Le billet intitulé “La
durée de vie d’un ordinateur non protégé est de… 4 minutes” a suscité
beaucoup de commentaires. Lorna Hutcheson, l’auteur de l’étude que je citais, qui collabore au très respectable SANS
Institute après avoir travaillé dans l’armée et les services de renseignements
américains, l’écrivait pourtant elle-même
:
“On me demande souvent si les
statistiques du temps de survie des nouveaux ordinateurs connectés à l’internet
sont correctes. La réponse est oui pour la majeure partie des utilisateurs et
systèmes. Ca peut être plus long en fonction de votre système, de son
utilisateur et de ce à quoi il sert. Mais la durée de survie est d’à peu près 4
minutes pour les ordinateurs non mis à jour”.
J’ai voulu avoir le point de vue
d’un professionnel de la sécurité informatique. Désigné par le
gouvernement suisse au poste de responsable de la sécurité des systèmes
d’information de la République et du Canton du Jura, Bruno Kerouanton est par
ailleurs l’un des rares professionnels du genre à être par ailleurs blogueur (bruno.kerouanton.net/blog/).
Et pour vous mettre dans
l’ambiance, voici son compte-rendu détonnant, et que je vous incite vivement à
lire jusqu’au bout, de LA conférence sécurité de l’année, organisée par
le Chaos
Computer Club allemand (ou CCC pour les intimes), qui fêtait pour le coup
sa vingt-cinquième édition, en décembre dernier :
Ce billet se veut pour une
fois à caractère pédagogique pour les non initiés à la sécurité des systèmes
d’information. Que les puristes me pardonnent certains raccourcis et
simplifications pour la bonne cause…
Je ne citerai pas toutes les
présentations (sur quatre jours, il y a eu de quoi raconter beaucoup de
choses), mais celles qui (d’après les échos que j’en ai eus par quelques chanceux
qui ont pu y participer, et en allant lire les présentations et annonces
mentionnées sur le
site de l’évènement) m’ont parues les plus intéressantes.
J’ai pris la liberté de
redécouper ainsi les thèmes :
1. PREMIERE
PARTIE : Tout se pirate… même grand-mère, si si !
2. SECONDE
PARTIE : Les questions de fond et existentielles que tout le monde se pose
3.
TROISIEME PARTIE : Maman, y’a un monsieur qui me
regarde… Big Brother is
watching
En gros, je remarque que les
attaques électroniques se développent à grande vitesse, j’en suis content car
c’est quelque chose que je trouve intéressant, et l’on parle de plus en plus de
l’onmiprésence de la surveillance qui nous entoure et de la perte progressive
des libertés de chacun. Bonne lecture, ne tremblez pas trop !
PREMIERE PARTIE : TOUT SE
PIRATE…
Les réseaux domestiques… piratés… une fois de plus
Après le WiFi qui s’est fait
allégrément montrer du doigt des années durant à cause de ses trop nombreuses
failles de sécurité, c’est au tour du CPL
(Courant Porteur en Ligne) d’avoir des soucis. Si vous n’avez pas (encore)
de WiFi chez vous, il est possible que vous ayiez opté pour le réseau via les
prises de courant électrique, aussi dénomé CPL. (Présentation).
Les téléphones sans fil… piratés (pour 23 euros !)
Vous le savez peut-être, le DECT est (entre
autres) ce qui relie les combinés téléphoniques sans fil à leur base. Il y a
des millions de téléphones de ce type dans nos foyers, entreprises et ailleurs.
Seulement voilà… Il est désormais possible d’écouter à distance les conversations
à l’aide d’un ordinateur sous Linux et une carte coûtant la modique somme de…
23 Euros ! La carte en question se fait passer pour la base, et demande
gentillement au combiné de ne pas chiffrer la conversation. Comme c’est simple
! Ah, j’oubliais… ça utilise le même outil que pour attaquer les réseaux WiFi,
comme c’est pratique !
En fait c’est déjà fait
depuis quelque temps. Il s’agit plutôt de : Comment monter son réseau GSM à
la maison… c’est tout de même amusant de transformer son appartement en
réseau opérateur, histoire de faire une farce aux voisins… Ah ? Il faut une
licence opérateur pour cela et l’Etat ne me la donnera certainement pas ?
Allons bon ! (Présentation).
