PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Les USA et SWIFT : une non révélation qui fait la Une…

lundi 17 avril 2017 à 15:56

Impossible de passer à côté. Les Etats-Unis auraient hacké SWIFT. De quoi faire sursauter toute personne qui sait ce qu’est ce réseau. Pour ceux qui sont peu intéressés par les histoires bancaires, SWIFT est un réseau bancaire qui permet à une banque A d’envoyer un message à une banque B en lui disant : je débite le compte de mon client C de telle somme et je la porte au crédit de ton client D. Imaginez… Les Etats-Unis seraient au courant des transactions internationales interbancaires. Ca fout la trouille non ?

De quoi faire la Une de toute la presse.

Il y a juste deux ou trois trucs qui clochent.

Premier point, depuis le 11 septembre, les Etats-Unis ont fait en sorte de collecter tout ce qu’ils pouvaient auprès des infrastructures qui s’occupent de transferts de fonds. Cette information est connue depuis très longtemps. Et d’ailleurs, SWIFT l’explique sur son site. Demain, tout le monde s’étonnera de découvrir que les transactions par cartes (Visa, Mastercard, American Express, etc.) sont également pompées par les services américains…

Envoyer des bombes sur la tête des terroristes est une option militaire. Mais elle ne va évidemment pas sans une autre option : celle qui consiste à assécher les moyens de financement des opérations terroristes. Il faut donc conjuguer les bombes (et tous leurs dommages « collatéraux ») à une chasse aux comptes bancaires utilisés par les organisations terroristes. Les Etats-Unis ne se sont pas privés de cette action.

Il n’y a donc rien de neuf dans cette histoire. Mais cela semble mériter la Une. Allez comprendre…

Ensuite, il y a les vieux de la vieille, qui se marrent un coup… Vous m’excuserez cher lecteur, mais à ce stade, je dois passer à la première personne du singulier pour mon récit même si ce n’est pas très journalistiquement correct. En même temps, chez Reflets, on fait du journalisme gonzo, alors… Passer à la première personne du singulier me permet d’ajouter un peu de contexte.

Des banques pas si sécurisées que cela

Figurez-vous que si je me suis intéressé au monde des hackers vers 1993/1994, c’est que l’on découvrait un nouveau réseau, Internet. Et comme je travaillais sur les banques dans un journal financier très sérieux, je savais que leurs réseaux étaient particulièrement bien protégés. Je me demandais donc ce qui se passerait si elles ouvraient une porte sur un réseau public, comme cela commençait à arriver aux Etats-Unis. En France, il faudra attendre 1996/1997 pour que les banquiers abandonnent leur discours commun : « sur Internet ? Il n’y a que des pirates et des pédophiles, on n’a rien à faire là dessus« . Elles décident alors d’y aller sur le mode : « dites, vous, là, au service informatique, il nous faut un site Web en production dans 1 mois, débrouillez-vous avec une queue de budget s’il le faut« . Et les sites bancaires français ont commencé à apparaître sur le Web. Ils étaient faits n’importe comment (article du 03/04/2000) puisque les informaticiens ne connaissaient pas ces technologies, pas plus que les SSII avec lesquelles les banques travaillaient (article du 29/06/2001). Il a fallu quelques années pour que ça se stabilise et pour que ces sites deviennent autre chose que des plaquettes commerciales.

J’ai donc approché quelques groupes de hackers comme ADM, w00w00, Rhino9, L0pht, etc. Ils ont eu l’amabilité de répondre à mes questions techniques de béotien. Cela n’a pas fait de moi un hacker, je suis assez nul en technique et ne code pas. Mais cela a sans doute fait de moi un utilisateur très averti du réseau. Au delà de ça, le temps passant, tous ces hackers sont devenus des amis et nous avons beaucoup échangé. J’ai été pendant des années un observateur taiseux de leurs aventures. Cela m’a permis de comprendre quelques petites choses.

Premier point, les machines connectées à Internet sont généralement accessibles. Surtout pour ceux qui passent leur temps à trouver des failles (zero days) qui, par principe ne sont pas rendues publiques. Elles finissent par fuiter, mais c’est lent (relire mon article récent sur les attributions).

Deuxième point, il y a des hacks qui ne sont jamais racontés dans la presse. C’est très bien comme ça, mais pour ceux qui les connaissent, cela permet de relativiser ceux que l’on découvre dans les journaux.

A titre d’exemple, il y a très, très longtemps, une machine équipée de tous les outils nécessaires pour utiliser SWIFT et se trouvant sur un réseau bancaire a été p0wnée par quelques « informaticiens de talent ». Cela n’a pas fait la Une. Premier point, ils n’ont jamais revendiqué cette opération. Deuxième point, ils n’en ont rien fait. Le fait d’être arrivés là leur suffisait sans doute et ils n’avaient aucune intention de commettre une infraction une fois dans la machine. Plusieurs fois, j’ai même pu les voir réparer les failles et disparaître des machines qu’ils avaient hackées.

A l’époque, les banques étaient de grosses utilisatrices du réseau X25. Et les hackers, eux, étaient des passagers clandestins de ce réseau… C’était une autre époque où les groupes de hackers réunissaient des compétences variées (téléphonie, satellites, réseau, code, applicatif, etc.). Et cette époque m’a permis de relativiser ma certitude du fait que les réseaux des banques étaient très sécurisés.

Bref, accéder à SWIFT n’est pas une nouveauté. Avant les USA et leur volonté de tout traquer, des hackers le faisaient déjà.

