Spécial sécurité : iPhone et iPad, les meilleurs ennemis des relations extraconjugales
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, s'inquiètent de la percée des logiciels espions sur les terminaux mobiles, des smartphones aux tablettes comme l'iPad. Des applications très indiscrètes qui exploitent les fonctions de ces appareils, comme le GPS ou l'appareil photo. Egalement au programme : un projet de création d'une CNIL aux Etats-Unis et la diffusion rapide de kits permettant de cracker des réseaux WiFi en Chine.
1 - iPhone et iPad, les meilleurs ennemis des liaisons extraconjugales
2 - Le long chemin de la CNIL américaine
3 - Chine : le piratage WiFi à portée de tous
1) iPhone et iPad, les meilleurs ennemis des liaisons extraconjugales
Brian Krebs s’indigne. A peine l’iPad distribué que déjà des programmes spécialisés dans le flicage des porteurs apparaissent sur le marché. Tel cet iPad Mobile Spy destiné à une large clientèle : employeurs paranoïaques, parents autocratiques, épouses suspicieuses ou maris jaloux… Le programme en question, commercialisé comme un « Software As A Service », ne coûte que 99 $. Bien moins cher qu’une demi-journée de Nestor Burma ou de Sam Spade. Pour cette modique somme, le spyware enregistre la moindre navigation Web, le courrier le plus insignifiant, logue la totalité des « contacts » de l’appareil mobile. Une prochaine version sera capable de prend des rafales de photos grâce à l’APN intégré et de transmettre en temps réel la position précise du mari volage ou de l’employé paresseux, avec la précision du GPS intégré. Il s’en faut de peu pour que les conversations téléphoniques ne soient enregistrées, en raison de mesquines contraintes légales. Programme compatible iPad, iPhone (jailbreakés), Blackberry, Android, Window Mobile… L’essayer c’est l’adopter.
Mais le courroux de notre éminent confrère, provoqué par de simples considérations morales, nous semble mal approprié. Le flicage par téléphone ou tablette un peu trop intelligente, s’il peut heurter quelques âmes sensibles, représente une grave menace esthétique et un danger monstrueux pour les œuvres littéraires. A tel point que l’intervention d’un ministre chargé de la protection des Œuvres et des Intérêts des Editeurs serait fortement nécessaire. "Anéfé", un iPad « flic privé » ou un iPhone-espion, c’est la fin du théâtre de boulevard, la mort du polar, l’assassinat du roman d’aventure, le trépas de la série Harlequin. Plus de rendez-vous secret possible, plus de SMS amoureusement expédiés. Les amants ne peuvent se cacher ni dans les placards, ni sous un lit (maudit GPS). Plus jamais l’on ne pourra invoquer « une réunion tardive au bureau, c’est Macheprau qui préside, on va devoir refaire le bilan et je doute pouvoir rentrer jetaimejepenseatoi » (satané appareil photo). Inutile également de tenter un « je suis en séminaire, impossible de te parler » alors que le tunnel de réplication renvoie depuis plus de 10 minutes, par SMS, l’adresse d’un hôtel tout confort des environs de Deauville et des réponses enflammées de la part de « Ta petite Lulu la Nantaise ». Si Mobile Spy avait existé à l’aube du XIXème, jamais Courteline n’aurait pu écrire la moindre ligne, Maigret et Hercule Poirot seraient au chômage technique faute de meurtre passionnel, et la Sacem n’encaisserait plus que les droits d’auteurs de séries américaines narrant les navrantes aventures d’un cabinet d’avocats ou les ébats bureaucratiques d’un juge des affaires familiales.
2) Le long chemin de la CNIL américaine
Violente polémique Outre Atlantique, où l’on apprend qu’un projet de loi portant sur le contrôle des fichiers nominatifs vient d’être déposé devant le Sénat par Rick Boucher, représentant démocrate. Si ce texte est approuvé, tout fichier de plus de 5 000 noms, comportant également une adresse email ou physique, ne pourra être utilisé ou communiqué sans autorisation. Dans ce far-west de la revente des fichiers nominatifs que sont les Etats-Unis, cette annonce fait l’effet d’une bombe. Les activistes défenseurs des libertés individuelles hurlent au scandale, estimant que ces dispositions ne vont pas assez loin, et les industriels crient à l’assassinat, arguant que les politiques vont ainsi tuer leur business. Comme cette loi ne concernerait pas que les fichiers des prestataires Internet, les associations de professionnels du marketing direct craignent une mainmise insupportable. De leur côté, les Google et autres Amazon se demandent si ce n’est pas là le glas des fantastiques applications de « profilage et de publicité ciblée par analyse comportementale » (certains euphémismes font froid dans le dos).
Le projet prévoit également que toute identité collectée doit faire l’objet d’un signalement auprès de l’intéressé au moment où celui-ci inscrit ses coordonnées… ce qui n’est pas du tout du goût des spécialistes de la collecte de données. Avec cette mention spéciale, ces derniers craignent que les clients, prospects, internautes commencent à se poser des questions sur l’usage desdites données. Et un client qui réfléchit… c’est forcément mauvais pour le commerce. Le New York Times s’en émeut, nos confrères de CNet également. Peut-on légiférer au pays de la libre entreprise et du capitalisme sauvage ? La réponse ne risque pas d’arriver de sitôt, compte tenu de la puissance des lobbys qui s’opposent à tout contrôle sur ce « datamining » des données privées à forte valeur ajoutée.
