Spécial sécurité : Il y a vol d'informations et vol d'informations

Aujourd'hui nos confères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information reviennent sur les ennuis de Sony avec son assureur, mais aussi sur la notion de vol d'information et sur la fin du Minitel, qui a été le pupitre d'école d'une génération entière de "hackers".

Sommaire
1 - Sony lâché par l’un de ses assureurs
2 - Il y a vol d’informations et vol d’information… et vol d’information (1)
3 - Il y a vol d’informations et vol d’information… et vol d’information (2)
4 - Minitel : la fin d’une école de hack

1) Sony lâché par l’un de ses assureurs

« Nous n’assurons que les dommages corporels et financiers autres que ceux provoqués par un piratage » estime en substance la Zurich American Insurance, l’un des assureurs de Sony, après que celui-ci lui ait demandé de le protéger contre les quelques 55 procès collectifs intentés par les clients du PlayStation Network. Rappelons que cette intrusion dans l’infrastructure informatique de Sony avait provoqué la fuite de près de 12 millions d’identités bancaires, certaines expirées, d’autres non. L’assureur s’estime dégagé de toute obligation, nous apprend Bloomberg.

Sage décision semble-t-il, car les « putative class action » entamées contre Sony n’ont strictement rien de putatives au sens Français du terme, et pourraient se multiplier au fil des mois suivants, donc coûter très cher aux compagnies d’assurance. Mêmes des spécialistes comme l’Open Security Foundation n’arrivent plus à compter combien de fois les réseaux de Sony on fait l’objet d’un haïk et ont provoqué une fuite de données.

2) Il y a vol d’informations et vol d’information… et vol d’information (1)

Les choses vont de mal en pis pour les taxonomistes*. Car il devient de plus en plus difficile de classifier tout ce que l’on avait l’habitude de ranger dans la case « perte d’informations ». Autrefois, les choses étaient carrées. Soit l’information était perdue par inadvertance (exemple ; l’Union des Banques Suisses demande à quiconque les retrouvera de lui rapporter les 5 disques durs contenant les coordonnées de ses plus gros clients asiatiques) ou par pure désir criminel (exemple : En raison de la récente perte de plus de 94 millions d’identités bancaires, les magasins TJ Maxx sont au regret d’annoncer l’impossibilité de reconduire pour les 150 prochaines années la carte de fidélité de Monsieur Albert Gonzalez).

Deux catégories bien distinctes, une fois de plus les gentils distraits d’un côté, de l’autre les franchement méchants, au milieu, les vendeurs de DLP. La preuve chiffrée sur le site Dataloss db.org.

Plus récemment (mais est-ce vraiment le cas ?) il a fallu ajouter les hacktivistes, les Anonymous, LulzSec et assimilés, bref, ces groupes plus ou moins constitués et identifiables. Un dictateur Africain un jour, un Ministre Espagnol le lendemain, une banque la semaine suivante, peu de temps avant un éditeur de musique et de jeux… Même pourchassés par les polices de France et de Navarre, ces hacktivistes là ont encore le courage de crier « même pas mal » (version moderne de « Ce n’est qu’un début, continuons le com-bat ! »), revendication commentée par Jaikumar Vijayan dans les colonnes de ComputerWorld. Après l’arrestation de plusieurs « chefs présumés » par les polices Etats-Uniennes, Britanniques, Helvétiques-Tessinoises et Italiennes, les hacktivistes encore en liberté clament leur détermination sur Pastebin et affirment leur volonté de continuer à pourfendre la grande conspiration internationale des trusts financiers, des lobbys policiers et des gouvernements complices.

