Spécial sécurité : Best Western totalement à l'Ouest

Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette édition, l'affaire Best Western remise en perspective et une série d'hypothèses sur l'auteur de la coupure d'électricité ayant entraîné l'interruption des émissions de la télévision et de la radio Suisse Alémanique.

cnis logosnoirSommaire :

- Best Western : totalement à l’Ouest et identités à l’Est 

- Un écureuil hacke la TV Helvétique 

- Nokia-Siemens : un Big Brother payable à crédit

- Fedora fuit, f’est fatal… 

 


- Best Western : totalement à l’Ouest et identités à l’Est 

Le Sunday Herald nous révèle une histoire à côté de laquelle l’affaire TJX risque de passer pour une aimable plaisanterie : durant plus d’un an, les serveurs de la chaîne d’hôtels Best Western auraient alimenté les bases de données des pirates russes. Un vol d’identité organisé qui toucherait 8 millions de personnes. Nom, prénom, adresse, numéro de téléphone, numéro de carte de crédit, emploi… toutes ces données figuraient dans les registres informatiques de la chaîne hôtelière. Ce qui fait écrire, avec cet art de l’understatement dont seuls les britanniques journalistes sont capables, «  experts fear that information seized in the raid is already being used to pursue a range of criminal strategies ». Ce que les experts « craignent » … les observateurs spécialistes du vol d’identité en sont hélas bien certains. Nos confrères notent également que, dans certains cas, ces données étaient accompagnées des dates prévues des prochains déplacements des victimes… un genre d’information qui vaut son pesant d’optimisation de l’emploi du temps chez les monte-en-l’air et autres spécialistes du baluchonnage.

De prime abord, le nombre de victimes est très nettement inférieur aux 45 millions d’identités évaporées de l’affaire TJX (où l’on ne parle que de « victimes potentielles »). Mais la qualité des données dérobées laisse entrevoir une probabilité d’exploitation bien plus certaine.

En se basant sur le « montant moyen » des sommes volées calculé par la traditionnelle enquête du CSI/FBI, nos confrères du Sunday Herald en concluent, peut-être un peu trop rapidement, que l’on peut d’ores et déjà estimer que la perte financière directe subie par les victimes – les clients de Best Western - gravite aux environs de 2,8 milliards de Livres Sterling. L’exploitation desdites données, quoique très probable, n’est pas encore un fait avéré. Espérons cette fois que le montant des dols reflété par les avocats et la presse anglo-saxonne ne se limitera pas aux dommages subis par le principal responsable de cette fuite : l’hôtelier lui-même.

L’expérience nous apprend en effet que les « pauvres cybervolés » tels que le New York Times, les banques frappées par la sombre affaire Cardsystems, le réseau TJX, se « sortent » généralement bien de ces mésaventures. Une étude de Kenneth F. Belva, intitulée «  How It's Difficult to Ruin a Good Name: An Analysis of Reputational Risk » et publiée en 2005, montrait, après analyse des conséquences de l’affaire Cardsystems, que le pire que pouvait subir une entreprise était un léger fléchissement du cours de son action dans les semaines qui suivaient le piratage. Passé un an, et sans nécessairement avoir orchestré de campagne de restauration d’image de marque, l’affaire était oubliée et le business retrouvait un rythme florissant

NDLR : hier soir, dans nos colonnes, un porte-parole de la chaîne hotelière démentait l'étendue de la fuite de données révélée par nos confrères.

Un écureuil hacke la TV Helvétique

Basel Online s’émeut, sur 5 colonnes, du sort d’un pauvre écureuil roux qui aurait provoqué une panne d’électricité générale, coupant par la même occasion les émissions de la télévision (TSR) et de la radio Suisse Alémanique (DSR). Cette atteinte à un réseau SCADA est-elle le fait d’une opération pilotée par Moscou, qui, dans le but d’interdire aux banquiers Helvétiques le spectacle des Jeux Olympiques de Pékin, auraient dressé des armées de rongeurs électrophiles ? Pourrait-on imaginer un assaut pernicieux orchestrée par la Caisse d’Epargne Française qui, nuitamment, aurait dépêché l’un de ses émissaires afin d’attaquer les services informatiques du siège de l’Union des Banques Suisses ? Nul ne sait, personne n’est au courant. Toutes les alternatives sont envisagées. Ce qui, nécessairement, crée un climat de tension remarquable entre l’administration et les responsables d’EZW (Elektrizitätswerks der Stadt Zürich, structure d’Etat également). L’hypothèse d’un écureuil-suicide appartenant à un groupuscule terroriste est d’autant moins à écarter qu’au nombre des quartiers Zurichois touchés par la panne, on compte la riante bourgade d’Oerlikon, réputée pour son artisanat local spécialisé dans la fabrication d’affûts quadritubes antiaériens et autres pièces d’horlogerie, machines à coudre et produits dérivés. La famille de l’écureuil est actuellement entendue par la police. Les avocats de la défense demandent la restitution immédiate du corps du défunt à ses proches et la levée des séquestres posés sur les réserves de noisettes, séquestre qui profiterait à une marmotte spécialiste du papier aluminium et d’un bovidé violacé.

