Piratage de Hacking Team : une pluie de correctifs

A la suite de son piratage, ce dimanche 4 juillet, Hacking Team dénonçait sans ambages une opération contribuant à rendre Internet moins sûr, évoquant même une « situation extrêmement dangereuse » lié à la diffusion de sa technologie et d’exploits de vulnérabilités inédites. Peut-être est-ce exactement le contraire aujourd’hui.

Certes, les kits d’exploitations n’ont pas manqué d’étoffer leur trousse à outils avec les exploits de la firme italienne. Mais les éditeurs ont été amenés à réagir promptement.

Le 10 juillet dernier, FireEye relevait ainsi la divulgation d’une seconde vulnérabilité inédite affectant Flash, avant qu’une troisième ne soit découverte. Trois vulnérabilités pour la technologie d’Adobe auxquelles il convient d’en ajouter une pour Windows et une autre pour Internet Explorer. Pour Trend Micro, c’est bien simple, « les e-mails de Hacking Team sont devenus un trésor pour les chasseurs de vulnérabilités ».

Des correctifs donc, et des vulnérabilités en moins, mais également un début de débat autour de la pertinence de l’une des technologies phares du Web, et particulièrement prisée des pirates : Flash. Alex Stamos, RSSI de Facebook, a ainsi appelé ouvertement Adobe à la faire disparaître, sur Twitter. De quoi conforter un défunt Steve Jobs a préféré empêché Flash de prendre pied sur les iPhone et iPad d’Apple.

It is time for Adobe to announce the end-of-life date for Flash and to ask the browsers to set killbits on the same day.

— Alex Stamos (@alexstamos) July 12, 2015

De leur côté, Mozilla et Google ont pris la décision de bloquer, par défaut, l’exécution de versions de Flash antérieure à la toute dernière mise à jour proposée ce mardi 14 juillet par Adobe.

Mais ce n’est pas le seul débat que ravive le piratage de Hacking Team : il y également celui du contrôle de ce que certains considèrent comme des cyberarmes. Dans un communiqué, David Vincenzetti, Pdg de Hacking Team, défend aujourd’hui ses activités, assurant que « d’importants éléments de notre code source n’ont pas été compromis par l’attaque et restent non-divulgués et protégés ». Et de promettre une nouvelle version 10 de son coutil de prise de contrôle à distance, Galileo, pour l’automne.

Surtout, il assure que « notre technologie a toujours été vendue légalement et, lorsque les circonstances ont changé, nous avons cessé nos relations avec des clients tels que le Soudan, l’Ethiopie, et la Russie ». Dans son texte, David Vincenzetti assure que les exportations de Galileo sont contrôlées par le gouvernement italien dans le cadre de l’arrangement de Wassenaar.

Celui-ci liste les armes conventionnelles et les équipements et technologies à usage à la fois civil et militaire dont l’exportation doit être contrôlée. Depuis décembre 2013, y figurent de nombreux outils susceptibles d’être utilisés pour l’intrusion dans des systèmes informatiques, ou pour la surveillance, tant individuelle que de masse.

Pas suffisant, selon Claudio Agosti, un ancien de Hacking Team. Pour lui, le marché de ces outils doit être « lourdement régulé », par des autorités indépendantes. Mais « qui peut faire cela alors que l’état italien a supporté l’exportation au Soudan et comptait parmi les principaux clients » de Hacking Team, interroge-t-il.

Début 2014, Art Coviello, alors président exécutif de RSA, appelait déjà à l’abandon des cyberarmes : « On pourrait penser que je suis naïf d’imaginer que les nations vont abandonner les cyberarmes. Mais que se passera-t-il quand les terroristes mettront la main sur ces armes ? Que se passera-t-il dans dix ou quinze ans lorsque l’Internet des objets ne sera plus constitué d’un milliard d’objets connectés, mais de deux cents, voire trois cents milliards d’entre eux ? […] Le point clé est que les cyberarmes peuvent être retournées contre leurs créateurs. Et l’on ne peut pas accepter cette perspective ».