Les terminaux de paiement par carte bancaire… piratés
Lorsque vous payez par carte
au restaurant, on vous apporte une petite machine munie d’un clavier sur lequel
vous tapez votre code PIN… Comme c’est assez délicat et un peu secret tout de
même, les constructeurs ont mis en place des mesures pour éviter les bricolages
éventuels de commerçants indélicats qui aimeraient bien avoir votre code PIN et
votre numéro de carte… Désormais il faudra vous méfier, car à priori l’exercice
semble possible ! (Présentation).
Les
sites Internet “sécurisés”… piratés
A l’aide de “seulement” 200
consoles de jeu Playstation 3 (qui sont parmi les ordinateurs les plus
puissants disponibles au le public), il est possible de recréer des certificats
racine… Vous savez, le petit cadenas qui s’affiche lorsque vous allez sur le
site de votre banque ou de vente en ligne préférée, ou des impôts… En synthèse,
la preuve a été apportée que “n’importe qui” (ou presque) pouvait fabriquer un
faux site et le faire passer pour un vrai, même si ce dernier était dit
sécurisé. Cela touche bien d’autres domaines d’ailleurs… Toute la presse en a
parlé mais je ne pense pas que ce soit l’annonce la plus inquiétante de la
conférence.
Ou “comment prendre le
contrôle des systèmes de communication d’une rame de métro ?” Simplement par
radio, puisque ces engins discutent avec leur central via des guides d’onde et
des capteurs radio… Une vraie mine pour un scénariste de films à sensation en
mal d’inspiration ! (Présentation).
Les machines à voter… piratées
Les spécialistes de la
sécurité sont unanimes, ces engins ne sont pas au point du tout malgré ce qu’on
veut faire croire au public. Une énième présentation en démontrent certaines
faiblesses, et pourquoi les corrections successives ne corrigeront finalement rien
du tout. (Présentation).
Les passeports et permis de conduire… piratés
L’art d’utiliser les
fréquences radio pour “exciter” les puces présentes dans les documents
d’identité, et leur faire cracher leur contenu… Une rumeur circule à cet effet
disant qu’un terroriste pourrait utiliser un tel procédé pour cibler son
attaque… une bombe qui ne se déclencherait qu’après s’être assuré qu’au moins
cinq personnes de plus de 18 ans, de nationalité américaine et de sexe masculin
sont présents sur le site… C’est désormais possible avec les avancées
technologiques. Fou, n’est-ce pas ?
Les pass de métro et les badges d’accès… piratés
Cet été, cette équipe de
chercheurs a défrayé la chronique en expliquant qu’ils avaient cassé MiFair…
Késako ? Tout simplement l’un des systèmes de contrôle d’accès (cartes de
métro, badges d’accès de bâtiments et parkings, etc…) les plus répandus au
monde, en millions d’exemplaires… Que ce soit la carte Oyster du métro de
Londres, ou d’autres applications, ce système est omniprésent. Maintenant que
son mécanisme a été mis à nu, le monde entier va devoir réinvestir dans des
millions de nouveaux systèmes de serrures électroniques, remplacer des millions
de cartes et badges d’accès… ah que le progrès surprend parfois… (Présentation).
Les badges RFID et autres tags électroniques… piratés
Une présentation plus
générale que la précédente, mais intéressante également, démontrant qu’il ne
faut plus vraiment vouer une confiance aveugle en nos petits badges et
portes-clefs “magnétiques” (comme certains disent encore) ! (Présentation).
Les appareils médicaux et les pacemakers… piratés
Plus précisément un
microcontrôleur (puce) chargé de faire fonctionner de nombreux équipements,
dont des systèmes médicaux… Sur un même registre, le
piratage des pacemakers et des défibrillateurs implantés a déjà été traité
un peu plus tôt… certains pourraient d’ailleurs en avoir une attaque rien qu’en
lisant le titre : “Pacemakers and Implantable Cardiac Defibrillators:
Software Radio Attacks and Zero-Power Defenses” !
La mémoire des ordinateurs… piratée
Une attaque qui commence à
dater mais qui a fait couler beaucoup d’encre. Ou comment extraire les mots de
passe de la mémoire d’un ordinateur ultra sécurisé par opération à coeur ouvert
(une vraie lobotomie) : on ouvre la machine, et on lui retire la mémoire sous
cryogénie pour l’analyser… promis la bête ne souffre pas, l’effet est immédiat
et lors du réveil la machine ne se souvient de rien, mais le “chirurgien”
possède désormais les mots de passe ! (Présentation).
Les portes de garage, les portières de voiture et les sas d’accès…
piratés
Ces systèmes utilisent un
mécanisme appelé KeeLoq pour s’assurer que le boîtier ou la clef que la
personne utilise pour ouvrir sa porte de garage, voire sa voiture est légitime…
C’est fini, on peut maintenant s’amuser avec la porte du voisin et même ouvrir
sa portière de voiture. Cool !