Nokia-Siemens : un Big Brother payable à crédit

Le flicage légal des citoyens sous prétexte de lutte contre le terrorisme semble, ces jours-ci, furieusement tendance. Mais un flicage qui, généralement, est sous-traité à des entreprises privées, opérateurs, fournisseurs d’accès Internet, soit par l'émission « d’offres de marché de l’écoute téléphonique » lancés par l’Etat – ainsi que cela se pratique Outre-Atlantique -, soit par le biais de contraintes légales comme cela est le cas notamment en France dans le cadre de « l’obligation de rétention » des données par les FAI. S’ajoute à ce contexte la tendance générale à la surveillance « interne », généralement dictée par les contraintes normatives et légales du monde moderne. Avec la floraison des SarbOx, Bâle II et autres dispositions internationales ou intracommunautaires, les responsables d’entreprises voient parfois leur responsabilité engagée là où on le soupçonne le moins.

Dans un article fort bien vulgarisé, le New Scientist se penche donc sur le bouquet de propositions commerciales des entreprises versées dans l’art de l’interception. Et plus particulièrement sur les produits d’un tandem de choc, Nokia-Siemens, dont la « synergie de l’offre » s’enrichit d’un paquet « surveillance in a box » ainsi que d’un « monitoring center » capable de collecter des données «  from sources such as telephone calls, email and internet activity, bank transactions and insurance records ». Une fois ces données extraites et analysées à l’aide de « modules d’intelligence », elles serviront à surveiller les personnes dont les comportements auront été profilés, et émettront des alarmes dès qu’une habitude ou un mode de vie électronique sortira des schémas classiques.

Qu’un média d’audience relativement grand-public s’inquiète de ce big-brotherisme, prenant à témoin les principales organisations de défense des libertés individuelles, voilà qui n’est pas nouveau. Ce qui est plus rare, en revanche, c’est que le journaliste voit se profiler insidieusement l’installation d’un corpus législatif et d’outils de surveillance sous prétexte de lutte antiterrorisme, outils qui, entre les mains d’un gouvernement moins démocratique, pourraient devenir de véritables leviers d’oppression. Un cri d’autant plus retentissant que l’on peut difficilement taxer nos confrères du New Scientist d’alarmisme tapageur.

Le « groupement d’intérêts économiques » constitué par l’alliance Nokia-Siemens ne doit pas non plus être pris pour seul et unique exemple. Chaque équipementier possède, dans ses tiroirs, un arsenal d’armes liberticides et paranophiles qui n’attendent qu’une embellie politique pour prendre corps. L’erreur serait de ne condamner que l’outil et son fabricant tout en éludant la responsabilité réelle de celui qui légalise son usage.

Par le plus grand des hasards, la veille de la publication de l’article du New Scientist, Ray Bradbury fêtait ses 88 ans nous apprend le L.A.Times. Bradbury est l’auteur de Farenheit 451, porté à l’écran par François Truffaut, ouvrage qui dénonce précisément les régimes totalitaristes et leur amour immodéré pour le contrôle des communications et du savoir.

Fedora fuit, f’est fatal… 

Des intrus dans les serveurs Fedora : Paul W. Frields, le « project leader » du kernel, l’avoue publiquement. Selon celui-ci, il n’y a pratiquement aucune chance pour que les pirates aient pu parvenir à récupérer la « phrase de passe » servant à signer les paquetages téléchargeables. Les mises à jour effectuées ces derniers temps n’ont statistiquement que très peu de chance d’avoir été modifiées.

Par mesure de prudence, il a été décidé qu’une nouvelle clef sera instaurée, nécessitant très prochainement quelques opérations de la part des « root » administrant les noyaux Fedora. L’équipe de Paul Frields préviendra la communauté et publiera le détail des procédures qu’un tel changement implique.

Pour approfondir sur Gestion d’identités

Close