A côté de tout ça, il faut ajouter les activistes sans H et sans CK. Pas les susmentionnés, les vrais, ceux qui sont issus d’une éducation militante politique et ne changent pas de cible comme de chemise. Encore une information d’un confrère d’IDG News Services, Nicolas Zeitler, qui relate le haïk par des citoyens Allemands des ordinateurs des services de police Germanique, dans le but de rendre public des informations récoltées par Patras. Patras, le programme d’espionnage utilisé précisément tout ce qui s’apparente à un service de sécurité ou du fisc Outre Rhin. Cette chasse au cheval de Troie policier aurait été rendue possible grâce… à l’injection d’autres chevaux de Troie dans les ordinateurs de l’administration Fédérale. Troyens contre troyens, une aventure digne de Lanfeust. Des arrestations s’en sont suivies, qui ont à leur tour provoqué la publication d’un communiqué signé par les membres du n0n4m3 cr3w, et affirmant qu’aucun des leurs ne faisait apparemment partie des personnes prises par ce coup de filet. Puis d’ajouter, par mesure de prudence probablement, que les documents récupérés sur les serveurs de la police seraient rendus publics si les persécutions continuaient. Point de grandes idées fumeuses, nulle théorie conspirationniste, l’on est là en face d’un affrontement politique classique : coups de main, agitprop, menaces, tentatives de musellement par la force… ce jeu est presque aussi vieux que le monde.

Vient enfin une nouvelle catégorie : les voleurs de données par effraction cherchant à rendre public des informations déjà publiques (si). Le corps du délit, un fichier de 32 Go de communications savantes, dont quasiment toutes ont plus d’un siècle d’ancienneté. 18 592 documents exactement, extraits de la revue Philosophical Transaction. Des extraits qui étaient toujours revendus au prix du neuf par la Royal Society, société de Sciences Savantes Londonienne. Et encore, sous condition, car chaque achat de document ne donnait droit de lecture que sur un seul ordinateur et pour une durée d’un mois seulement, expliquent nos confrères du Reg. Cette âpreté au gain, cette avarice et ce refus du partage offusque Gregory Maxwell, qui décide ipso facto de diffuser sur les réseaux Torrent ces ouvrages indispensables aux chercheurs et aux curieux. Et le Reg de rappeler que, pas plus tard que la semaine passée, un autre « terroriste intellectuel », Aaron Swartz, chercheur à l’Université de Harvard (Massachusetts) avait téléchargé 4,8 millions articles d’une revue Universitaire. Les entraves et limitations de téléchargement imposées par les administrateurs des serveurs avaient poussé Swartz à fracturer une armoire de brassage pour contourner les moyens d’accès conventionnels. Ce fut là son seul crime, il risque la prison.

Tout çà pour la dernière saison de Heroes ou de Dr House ? Pas même. Tout çà pour quelque monographie doctorale sur la paléontologie des vertébrés ou les annales de littérature espagnole du début du siècle (dernier). Dangereux hacking que le hacking qui conduit à la connaissance. Car, contrairement aux fichiers Wikileaks, il ne s’agit là pas seulement d’information mais de culture et de savoir. On comprend le légitime courroux tant du MIT que de la Royal Society. Partie comme est partie (accusation d'intrusion, fraude et vol de données) l’affaire : cela ira engraisser quelques avocats, ridiculiser une fois de plus un ou deux juges de Boston.

*NdlC Note de la Correctrice : Taxonomiste, spécialiste des taxinomies. Taxinomie : sorte de trouble obsessionnel compulsif frappant à période régulière les journalistes ou les experts en cyber-délinquance, et qui consiste à répertorier, classer et catégoriser des comportements, des êtres, des objets, des évènements dans le fol espoir d’y voir plus clair un jour. Ce comportement psychotique connaît des phases culminantes soit en tout début d’année (taxinomie de bilan) soit lorsque les journalistes n’ont rien à raconter d’intéressant.

3) Il y a vol d’informations et vol d’information… et vol d’information (2)

Et si ces taxinomies, cette tentative de classer, ordonner, répertorier et ficher les « crimes informatiques », étaient biaisées depuis le début ? Si ces « nouvelles générations de hackers » n’étaient pas si nouvelles que çà ? Les taxinomistes seraient bien embêtés. Car cela voudrait dire qu’il y a toujours eu, de tous temps, des hacktivistes numériques, des activistes politiques, des truands avares de fric, des savants avec éthique, des Assanges qui font la nique, mais que l’on ne s’en apercevait pas trop.

