twitt en échangeant des titres sur le NYSE, c’est que le premier possédait un solide réseau d’informateurs capable de lui fournir des renseignements recoupés et vérifiés. Les fortunes qui se constituent sur un coup de poker n’existent que dans les mauvais romans, et les montages de révélations bidonnées sur le Net ne se comptent plus. Souvenons-nous, en pleine folie spéculative Linux, du fameux Jesus, la distrib évangéliste qui a fait plonger tous les média internéto-crédules.
Be skeptical. Le Guardian, encore, qui, début janvier, titrait que Facebook, un autre médium social, perdait plus d’un demi-million d’inscrits par mois au Royaume Uni, affirmation fondée sur une étude du cabinet d’analyse SocialBaker… lequel cabinet rectifie « Facebook ne perd pas d’abonnés, il se porte comme un charme et atteint un palier de croissance puisqu’il a déjà conquis 50% de la population britannique ». Et le Guardian de récidiver en expliquant qu’une baisse de croissance est une forme de perte, que l’attrait de la nouveauté s’est émoussé sur le Vieux continent alors qu’il est en forte croissance en Amérique du Sud… Des chiffres et des interprétations qui ne prouvent pas grand-chose, certainement pas qu’un réseau social possède la moindre once de vérité avec des morceaux d’information vérifiée dedans, pas même en ce qui concerne ses statistiques d’utilisation. Les seules sources de données contradictoires pourraient venir des services techniques des réseaux eux-mêmes, ou d’organismes d’études comme SocialBacker qui ont précisément développé des outils d’analyse spécifiques, adaptés aux estimations de fréquentation des sites Web et média sociaux. Lorsque le gagne-pain d’une entreprise est majoritairement attaché à une activité économique, il est sage de prendre compte de ce genre de détail qui friserait le conflit d’intérêt …
Be skeptical. Le New York Times enfonce un peu plus le clou sur la très relative importance des analyses médiamétriques des réseaux sociaux en révélant, mais était-ce un scoop, que certaines célébrités en mal de … célébrité étaient soupçonnées d’acheter du Follower par paquets de dix-mille. En ligne de mire Pepsi, Mercedes-Benz, Louis Vuitton, Dmitri Medvedev, 50 Cent ou Diddy. Cette usine à paraître qu’est Twitter profite à des entreprises satellites (ou parasites) qui ont pour nom FanMeNow, Viral Media Boost ou InterTwitter, des spécialistes de la fabrication rétribuée d’abonnés bidons et de comptes aussi virtuels que viraux.
Les média sociaux, de Facebook à Twitter, sont avant tout des canaux d’échanges de réactions émotives personnelles, de ressentis, et non pas d’informations. Des canaux qui régentent le marché avec la logique du chiffre, la force de la statistique. 17 ou 40 millions de contributeurs ne peuvent pas nécessairement avoir tort ? La logique du nombre sur la raison est généralement un des fondements même des mécanismes populistes qui mènent aux dictatures. Dictature numérique et totalement virtuelle, mais dictature quand même, où l’on peut forger une opinion publique en achetant de l’électeur ou de l’opinion, ou l’émotion et le cas particulier provoque des réactions de masse de courte durée que l’on aurait tort de confondre avec de véritables courants d’opinion. Twitter, c’est Mai 68 toutes les 5 minutes… durant 5 minutes. Les médias sociaux ne sont ni bons, ni mauvais, ils sont. Reflets changeants de rien du tout, où il se raconte tout et son contraire sans qu’aucune pondération, aucun filtrage ne puisse être appliqué. Certains hommes politiques, gens du spectacle, industriels, militants de tous bords (des conservateurs Syriens aux Hacktivistes des indignés) l’ont compris et savent utiliser ce qui n’est jamais qu’un tuyau de propagande ou de publicité. Comment, dans ces conditions, considérer cette « cibi de l’internet » comme une source fiable de renseignement, sur lequel pourraient surfer les traders ? Et surtout comment faire en sorte que les personnes chargées de décisions stratégiques puissent un jour apprendre à faire la différence entre une rumeur infondée et une donnée fiable ? Car en attirant l’éclairage des média sur le hack d’un compte Twitter, ces mêmes médias ont peut-être caché dans l’ombre le véritable problème : l’inconséquence et l’irresponsabilité des courtiers …
Cyberdiplomatie et rodomontades
Gros émoi de la presse US à la lecture du rapport annuel destiné au Congrès et rédigé par le Department of Defense US. A l’origine de cette hémorragie d’articles alarmistes, une phrase « In 2012, numerous computer systems around the world, including those owned by the U.S. government, continued to be targeted for intrusions, some of which appear to be attributable directly to the Chinese government and military. These intrusions were focused on exfiltrating information ».
