Spécial sécurité : l'Allemagne cliente de la petite entreprise Falciani ?

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'intéressent à la petite entreprise (qui ne connaît pas la crise) Falciani, du nom de cet informaticien qui a dérobé un fichier de 130 000 noms de clients à HSBC suisse. Après avoir officiellement offert le nom de 4 000 fraudeurs au fisc français (pour des raisons "éthiques" - sic -), l'homme qui fait trembler la banque tente maintenant de monnayer 1 300 noms au gouvernement allemand. Egalement au menu : une réflexion sur le rôle de la presse dans les affaires de divulgation de failles et l'irruption des fausses identités biométriques aux frontières japonaises.

Sommaire :

1 - Fichiers HSBC : l’Allemagne cliente de Falciani ?

2 -  Secustar hacke la presse sécu

3 -  Google : spy vs les internautes

4 -  Biométrique : hacké par les clandestins

1) Fichiers HSBC : l’Allemagne cliente de Falciani ?

Les clients allemands de la HSBC peuvent trembler, titre le Financial Times Deutschland. Car, selon certaines sources, après avoir tenté de vendre son fichier au Liban puis « offert » son contenu au fisc français, Hervé Falciani serait en train de proposer à l’Allemagne, dans la famille « grands fraudeurs fiscaux », le cousin Germain. Ce service serait proposé pour 2,5 millions d’euros, précisent nos confrères. Pour cette modique somme, Berlin possèderait assez d’éléments pour poursuivre 1 300 fraudeurs, dont le montant total des redressements serait estimé à près de 100 millions d’euros.

Bien plus qu’en France, l’origine douteuse de cette source d’information pose problème. Notamment au chef de file de la CDU pour qui un acte délictueux est un acte délictueux, fraude fiscale ou fraude informatique. L’achat de ces fichiers, pense Volker Kauder, rend l’Etat coupable de complicité de vol. Le ministère fédéral des Finances, de son côté, estime que l’achat en vaut la chandelle. Un précédent avait déjà agité l’Etat fédéral il y a presque deux ans jour pour jour, alors que des fichiers volés dans une banque du Lichtenstein avaient également été marchandés pour un montant de 5 millions d‘euros.

Bien qu’il soit impossible d’avoir la moindre certitude à ce sujet, il paraîtrait qu’Hervé Falciani n’aurait pas été payé pour services rendus à Bercy. Ses révélations ont été faites suite à son arrestation en janvier 2009 et l’ouverture d’une enquête pour « soupçons de blanchiment d’argent », mi-juillet, par le parquet de Nice. Depuis, l’informaticien se serait mis spontanément à table, et, tout aussi spontanément, les autorités helvétiques – donc techniquement la HSBC -, auraient fourni à la France les clefs de chiffrement destinées à percer le secret des fichiers dérobés.

En admettant que ledit fichier de 130 000 noms ait déjà été amputé de 4 000 fraudeurs français et de 1 300 Allemands, il reste encore près de 125 000 identités à commercialiser. Soit, à raison de 2,5 millions d’euros les 1 300 comptes, un pactole d’environ 25 millions d’euros au total potentiellement versés dans autant de pays étrangers qu’il n’y a de ressortissants cherchant à placer leurs économies au pays de Guillaume Tell. Soit le potentiellement heureux possesseur de cette somme se prépare à payer l’ISF, soit il s’expose à se voir dénoncer par une multitude d’employés de banque tentant d’appliquer à leur tour la méthode Falciani.

2) Secustar hacke la presse sécu

Comme chaque matin, l’équipe de CNIS-Mag ouvre les vannes de ses « favoris » et plonge (avec délice) dans le flot bouillonnant de l’actualité cybercriminelle. Or, vendredi dernier, trois de nos confrères et non des moindres, El Reg, Network World et Infosecurity Mag se sont fait l’écho d’un hack particulièrement impressionnant : un « testeur », publiant ses essais sur un site totalement inconnu, déclare avoir cassé les 9 dixièmes des mécanismes de chiffrement de la voix utilisés dans l’industrie. Le tout à l’aide d’un « troyen propriétaire » dont même le principe de fonctionnement serait tenu secret, troyen accompagné de l’un de ces nombreux programmes de flicage pour téléphones cellulaires qui font le bonheur des amants jaloux et la ruine des honnêtes enquêteurs privés. Les seuls arguments reposant sur la fourniture de séquences vidéo peu convaincantes, notre rédaction décide de mettre l’affaire au chaud en attendant de plus amples renseignements. Après tout, cette histoire de « cassage de téléphones durcis » intervient un peu trop tôt après les conférences de la 26C3, le papier théorique de Shamir et le viol de la majorité des « clefs usb chiffrées » perpétré par Syss. Trop tôt et sans soutenir la moindre comparaison sur le plan des preuves techniques avancées par les exemples susnommés.