Probablement parce que l’on ne se rendait compte de rien, faute de métriques, d’outils de surveillance et d’administration, voir faute de simples compétences informatiques. Probablement aussi parce que bon nombre de ces ressources ont longtemps été protégées par des systèmes sinon propriétaires, du moins aux mécanismes connus seuls d’une élite, sorciers de BSD, gourous de SNA… et que l’on vivait encore sur cette sécurité par l’obscurantisme. Hélas, Windows a mis le pied dans la place. Il est bien loin le temps des cathédrales informatiques, Le monde est entré Dans un nouveau millénaire, celui du libre-service numérique et de la vulnérabilité connue de tous.

L’article de Nicolas Zeitler (voir premier volet) est d’ailleurs très édifiant sur ce sujet. Interrogé sur le sujet, Lars Sobiraj, rédacteur en Chef d’une revue Allemande destinée à la jeunesse, déclarait « La chose terrifiante à propos de ces attaques (ndlr, le haïk de la police Allemande), c’est que les délinquants sont très jeunes. Si des écoliers de 17 ans sont capables de faire ça, qu’arriverait-il si un hacher plus expérimenté [plus âgé] commettait une telle attaque » ? Personne, en revanche, pour se poser la question fondamentale : si des systèmes stratégiques tels que ceux de la police peuvent être « pentestés » par des adolescents pré-pubères, si se font aussi hacher les administrateurs des serveurs du MIT, temple ô combien chanté de la sécurité informatique, c’est qu’il y a un réel problème de fragilité intrinsèque des systèmes d’information. La faute n’en revient pas (seulement) aux RSSI et administrateurs. Elle est également partagée par ceux qui décident d’y stocker des informations stratégiques en sachant pertinemment que le système est faillible. La faute aux promoteurs d’une sécurité « globale », aux grands marchands de « gouvernance » qui se focalisent sur les grandes stratégies et parfois mésestiment le détail. Or, c’est par le détail que pénètrent les hackers. La faute enfin à tous ceux, tels les membres de la Royal Society ou les mandarins du MIT, qui protègent leurs rentes de situation en inventant une sorte de « DRM techno-légal » consistant à emprisonner sur des ordinateurs des documents du domaine public et en en interdisant l’accès en vertu des LCEN locales. Ce n’est probablement pas le nombre de voleurs d’informations qui a augmenté, mais le volume d’informations à voler. Ca et l’incroyable faiblesse des moyens de protection mis en œuvre qui incitent au piratage.

4) Minitel : la fin d’une école de hack

Nombreux sont nos confrères à avoir pondu un article nostalgique sur le trépas annoncé du Minitel. Fin juin disparaîtra la fierté technologique Française, l’« ancêtre d’Internet avec l’accent Berrichon ». Cet annuaire électronique était, comme le rappelle Tom’s Guide, avant tout une vache à lait. Car le premier haïk du Minitel a été celui du portefeuille de la plupart des usagers qui, grâce à la « facturation multipaliers », ont compris ce que leur réservait l’avenir. Sans école du Minitel, jamais nos chers, très très chers opérateurs ne seraient parvenus à établir des modèles de facturation aussi élaborés que ceux en vigueur dans le monde de la téléphonie mobile.

Le second haïk du Minitel fut surtout psychologique. Longtemps, Internet fut présenté en France comme un « Minitel Mondial »… Quand on sait ce que pouvait coûter une communication de 5 minutes sur un 3614 parisien, l’on comprend vite la crainte que pouvait engendrer l’éventuelle facturation de 20 secondes avec un web de Sidney. Inutile de chercher plus loin la relative lenteur du décollage d’internet en France. Il faudra que les opérateurs se lancent dans une longue campagne en faveur du « téléchargement rapide » pour abolir cette barrière psychologique. Ceci dit, les tous premiers fournisseurs d’accès en ont largement profité. Certains parvenaient à dresser une triple facturation sur les connexions Internet : un abonnement tout d’abord, suivi d’une facturation temporelle (là, le FAI n’y était pour rien, c’était la dime de notre opérateur historique) puis parfois un surcoût au volume, ou un reversement partiel des temps de connexion facturés par l’Opérateur. Combien de fois a-t-on entendu dire « Internet est un feu de paille, il n’existe aucun modèle économique viable comparable à celui du Minitel ».