Le Ministère des Affaires Etrangères de Pékin a immédiatement répliqué en déclarant en substance que de telles remarques irresponsables et exagérées concernant la construction « normale » de ses moyens de défense ne jouaient pas en faveur d’une relation de coopération reposant sur des relations de confiance mutuelle… langue de bois contre FUDologie, ces petites escarmouches diplomatiques désormais étendues au domaine « cyber » durent depuis bientôt plus de 15 ans.
Perquisition des emails sans mandat?
Possible aux USA Le Department of Justice des USA ainsi que le FBI se livreraient depuis quelques temps à des perquisitions numériques dans les emails, communications Facebook, chats, échanges Twitter sans que n’ait été délivré le moindre mandat officiel. Cette révélation (et cette dérive contraire tant à la loi qu’au quatrième amendement), est dénoncée par l’Aclu (American Civil Liberty Union).
Cette lente dérive entre la correspondance papier, qui, de tous temps, a été considérée comme sacro-sainte tant dans le Nouveau Monde qu’en Europe (loi Napoléon) est de plus en plus souvent mise à mal par les lois, y compris françaises (différentiation subtile entre le domaine professionnel et privé, dépendant de « l’opérateur de messagerie »). Cette lente dérive s’appuie souvent sur des prétextes anxiogènes : chasse à la pédopornographie, vol de propriété intellectuelle, trafic mafieux divers, terrorisme etc. Quelques soient les prétextes invoqués, il s’agit ni plus ni moins d’une suppression progressive du secret de la correspondance …
Hack en tranches : le gang des distributeurs, surenchères et cécités 8 inculpations pour cambriolage prononcées par le tribunal de New York, un butin de 45 millions de dollars en grande partie disparu, une couverture médiatique digne du casse Londres-Glasgow, tant dans la presse généraliste que dans les colonnes de nos confrères du HNS, du Reg ou de Computerworld. Le gang des distributeurs de billet a vidé en moins de trois heures près de 2,8 millions de dollars des distributeurs New-Yorkais durant la trêve des confiseurs puis, dans un second temps, mi-février, l’équipe s’est livrée à un pillage d’envergure dans près de 26 pays différents, pour un montant de plus de 40 millions de dollars.
Comme d’habitude, serait-on tenté de dire, le vol s’est déroulé en trois temps. Tout d’abord un hack visant, cette fois, un sous-traitant, afin de récupérer des numéros de cartes de débit « prépayées » et supprimer leur plafond de retrait. La seconde phase a consisté à fabriquer une série limitée de fausses cartes, étape d’autant plus simple qu’elle se limite, Outre Atlantique, à la contrefaçon de la piste magnétique. Le « chip and pin » est boudé par les nord-américains, au grand bonheur des cybertruands. La dernière partie de l’opération se passe de commentaire : dénicher assez de complices de confiance pour vidanger les distributeurs à une heure précise, leur octroyer un confortable pourcentage en rétribution de leur travail, de leur silence et de… leur honnêteté, puisque ceux-ci doivent reverser une partie de leurs gains aux organisateurs.