On le sait depuis un peu de
temps, mais il est intéressant de voir que les mesures de sécurité mises en
place par Apple pour protéger ce qui tourne sur un iPhone ou iPod Touch ne
tiennent pas longtemps… pourtant elles semblent sophistiquées au premier abord…
Les consoles de jeu Wii… piratées
Elle est complexe à pirater
et cela a pris beaucoup de temps, mais il semble que nos compères soient
parvenus à leurs fins. Cela reste encore assez technique et réservé aux
bricoleurs, mais l’exercice est beau. On le savait depuis quelques mois mais
voici réexpliqué le tout. (Présentation)
Internet… tout planté (troisième essai)
Cette année, Internet n’aura
pas eu de répit : plus de trois démonstrations de comment planter tout Internet
! Heureusement que les gentils sont là pour corriger vite ! Cette fois-ci on
parle des attaques TCP, un terme technique pour évoquer ce qui fait marcher
Internet depuis ses débuts… Et c’est maintenant qu’on s’en aperçoit ? Alors là,
je n’applaudis pas
Les comptes en banque… piratés
Petite étude démontrant
comment les criminels s’y prennent pour voler les pauvres internautes qui
accèdent à leur banque en ligne… (Présentation).
Après tout, tant qu’on y est…
laissons nous pirater notre corps. Le génome humain a été entièrement séquencé,
c’est fait. Certes, il y a encore du travail pour en comprendre le contenu,
mais c’est en bonne voie et cela signifie le meilleur mais également le pire…
Le titre suggestif de la présentation “All your base(s) are belong to us”
est angoissant pour ceux qui en devinent le sens. A méditer ! (Présentation)
SECONDE PARTIE : LES
QUESTIONS DE FOND
Pourquoi la sécurité ne sert (et ne servira jamais) à rien
Si l’on sécurise toutes vos
données, vous risquez à un moment soit de ne plus avoir confiance puisque vous
ne savez pas ce qu’ON en fait, et vous allez alors vous méfier des contrôles et
cybersurveillances mis en place pour les sécuriser… donc vous allez
instictivement chercher des moyens de contournement. Donc les données ne seront
plus sécurisées… Scénario un peu pessimiste certes, mais que je vis au
quotidien lorsque je dois mettre en place des mesures de sécurité dans le cadre
de mes activités : elles sont tôt ou tard ignorées ou contournées (pire!)…
cercle vicieux qui laisse songeur. (Présentation).
Tout sur le Commodore 64 en 64 minutes
Ah ! Et dire que je n’y étais
pas… bouuuh !!! Il n’empêche que cette vieille machine tient bon la barre,
puisqu’on parle d’elle depuis 25 ans ! J’en ai d’ailleurs encore quelques uns à
la maison, et tous en état de marche, que je conserve avec une attention pieuse
Avec
ses 64 Kilo-octets de mémoire RAM et son processeur tournant à la vitesse
foudroyante de 1 MHz (non les jeunes, ne vous frottez pas les yeux, vouz avez
bien lu !), cette machine était merveilleuse… elle l’est encore par certains aspects, d’ailleurs ! (Présentation).
Comment stocker ses vidéos pornographiques ?
Si, vous avez bien lu ! Et
c’est à mademoiselle Rose White que revient l’honneur de présenter sa… thèse de
doctorat sur le stockage des films cochons. Elle nous dit d’ailleurs ceci : “I am doing preliminary research on
how people store and access their digital pornography collections.” Et
elle conclut en suggérant de stocker TOUT ce qui existe en matière de
pornographie ! J’avais vu/lu des présentations bizarres et loufoques, mais
celle-ci dépasse l’entendement !
TROISIÈME PARTIE : BIG
BROTHER IS WATCHING US… puisque je vous le dis !
Votre grand-mère est une terroriste
Un titre un peu racoleur ! La
présentation en question (qui n’a pas ce titre, désolé) explique que de plus en
plus de personnes sont accusés de terrorisme sous de faux prétextes… Et de se
poser la vraie question : qu’est-ce que le terrorisme, au juste ? (Présentation)
Vous n’avez pas encore de caméra qui vous filme aux WC ? Ca va
venir !
Petit rappel de tout ce qui
existe pour surveiller, tracer, enregistrer et analyser ce que l’on veut sur un
individu, et comment les corporations et organismes étatiques ou non s’en
servent déjà ou s’en serviront dans un proche avenir… Bon, si je débranchais
tout ! Et je vais relire 1984, d’ailleurs ! (Présentation).