Le troisième haïk du Minitel fut également celui des premiers émois des « remote exploits ». Oh, un bien grand mot pour désigner ce qui, généralement, se résumait à la découverte d’une « séquence d’échappement » donnant accès soit à un menu telnet, soit directement aux « prompt » du système d’exploitation des serveurs. Jamais plus, depuis cette période, l’équipe de CNIS n’a fait de tels progrès en termes de maîtrise des systèmes sous Pick et Prologue. De toute manière, il y a prescription.

Les haïk du quatrième type étaient à la fois logiciels et matériels. Firmware devrait-on dire. Rappelons que ces terminaux absolument pas intelligents fonctionnaient traditionnellement en mode asymétrique 1200/75 bauds. 1200 en descente, 75 en liaison montante… personne ne pensait alors qu’un humain aurait pu dépasser 75 bauds en dactylographiant une missive sur un clavier alphabétique conçu par un maniaco-dépressif et destiné à des doigts d’enfants de moins de 15 ans. Mais très rapidement, quelques bricoleurs astucieux ont compris que la prise DIN située au dos de l’appareil n’était autre qu’une prise série (on dirait un « jtag » à notre époque) compatible RS232 niveau TTL. Deux transistors d’adaptation de niveau plus tard ou, pour les plus fortunés, un circuit Maxim, et ledit Minitel était transformé en modem relié au port série des ordinateurs de l’époque. Un modem gratuit…. Une aubaine à l’époque où le plus petit 300 bauds « full duplex » était vendu à prix d’or. Une aubaine également pour certaines boutiques de composants qui vendaient des buffets de cartes série par brouettées entières. Combien de ports com1 ont succombé par surtension et absence de masse équipotentielle, entre un « compatible IBM-PC » et un Minitel (alimentation à découpage, châssis chaud). Toi qui entres dans le domaine des télécoms, n’oublies pas ton fer à souder.

Très rapidement, les utilisateurs passionnés de télématique (on ne disait pas encore « hacher ») ont découvert que certains Minitel (les fameux modèles 1BR) pouvaient, moyennant une opération simple, être « retournés » et fonctionner à 1200 bauds à l’émission (75 à la réception). S’en sont suivis plusieurs utilitaires permettant de transférer des données en 1200 bauds alternat, un luxe que même les américains nous enviaient.

De ces bricolages sont nés les premiers « microserveurs » Français, les BBS ou Bulletin Board Services. L’un des premiers fût OUF (Organisation Utilisateurs France), utilisant une version pilotable à distance de CP/M connue sous le nom de Zcpr3. Bill Graham était son SysOp. Puis vint Gufi Groupement Français des Utilisateurs d’Informatique, piloté par Bernard Pidoux. Et enfin Suptel, premier « gros » BBS Français dirigé par Lionel Bruno, qui doit son nom au fait d’être né sur les ordinateurs du laboratoire de langue de l’école Sup Télécom. Tous ces serveurs étaient « compatibles Minitel », certains mêmes, tel Suptel, capables de gérer les caractères alphamosaïques complexes. Déjà à l’époque (cira 1981), quelques rares agitateurs commençaient à évoquer un protocole révolutionnaire, TCP/IP, où se lançaient à corps perdu dans la construction d’un grand réseau mondial. Le père du désassembler le plus populaire dans le domaine de l’analyse fornique, Pierre Vandevenne, ouvrait ainsi le premier node Fidonet en Belgique. Mais c’est toujours grâce au Minitel que les premières flavour (on ne disait pas « distrib ») de Linux ont commencé à faire oublier les mauvais souvenirs de Minix, grâce à des passionnés comme René Cougnenc, Manuel Makarévitch, Attila Altan… On raconte même que c’est dans les caves de Suptel que naquit le tout premier logiciel de communication asynchrone sous Windows (2.10) compatible Minitel. Il s’appelait Twintalk.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close