L’affaire a d’ailleurs mal tourné pour l’un des responsables logistiques, Alberto Yusi Lajud Pena, retrouvé mort il y a deux semaines en République Dominicaine.
Comme d’habitude également, les véritables cerveaux ne se présenteront pas à la barre, il est même quasi certain que les polices parties à leur recherche n’ont que très peu d’idées sur leurs réelles identités. Comme d’habitude également, la faiblesse du système bancaire (voire une coupable négligence de ces institutions aux USA ?) est rarement mise en avant (absence de suivi réel et d’analyse des flux de retraits internationaux, absence de mécanismes à facteurs multiples tels que la carte à puce etc.). Rappelons que ce genre de cyber-casse devient presque routinier. En Afrique du Sud à la Saint Sylvestre 2011, en Floride 5 mois plus tard (intrusion des systèmes de la Fidelity National Information Services Inc., 13 millions de dollars disparus), sans oublier le plus emblématique, le cambriolage RBS Wordpay en 2008 (soit 9 millions de dollars, jugé en 2009 ). Le plus souvent, ces attaques Eclair ont lieu durant les fêtes de fin d’année. Les sommes dérobées augmentent sensiblement, passant de 9, puis 13, puis 45 millions de dollars à chaque braquage, avec un modus operandi qui ne change pratiquement jamais. Gageons que les truands qui, eux, savent de quoi ils parlent, placent leurs économies dans des pays qui ne sous-traitent pas leurs traitements à l’étranger et sécurisent leurs opérations de retrait avec de multiples mécanismes de vérification/authentification.
Rapport Lescure : ne surtout rien toucher Le sujet était sensible et l’affaire fut rondement menée. La mission Lescure, dirigée par un des principaux alliés objectifs de l’industrie du Cinéma et des sociétés de divertissement est parvenue à botter en touche : Hadopi est fermement maintenue même si elle rejoint a priori le giron du CSA, parée du prétexte de la Culture. Des changements purement cosmétiques qui ne modifient en rien un système établi par le gouvernement Sarkozy et maintenu contre vents et marées par le gouvernement Hollande, et qui fait dire à sa principale marraine, Christine Albanel, « l’essentiel de l’Hadopi est préservé » (via nos confrères d’Acteurs Publics ).
L’abandon du pouvoir régalien de police au profit d’entreprises spécialisées dans la délation n’est apparemment pas remis en cause, les grands centres de profits des professionnels du piratage hébergés à l’étranger ne sont pas inquiétés. Le train de mesures est même renforcé avec l’invention d’une énième taxe sur la copie privée prélevée sur le prix d’outils connectés à Internet, smartphones et tablettes y compris. La suspension de l’abonnement Internet, mesure à la fois impopulaire et économiquement désastreuse car susceptible d’impacter le chiffre d’affaires des fournisseurs d’accès, pourrait être remplacée par une amende forfaitaire de 60 euros. Ce qui permettrait d’intensifier les sanctions et de compenser les menus extras que l’actuelle commission Hadopi dépense en salaires, en loyers parisiens et autres frais d’études justificatives.
A ces rentrées d’argent viendrait s’ajouter une taxe aux terminaux connectés, que l’on soit pirate ou non, que l’on soit téléchargeur compulsif ou non, en d’autres termes, un « impôt internet » dans la continuation des taxes au support de stockage.
A noter une réaction de l’April sur la supervision des DRM associés aux offres légales. Ces fameuses menottes numériques qui entravent tant les usagers payants et dont se moquent les consommateurs de contenus piratés constituent un risque majeur dans la transmission d’un patrimoine culturel familial (car il s’agit bien de culture dans ce cas précis). Car les DRM sont applicables à tout support numérique, de Britney Spears à l’intégrale des œuvres de Balzac. Dans un cas, les DRM protègent une simple production industrielle et commerciale, dans l’autre, elles interdisent la transmission d’un savoir. Prospective d’autant plus probable qu’il existe actuellement un mouvement de prétendants-Ayant-Droits qui cherche à assimiler à une œuvre de création la saisie numérique d’un livre, que celui-ci appartienne au domaine public ou non. En ne regardant le monde des médias dématérialisés que par le petit bout de la lorgnette des divertissements et du business, la mission Lescure pourrait bien provoquer des remous qui ne seront visibles que dans 5 ou 10 ans.
