14 mai 2017

Attaque informatique mondiale: Merci la NSA!

Depuis vendredi, tous les services informatiques de la planète sont en alerte rouge. La faute à "WannaCry", un programme informatique qui infecte tous les ordinateurs mal protégés d'un réseau informatique. Mais pas seulement.

WannaCry est un ransomware, un rançongiciel selon le dernier néologisme à la mode. Le fonctionnement du programme est redoutable: il s'installe sur un ordinateur grâce à une faille de Windows et encrypte systématiquement les fichiers qu'il trouve. L'utilisateur ne peut plus lire ses propres données. Tout ce qu'il peut faire est de payer une rançon sous forme de Bitcoins (donc impossible à tracer) à une mystérieuse adresse pour espérer retirer le chiffrement...

wannacry_05.png
La sympathique page d'accueil de WannaCry
(cliquez pour agrandir)

Le mode de fonctionnement, particulièrement vicieux, repose sur le sentiment de panique de la victime. L'utilisateur n'a droit qu'à un temps limité de trois jours pour payer 300 dollars, après quoi la somme passe à 600, et au bout d'une semaine le logiciel annonce qu'il ne permet plus de déchiffrer les fichiers qu'il a encrypté.

Bien entendu, rien ne prouve que la libération surviendra en cas de paiement. Il faudrait le témoignage de victimes cédant au chantage, mais peu s'en vanteront.

Tous les ordinateurs ne sont pas touchés - seulement ceux qui n'ont pas appliqué le patch 4013389 de Microsoft, rendu public le 14 mars de cette année. Compte tenu de la quantité gigantesque de machines en circulation tournant sous différentes versions de Windows, il n'y avait aucun doute que certaines succomberaient.

Depuis vendredi donc, les médias se font l'écho des diverses entreprises et organisations affectées: Renault, le National Health Service britannique, le ministère de l'Intérieur russe, la Deutsche Bahn, FedEx, Vodafone... L'informatique étant omniprésente dans les entreprises, il s'en faut de peu pour que le virus ne se répande comme un feu de brousse. Le New York Times montre une carte de la progression géométrique du problème. Après l'offensive de vendredi, un nouveau flot d'infection est à prévoir lundi matin avec le retour au travail de millions de personnes rallumant leur ordinateur après le week-end.

Si le mode de fonctionnement de WannaCry est relativement classique, l'attaque frappe par son ampleur, elle-même permise par la faille de sécurité de Windows. L'affaire prend alors un tour plus politique. Citant la page Wikipédia de WannaCry - fréquemment mise à jour ces derniers temps - le visiteur aura un léger aperçu du pot-aux-roses:

[WannaCry] tire parti d’une faille de sécurité informatique utilisée par la NSA, « EternalBlue », dont l’existence a été révélée mi-avril 2017 par les groupes de hackers appelés The Shadow Brokers et Equation Group. EternalBlue exploite la vulnérabilité « MS17-010 » dans le protocole Server Message Block dans sa version 1. Microsoft avait publié une mise à jour pour corriger cette vulnérabilité un mois avant, le 14 mars 2017.


Il reste quelques points à connecter. Les méchants groupes de hackers ont pu révéler la faille de sécurité informatique EternalBlue utilisée par la NSA grâce à Wikileaks, révélant en mars de cette année l'archive Vault 7 témoignant du fonctionnement des services de renseignement américains pour espionner leurs concitoyens et le monde entier. Le sujet avait été évoqué ici.

Reprenons donc dans l'ordre chronologique:

  1. Une faiblesse apparemment assez ancienne dans une version de Microsoft Windows permet d'installer des programmes par une "porte dérobée".
  2. Repéré par les services de renseignement américains, le bug ne va surtout pas être annoncé à Microsoft, mais sera au contraire exploité à travers tout un panel d'outils comme EternalBlue pour installer des logiciels espions.
  3. Un individu, vraisemblablement un lanceur d'alerte interne à la NSA, contacte Wikileaks avec une manne d'informations volées quant aux méthodes, logiciels et même au code utilisé par la NSA. L'archive est révélée le 7 mars. On ne sait pas depuis combien de temps Wikileaks dispose de l'archive, certaines sources évoquent la date du 16 février, il est donc possible que des groupes en aient disposé plus tôt.
  4. Bien que relativement peu couverte par les médias, l'information est soigneusement disséquée par divers acteurs aux intérêts divergents: défenseurs de la vie privée, services secrets de divers pays, éditeurs de logiciels, et bien sûr hackers.
  5. Le 14 mars, soit une semaine plus tard, Microsoft publie un correctif permettant de fermer la porte dérobée. Reste à l'installer sur tous les ordinateurs du monde fonctionnant sous Windows...
  6. Le 12 mai, un groupe de hackers lance le logiciel WannaCry qui se duplique sur les réseaux informatiques en profitant de la faille sur les ordinateurs non mis à jour.