La vie sans vie privée : il va falloir… vivre avec !
Essai intéressant sur ce qui nous
tombe déjà dessus : nous n’avons presque plus de vie privée, et cela le
deviendra certainement dans quelques années. Et de se poser la vraie question :
Qu’est ce que la vie privée, au juste ? Reste à savoir comment le prendre du
bon côté et vivre avec. (Présentation).
…ou bien il va falloir apprendre à la protéger
un petit cours que tous les
jeunes devraient retenir : pourquoi il n’est pas bien de tout dire sur un blog,
de tout poster et de publier toutes ses photos de vacances en ligne… (Présentation).
Comment l’on vous traque dans les salons…
Superbe étude : On distribue
à l’entrée d’une conférence des badges nominatifs à porter. Ceux-ci contiennent
en réalité une puce RFID (encore eux) qui émet des signaux. Ainsi on peut
traçer durant la totalité de l’évènement précisément où vous êtes, et surtout
avec qui vous discutez et combien de temps durant les pauses. Un outil
inquiétant pour découvrir qui fréquente qui… le KGB aurait rêvé le posséder si
cela avait existé en son temps ! (Présentation).
Ca va ? Vous avez tenu jusque là ?
Voici donc ce que Bruno Kerouanton m’a répondu, lorsque je lui ai demandé ce
qu’il pensait de cette durée
de vie d’un ordinateur non protégé, estimée par Lorna Hutcheson à 4 minutes
:
Je rejoins le point de vue de
Lorna Hutcheson. En revanche il est indispensable de poser quelques bases avant
de se lancer dans l’annonce de telles mesures alarmantes !
La quasi-totalité des
internautes particuliers utilisent des modems ADSL ou cable, qui font également
office de routeur. Ces équipements, souvent fournis par les opérateurs, sont
une première barrière aux différentes attaques puisqu’ils ne laissent -en
principe- passer que les connexions sortantes. Ainsi, de très nombreuses
attaques passent inaperçues pour l’internaute ayant un tel modem routeur.
Pour “visualiser” le niveau
réel constituant le trafic dangereux, il faut brancher directement son
ordinateur sur Internet, sans passer par un routeur. Dans ce cas, en moins de
4mn (mon “record personnel” d’infection est de 30 secondes sur un Windows 2000
non patché), si l’ordinateur est en frontal, ne possède aucun logiciel de
sécurité (pas de pare-feu, pas d’antivirus, pas d’antispyware) et a ses
partages réseaux actifs (comme c’est le cas sous Windows par défaut) il y a en
effet de très fortes chances que l’ordinateur se fasse infecter. Et le
phénomène est strictement identique avec un Mac, un Linux, un Windows ou autre
chose.
Encore faut-il que son routeur soit
sécurisé, ce qui n’est, bien évidemment, pas forcément le cas. Nicolas Ruff,
autre professionnel de la sécurité informatique (il travaille à EADS), et lui
aussi blogueur, avait ainsi enquêté pendant deux ans sur les
vulnérabilités des “box” ADSL.
La présentation qu’il avait préparé
pour l’édition 2005 du très sérieux Symposium sur la Sécurité des Systèmes
d’Information et de la Communication (SSTIC) avait ainsi été “annulée
pour des risques de représailles juridiques“, et reportée d’une année, le
temps de laisser les FAI corriger les failles de sécurité qu’il avait repéré.
Je ne sais si ce billet entraînera
une salve de commentaires similaire à celle du précédent billet. Je tiens juste
à préciser qu’il ne s’agit jamais que de rappeler à ceux qui ne le sauraient
pas que tout est piratable, et que tout un chacun est concerné.
La sécurité informatique est un
métier. Et, paradoxalement, le métier de nombreux professionnels de la sécurité
est précisément de tenter de trouver des failles de sécurité (afin de les
corriger, faut-il le préciser).
Ce qui ne doit nullement empêcher
les internautes d’apprendre les rudiments de la sécurité informatique, ce que
j’essayais précisément de de susciter dans mon précédent billet.
PS : Bruno a d’ailleurs
récemment remporté insomnihack, un concours de hacker suisse, cf le compte-rendu qu’il en
fait, et les reportages TV qui en ont fait état, et dont la photo tout en haut
est issue.
Imprimez ce billet,
envoyez-le par e-mail ou faites-le tourner sur les réseaux sociaux :