Microsoft, Adobe, trous sérieux, sérieux trous
Le mardi des rustines de ce mois de mai ne compte que 10 correctifs… dans lesquels sont rectifiées 33 vulnérabilités de taille : 24 risques d’exploitation à distance, 3 élévations de privilège, 3 fuites d’information, un DoS, un spoofing et un contournement d’authentification. Une collection digne d’un mois pair. Il est recommandé d’installer en priorité les MS13-037,038 et 039, qui bouchent des failles activement exploitées. A noter que le calfatage le plus lourd et le plus vital est MS13-037, qui cumule 11 CVE à lui seul. MS13-042 compte également 11 CVE, mais ne concerne que les usagers de Publisher. A noter que le correctif temporaire « Fixit » bouchant le CVE-2013-1347 ( article 2847140 de la Kbase) doit être désinstallé avant application des patchs officiels de ce mois.
Chez Adobe, 13 CVE disparaissent de Flash Player. Ces correctifs sont a priori récupérés automatiquement par Internet Explorer et Firefox.
De l’offensif au défensif : le marché des exploits fait mal occulte
L’éternelle question du recul progressif du full disclosure face à l’attrait de plus en plus important des « offres gouvernementales occultes » sur le marché de l’exploit et des talents n’est plus un débat d’initié. Joseph Menn, de l’Agence Reuters, a rédigé un papier aussi synthétique que complet sur le sujet. Papier qui met immédiatement le lecteur dans le ton en rappelant que les U.S. intelligence and military agencies n’achètent plus d’accessoires de hacking pour parer une attaque mais préfèrent utiliser ces ressources pour en faire des outils d’espionnage. D’officiellement défensif il y a quelques années, les ZDE et autres trous plus ou moins documentés sont transformés en une panoplie d’armes offensives. La première conséquence, explique Menn, est un appauvrissement du flux d’informations à destination des éditeurs, donc une occultation des failles pouvant être corrigées. Appauvrissement qui ne pourrait être compensé que par une « prime au trou » moins symbolique qu’elle ne l’est actuellement.
Cette situation entraîne quelques effets pervers, car parfois, des armes que l’on soupçonne d’origine étatique peuvent être analysées et exploitées à leur tour par des réseaux mafieux, en toute tranquillité puisque précisément il n’existe aucun correctif contre cet exploit militarisé. Duqu appartient très probablement à ce genre de famille. De fortes présomptions laissent penser que ce virus est l’œuvre des services spéciaux US, en raison d’un certain nombre de points communs que l’on retrouve dans les « gènes » de Stuxnet. Mais des morceaux de Duqu, on en retrouve également dans des Blackhole, des Cool et autres « exploit kits » diffusés par des cyber-truands.
Mais ces hypothétiques dommages collatéraux sont sans importance pour les businessmen de la faille et du ZDE. De toute manière, ces sous-traitants travaillant pour un (ou plusieurs) gouvernements ne peuvent jamais être certains que leur vendeur ne se livre pas à un double jeu, commercialisant ses œuvres à la fois au milieu de la cyberdéfense militaire et aux acheteurs du milieu. A plus de 50 000 dollars par Zero Day, qui ne serait pas tenté ? C’est ce qui expliquerait certains points de ressemblance entre le virus Zlob, d’origine mafieuse russe, et Stuxnet, cyber-flingue supposé écrit par les services secrets US. Sans oublier les probables coïncidences… les chercheurs évoluent dans un milieu agité par de nombreuses « tendances », consultent plus ou moins les mêmes canaux d’information, et peuvent naturellement être plusieurs à découvrir une faille ou famille de failles plus ou moins au même moment. Dans ces conditions, il est tout à fait logique que s’engage une course à l’armement numérique. Chaque Etat-Nation, chaque entité ou groupe mafieux constitué cherche alors à posséder son propre arsenal offensif pour instaurer soit une sorte de force de persuasion (si vis pacem, para bellum) soit une armurerie efficace assurant un rapide retour sur investissement. Les prix des exploits ne peuvent qu’augmenter dans les années à venir.