Tristan Nitot, dans un billet traitant précisément de la vie privée en ligne, rappelle que, pour le patron de Google Eric Schmidt, « tout ce que sait Google, les états peuvent le savoir aussi, il leur suffit de demander ». En d’autres termes, Google se pose en institution placée au dessus des Nations, à laquelle il suffit de s’adresser pour obtenir les renseignements voulus… y compris ceux que les services de police ne pourraient obtenir ? Seulement Google n’est ni un Etat, ni une officine de police privée (ou milice), et de tels propos peuvent inquiéter tous ceux qui n’ont pas séché leurs cours d’histoire.
Une CNIL Etats-unienne peut-elle, d’un coup de baguette magique, nettoyer les écuries d’Augias du Net ? C’est peu probable, surtout si les éventuels grands justiciables décident d’établir leur siège dans un paradis juridique et de disperser leurs fichiers dans le « nuage » pour mieux échapper à la loi. Les « Spam King » de la côte Ouest ne sont pas prêts de disparaître, pas plus que les empereurs de la retape publicitaire « légitime » par courriel. Cela pourrait en revanche réguler le marché florissant des « data brockers » locaux, qui achètent, vendent, échangent des bases provenant de fichiers clients d’opérateurs, de fournisseurs d’accès, de vendeurs de voitures ou de contrats d’assurance-vie sans pratiquement aucune limite. Autre point positif, ce projet constituerait un premier pas vers une unification américano-européenne des garde-fous législatifs relatifs aux échanges de fichiers. Unification qui entraverait les grands pilleurs de noms et spécialistes du flicage marketing qui jouent sur les disparités légales entre pays pour échapper aux poursuites ou interdictions.
3) Chine : le piratage WiFi à portée de tous
Pour surfer à l’œil ou visiter des sites que l’ordre politique pourrait réprouver, les Chinois, nous apprennent nos confrères de Network World, se ruent sur des « kits de cracking WiFi ». Vendus une vingtaine d’euros, ces ensembles clef WiFi/version simplifiée de Backtrack feraient fureur dans les grandes villes, là où la probabilité de trouver de fortes proportions de routeurs « protégés » par Wep est élevée.
Le rédacteur de cet article précise « Security researchers said they did not know of similar kits sold anywhere besides China, even though tutorials on how to crack WEP have been online for years ». Aux USA, peut-être, car en Europe, bon nombre de clefs USB réputées pour leur haute puissance ou leur sensibilité hors pair (dixit la notice d’utilisation) sont livrées avec une version adaptée de Backtrack… n’oublions pas non plus de véritables projets tels que Gerix, shell italien simplifiant l’usage de Backtrack et de sa partie Aircrack NG, à tel point que même les retraités et les journalistes sont sensés pouvoir l’utiliser. Mais le fait que ce genre de « WiFi Cracker pour les Nuls » soit particulièrement apprécié en Chine va probablement transformer ces quelques initiatives relativement marginales en un formidable marché de masse, avec offres sur eBay et expéditions sous plis discrets.
L’observatoire du Cert Lexsi, nous explique Cédric Pernet, aurait constaté une croissance des attaques visant spécifiquement les services « abuse ». Plutôt que de « phisher » au hasard, certains blackhats expédient les courriels de doléance incitant les administrateurs de services de messagerie ou Web à visiter un site frauduleux ou prétendu comme tel. Si le correspondant du service « abuse@... » tombe dans le panneau, il a alors de fortes chances de se retrouver en face d’un XSS ou d’un drive by download.
Pour la partie adverse, l’attaque des services abuse est un peu comme le bruteforcing des réseaux X25 encore en place : à tous les coups l’on gagne, puisque la machine éventuellement compromise a de très fortes chances de se situer dans le périmètre d’administration du prestataire de services. Un monde ou le userland est déjà bien nanti. De là, toutes les extractions d’information ou exploitations de ressources sont envisageables (comptes clients, ouvertures de comptes « rogues », accès à tous les syslog, aux espaces de stockage, parfois même aux consoles d’administration gérant les politiques de sécurité etc ).
Cédric Pernet donne d’ailleurs un exemple de courriel d’incitation de type « phishing à abuse », qui est adressé l’aveuglette, outre l’inévitable Abuse@, à plusieurs alias smtp : Fraude@, scams@, Customersupport@, Security@... Ce n’est généralement pas là un indice de « tir tous azimuts » révélateur d’une activité frauduleuse. Comme le fait remarquer l’auteur du billet, les services Abuse sont rarement réputés pour leur esprit d’ouverture et de dialogue (particulièrement chez les FAI), et expédier la demande à d’autres adresses smtp « logiquement existantes » ne reflète bien souvent que l’ardent désir d’être écouté. Il est même exceptionnel, et ce depuis l’institution de l’adresse « abuse » dans les rfc « 800 et au-delà », qu’une même complainte ne soit pas également expédiée à Webmaster@, root@, Administrateur/administrator/admin@, God@, Master0fTheWorld@ et autres titres ronflants de la hiérarchie mamamouchique qui caractérise tout service informatique qui se respecte.