La NSA a donc un rôle clé dans la catastrophe que représente WannaCry. En décelant une faiblesse de Windows mais en cherchant à la cacher pour s'en servir, elle a laissé vulnérable des millions de serveurs de par le monde. Le cas n'est pas aussi grave que les portes dérobées délibérément réclamées par la CIA auprès des producteurs de smartphones, mais relève clairement du même état d'esprit: surtout ne pas chercher à rendre l'informatique mondiale plus sûre, mais à profiter des failles. Seulement, une porte dérobée peut laisser entrer n'importe qui, et il arrive toujours un moment où cela se produit...

Des millions de gens viennent de comprendre l'importance critique de disposer de systèmes informatiques protégés et fiables, et que cette priorité l'emporte même sur la lutte contre le terrorisme invoquée par les services de renseignement américains. L'expérience est douloureuse mais nécessaire ; que ceux qui rejettent la leçon installent directement WannaCry sur leur ordinateur, pour voir!

Un adage des débuts d'Internet affirmait avec humour: "L'erreur est humaine. Mais pour une vraie catastrophe, il faut un ordinateur." On sait désormais que pour une catastrophe de classe mondiale, il faut aussi des services secrets irresponsables. Peut-être que cette affaire amènera certains individus à écouter un peu plus les alertes lancées depuis des années par Edward Snowden.

11 avril 2016

Panama Papers, pourquoi et comment

"Tous les commentaires sur les Panama Papers publiés avant de savoir qui est derrière ces informations n'ont que peu d'importance. Quelqu'un manipule des journalistes. Qui et pourquoi, dans quel intérêt ?" demande un commentateur soupçonneux.

Nous avons désormais les réponses à ces questions.

Les vraies-fausses théories du complot

La fuite des Panama Papers avait à peine reçu son nom que déjà des affrontements avaient lieu sur Internet pour faire porter le chapeau à tel ou tel protagoniste du grand jeu géopolitique.

chapeau_panama.jpg
Panama, le chapeau.

Certains pointèrent donc du doigt la CIA, d'autres Poutine, Israël, George Soros, et probablement une demi-douzaine d'autres commanditaires possibles, bien entendu sans la moindre preuve. Ne restaient que des justifications de "plausibilité" derrière chaque accusation.

Il est clair que de nombreux groupes auraient eu leurs raisons de faire jaillir le scandale des Panama Papers, soit comme une démonstration de force de la supériorité de leur services de renseignement (nous y reviendrons) soit pour semer le trouble dans le camp supposé "adverse", sachant que le scandale ratisse tout de même assez large.

Le site Slate.fr se donna la peine dans un article de relever les théories les plus saillantes du moment, mais aussi d'éclairer un aspect dérangeant du dossier, le petit nombre de clients américains repérés dans la fuite, principal argument invoqué par ceux qui impliquent la responsabilité des services secrets de l'Oncle Sam.

Puisque nous parlons de plausibilité, la relative absence de clients américains de Mossack Fonseca s'explique fort simplement par l'histoire des relations houleuses entre les deux pays:

Ni la dictature militaire qui sévit dans le pays jusqu’à 1989, ni son invasion par l’armée américaine à partir de cette date ne faisaient du Panama un environnement de confidentialité et de bienveillance pour de potentiels évadés fiscaux américains... Plus tard, un accord commercial passé en 2010 entre les deux pays a réduit à néant les possibilités pour les contribuables nord-américains de cacher de l’argent au Panama en toute sécurité. Une clause de l’accord prévoyait un échange bilatéral de toutes les informations détenues par les banques et autres institutions financières sur les citoyens des deux pays.


Le Panama était un paradis fiscal pour le monde entier, sauf les Américains. Rien d'étonnant alors à ce que la fuite de données d'un gros cabinet d'avocat du pays n'en contienne qu'une poignée. Comme pour le reste des noms cités, on ne sait d'ailleurs pas si quoi que ce soit d'illégal a été commis.