Et c’est dans la matinée de lundi que nos proches voisins d’Infosecurity.ch reviennent sur l’affaire, après avoir tendu un petit piège traceroutable à Notrax (littéralement « pas de trace », admirons l’ironie du handle). Le « hack » serait en fait une opération marketing orchestrée par Securstar, vendeur teuton de logiciels de chiffrement destinés au marché de la mobilité. Après un tel coup médiatique, il est peu probable que des clients sérieux envisagent de se porter acquéreur des programmes en question.

Cette affaire (qui une fois de plus remet sur le tapis la capacité d’intoxication de la presse en ligne) intervient au moment précis où cinq de nos confrères des médias radiophoniques se sont lancés dans une expérience inquiétante : voir, une semaine durant, le monde de l’information via Facebook et Tweeter. Benjamin Muller de France Info, Nour-Eddine Zidane de France Inter, Janic Tremblay de Radio Canada, Anne-Paule Martin de la Radio Télévision Suisse et Nicolas Willems de la RTBF internetiseront, coupés du monde, dans un gîte du Périgord du 1er au 5 février. Toute tentative d’accès sur de véritables sites d’information est strictement prohibé (quid des « mini-urls » tweeter qui constituent le gros des infos ?) et nul appel téléphonique en dehors de ceux émis par leurs rédactions respectives n’est autorisé.

Comme il fallait s’y attendre, le premier bilan est concluant : 80 à 90 % des « buzz » qui secouent la planète Web 2.0 concernent des informations qui ont fait les gros titres de la presse traditionnelle. Statistiquement, il y a peu de chances qu’en 5 jours nos confrères se fassent intoxiquer par un « fake »… car la première qualité d’une information bidonnée, c’est la rareté de sa fréquence dans un flux de données réputées véridiques. Le premier danger d’une telle expérience, c’est que l’on puisse y voir la preuve d’une totale inutilité de la presse telle qu’elle existe encore, en oubliant le fait que les tweets et autres avis Facebook s’alimentent généralement de cette même presse et ne sont que des réactions à des annonces. Le second risque, comme pourrait le prouver la triste expérience Securstar, c’est que les lecteurs finissent par jeter le bébé avec l’eau du bain, et n’accordent plus la moindre confiance à la presse en ligne elle-même. Ne resteraient en lice que les directions marketing des entreprises qui « font » l’information, sans la moindre possibilité de contrôle ou de vérification « à posteriori ». Digérer sans discussion ni mise en perspective le « hack Google », le « piratage de l’industrie pétrolière US par les Chinois » ou le « manque de fiabilité des outils de chiffrement de la voix dans la téléphonie cellulaire », c’est accepter de voir un jour disparaître le mot « journaliste » du vocabulaire courant. Et avec lui, l’idée d’une pluralité des sources d’information.

3) Google : spy vs les internautes 

Encore une histoire d’espionnage Google. Encore une affaire soulevée par Ben Edelman, de la Harvard Business School : même après désactivation, la barre d’outils Google continue de tracer les opérations de navigation. La preuve en images parviendrait à convaincre même le plus ignare des juges du Massachusetts. Cette pierre blanche à ajouter sur le sentier du credo « Don’t be Evil » devrait, si l’on en croit les dires des services techniques de Google, faire l’objet d’un correctif qui devrait être diffusé dans le flot de la prochaine « mise à niveau » de la toolbar.

4) Biométrique : hacké par les clandestins

Le Japan Time nous apprend que la police de Yokohama aurait arrêté deux Sud-Coréennes tentant d’entrer clandestinement au Japon en utilisant de faux papiers et… de fausses empreintes digitales. Le dessin de la pulpe servant à tromper les lecteurs d’empreintes était imprimé sur un film plastique.

Il n’y là rien qui ne puisse étonner un spécialiste de la sécurité. Ce qui est en revanche totalement nouveau, c’est que cette « preuve de faisabilité » qui, jusqu’à présent, amusait quelques réunions de geek entre deux séances de crochetage de cadenas et trois démonstrations d’injections SQL, passe désormais dans le domaine public. Exerçant la profession « d’entraîneuses » dans un nightclub de Kanagawa, il est peu probable que ces deux personnes soient des lectrices invétérées de Phrack ou des minutes de la DefCon. Ce qui laisse clairement entendre que les « faux papiers » utilisés ont été fabriqués et fournis par un lapheur* coréen qui, lui, a certainement été inspiré par les recherches anti-biométriques.

Si c’est là l’une des premières fois qu’une telle technique est découverte par la police, c’est que les mesures de filtrage biométrique aux frontières n’en sont qu’à leur début… et que généralement de telles tentatives sont tenues secrètes.

* Note : l’on dit aussi cimentier, brasseur de faffes… plus rarement artiste, le terme étant réservé aux faux-monnayeurs, ou fausse-boulange.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close