La partie la plus visible de cet iceberg économique, ce sont les vendeurs d’exploits officiels, les Vupen, les Cesar Cerrudo, les Moxie Marlinspike, les ReVuln, jeune entreprise fondée par l’un des plus grands chasseurs de failles, Luigi Auriemma. Des « industriels du sploit » qui affirment franchement leurs règles morales, leur volonté de ne pas vendre leurs œuvres à des pays à tendance totalitariste ou ouvertement adversaires de leur propre pays… mais il en va des cyber-armes comme des armes physiques. Rien ne peut garantir le fait que l’acheteur ne cherchera pas à revendre à son tour l’exploit qu’il vient d’acheter. L’usage de ces outils se pratiquant de manière très discrète, il est pratiquement impossible de tracer ou même soupçonner ces pratiques. Un « point de détail » que ne soulève pas notre confrère de Reuters, d’autant plus difficile à déceler que les champs d’application et d’utilisation sont nombreux. De l’exploit java à la faille découverte sur un logiciel Scada très spécialisé, en passant par l’injection de code destinée à un périphérique utilisant un protocole cryptique, ces exploits passent inaperçus. Aucun firewall ne les filtre, aucun antivirus ne les détecte, aucune sandbox ne les retient.
Un arrangement de Wasenaar pour les armes binaires?
Le principal danger de ces armes, c’est leur risque de prolifération et l’absence de contrôle que les Etats pourraient imposer. En France, le précédent Amesys a montré combien les règles morales que s’imposaient des Vupen ou des Cerrudo ne pesaient pas lourd dès que les décisions se diluaient dans des chaînes hiérarchiques et la course à la rentabilité. Ce sont les mécanismes de la « banalisation du mal » d’Arendt vigoureusement mélangés avec deux doigts d’amoralisme du capitalisme de Comte-Sponville. « J’obéissais aux ordres », « Je ne pouvais pas savoir », « d’autres l’auraient fait à ma place » et « la Raison d’Etat » sont autant de leitmotiv que l’on a entendu durant le Printemps Arabe notamment, période durant laquelle le grand-public a compris qu’une cyber-arme pouvait conduire à de véritables morts, à de véritables tortures. Certes, sans l’éclat tonitruant des cyber-Armageddon annoncés par une presse à sensation, sans barrage qui explose sous la pression d’un virus, sans crach boursier conséquence d’une formidable attaque en déni de service.
Et c’est probablement en raison de cette absence de véritable catastrophe visible qu’il est peu probable de voir prochainement le commerce des exploits assimilé à des armes de guerre. A ceci s’ajoute d’autres considérations. Les exploits demeurent, même à raison de 100 000 Euros pièce, des vecteurs militaires relativement économiques comparés à l’investissement nécessaire au développement d’un système d’arme. Munitions peu coûteuses et multipliables à l’infini, qui peuvent être exportées sans le moindre document, voir être expédiées de manière totalement invisible dans le flux des échanges IP, les exploits offensifs n’ont aucun intérêt à être classés « matière dangereuse », du moins pas en totalité. En admettant même que les systèmes les plus visibles (équipements de filtrage/DPI, systèmes d’écoute et d’intrusion nécessitant une base électronique spécifique) soient un jour contingentés, il existera toujours un marché réservé aux « affreux » et aux contrebandes destinées aux républiques bananières.