Mais évidemment, savoir que les Etats-Unis ne sont pas concernés ne fera que confirmer les soupçons de ceux qui y voient leur main dans cette fuite, puisqu'ils n'auraient "rien à y perdre". Pourquoi ces gens pensent que les services secrets américains chercheraient à épargner leurs propres ressortissants coupables d'évasion fiscale, mystère!

Mais pour y voir plus clair, passons donc aux méthodes employées pour piller les données...

Services secrets ou amateurisme total?

Dans mon précédent billet sur le thème, je pointais du doigt la "vulnérabilité" à long terme d'une stratégie de secret des affaires face à une informatisation toujours plus poussée.

Je pêchais par excès d'optimisme.

Il semble que le cabinet Mossack Fonseca se soit rendu coupable d'une incompétence sans limite en matière de sécurité informatique. Le site reflets.info parle d'une "incroyable bourde" mais les journalistes font œuvre de charité en employant ce terme. A ce qu'il semble, toutes les données de Mossack Fonseca étaient disponibles sur Internet à travers des sites web mal configurés, mal sécurisés, voire pas sécurisés du tout!

Un exemple valant des milliers de mots, voilà un fichier de configuration de Mossack Fonseca permettant d'accéder à une base de données du cabinet d'avocat:

mossack_fonseca_security.png

Même sans travailler dans le domaine de la sécurité informatique, il semblera relativement évident à tout internaute qu'utiliser le même nom pour l'utilisateur, le mot de passe et la base de données à laquelle il est sensé se connecter, le tout visible sur Internet, ne pouvait conduire qu'à la catastrophe. Si vous vous connectez sur le site du Crédit Suisse avec le nom d'utilisateur "CreditSuisse" et le mot de passe "CreditSuisse", ne venez pas jouer les surpris si vous découvrez un matin que votre compte a été vidé.

Il faut également rappeler que ces découvertes faites par des internautes curieux ont été faites après la révélation des Panama Papers. Les serveurs web de Mossack Fonseca, et à vrai dire toute leur infrastructure informatique, semblent toujours aussi mal sécurisés une semaine après les faits.

"N'attribuez pas à la malice ce qui s'explique amplement par la stupidité", dit l'adage, et nous en avons un nouvel exemple. Pas besoin d'imaginer l'implication de services secrets exotiques pour piller des données tellement mal protégées que virtuellement n'importe qui pouvait y avoir accès. Même pas besoin d'un espion dans les murs!

La fuite aurait pu avoir lieu n'importe quand - certains logiciels n'étaient plus mis à jour depuis trois ans. Le plus long pour le "lanceur d'alerte" aura sans doute été de pomper toutes ces données pour les copier sur un autre support. On comprend d'autant mieux qu'il n'ait pas souhaité de rétribution pour son "acte courageux": il n'avait aucun mérite. Il n'a non seulement pris aucun risque, mais le premier informaticien venu aurait probablement été en mesure de faire pareil.

A ce stade, on peut même débattre du statut juridique de données volées pour les Panama Papers.

Quand l'intendance ne suit pas

Les Panama Papers jettent une lumière crue sur le niveau de compétence informatique de certaines entreprises qui ont pignon sur rue. Même les règles les plus basiques de la sécurité sont absentes, et il faudrait être bien naïf pour penser que Mossack Fonseca est l'exception qui confirme la règle.

La situation prêterait à sourire si elle ne concernait pas les données privées de milliers de personnes et jusqu'à la réputation de secret des affaires qu'essaye de se donner le Panama. Les lois sur les trusts et la coopération financière ne valent pas un clou sans sécurité informatique.

La force d'une chaîne se mesure à son maillon le plus faible, ici, le site web d'un cabinet d'avocat panaméen. Cela relativise grandement les efforts de sécurisation entrepris par les banques. Sans même parler du fond, tout le concept de sécurité informatique est à revoir.

Il n'y a probablement pas plus de complot que de services secrets derrière les Panama Papers - il n'y en a pas besoin. Juste de l'incompétence. Beaucoup d'incompétence. Pas certain malheureusement que cela suffise à étancher la soif de complot d'une partie du public ; la vérité est parfois tellement médiocre qu'il vaut mieux rêver de romans d'espionnage.