Bullshit habituel

C’en est fini des paradis fiscaux… Nous allons traquer les auteurs d’évasion fiscale ! Combien de fois avons-nous entendu ce type de déclarations martiales ces dernières années ? Les récents leaks (LuxLeaks, Panama Papers pour ne citer que ceux-là) ont produit des effets sur les dirigeants politiques. Allez, finie la fraude fiscale…

Oui, sauf que non…

Elle se porte toujours bien. La seule réponse a été double :

Pourtant, et ce n’est pas une nouveauté non plus, il n’y a pas de système mieux notarisé que celui des banques. Pas une transaction qui ne soit archivée. Denis Robert s’est époumoné pendant des années à propos de Clearstream sur ce point. SWIFT est un autre notaire des transactions financières. En d’autres termes, si de l’argent est « transféré » dans un paradis fiscal, il y a une trace chez Clearstream, SWIFT, dans la banque de départ. Tracer et poursuivre les exilés fiscaux est probablement l’une des choses les plus aisées du monde pour un ou des gouvernements qui en auraient la volonté. Mais cela ne s’est jamais fait. A part, bien sûr, pour poursuivre les terroristes. Quand ils n’utilisent pas des réseaux intraçables. Allez comprendre…

On avait dit mollo sur le cyber

samedi 15 avril 2017 à 20:30

Les attaques informatiques — souvent désignées sous le terme de « cyberattaques » parce que c’est plus évocateur — donnent parfois lieu à des échanges musclés entre journalistes et gens de la technique. En général, c’est un spécimen de la première espèce qui ouvre le bal, en publiant un article intitulé :

<insérer un nom de pays ici> : des hackers russes soupçonnés d’une cyberattaque

Nous précisons que pour ne vexer personne, nous avons volontairement choisi un exemple tout à fait imaginaire, et que, selon la mode du moment, l’accusation portera sur une équipe de flibustiers chinois, nord-coréens, états-uniens, israéliens, etc. Conséquemment à la publication de l’article, il n’est par rare qu’un technicien (animal sceptique par nature et pas toujours très diplomate) rentre frontalement dans le chou du journaliste émette poliment quelque objection auprès de l’auteur. En cause, la fréquente absence d’éléments techniques probants qui permettraient de soutenir l’attribution d’une attaque à un acteur, ou à tout le moins le caractère contestable des informations produites. En effet, la plupart des articles s’appuient sur les déclarations « d’officiels » d’agences gouvernementales et autres « sources proches du dossier », ou encore sur les témoignages ou rapports « d’experts en cybersécurité » issus d’entreprises spécialisées qu’on imagine pas totalement désintéressées.

Dans ce dialogue de sourds, qui a tort ? Qui a raison ? Faut-il disqualifier d’emblée toute tentative allant dans ce sens parce qu’il s’agit d’un exercice difficile, sinon impossible ? Faut-il tenir compte uniquement des critères techniques ?

Comment fait-on d’habitude ?

Techniquement, l’attribution est effectuée grâce à différents éléments collectés sur le réseau et les équipements de la victime. Il s’agit notamment d’analyser les logiciels malveillants — les malwares — récupérés sur les machines infectées. Les organisations chargées de ces analyses sont assez variées, il peut s’agir des services informatiques de la société visée ou de services gouvernementaux spécialisés, comme l’ANSSI en France. Des sociétés privées (Crowdstrike, Crysys, ESET, FireEye, F-Secure, Kaspersky, Palo Alto Networks, Symantec, PwC, Securelist, SecureWorks, ThreatConnect, Trend Micro, etc.) sont souvent sollicitées car, outre leur expertise, leur nombre important de clients leur permet de constituer de conséquentes bases de données de malwares. Ces bases de connaissances leur procurent des facilités opérationnelles et, par conséquent, un important avantage commercial.

Les analystes étudient les malwares via différentes techniques d’ingénierie inverse (analyse statique, dynamique, désassemblage, décompilation) afin d’en comprendre le fonctionnement, mais aussi d’en extraire des éléments identifiants — des « signatures » — autorisant l’attribution. Ces éléments peuvent aussi être déterminés ou complétés à partir d’autres sources, comme l’analyse du trafic réseau ou des fichiers journaux des équipements de la victime, qui enregistrent certains événements.

Quelles sont-elles, ces signatures ? Il peut s’agir par exemple du type de vulnérabilités exploitées, de composants logiciels spécifiques, d’adresses IP, de protocoles ou des noms de domaines utilisés par les malwares pour se connecter aux serveurs utilisés pour exfiltrer les données, ou à leur infrastructure de contrôle (Command & Control, aussi nommée C&C ou C2), de mise à jour de code (payload servers) ou de phishing, de clés cryptographiques, etc. Ces informations sont ensuite comparées aux traces laissées par les filous lors de précédents abordages contre d’autres cibles et précieusement conservées dans les bases de données des analystes.

Hive, infrastructure de communication de la CIA – Wikileaks

Ils tiennent aussi compte d’autres données annexes, comme les plages horaires pendant lesquelles les malwares ont été compilés ou celles où leurs opérateurs sont actifs, les langages utilisés lors de leur construction, le format des fichiers de configuration, le styles de programmation des développeurs, et tout un tas d’autres « métadonnées ».

Preuves formelles et fausses bannières

Le problème est que, comme nous l’évoquions dans nos colonnes, aucun de ces éléments ne sauraient indépendamment constituer une preuve formelle. Les adresses IP et les noms de domaine peuvent changer, être réalloués à d’autres machines. Les serveurs utilisés sont souvent des relais, parfois eux-même piratés et utilisés à l’insu de leur propriétaires. Les vulnérabilités et malwares peuvent être disséminés puis « reconditionnés ». Quant à la donnée « horaires de bureau », sa fiabilité prête à sourire mais c’est pourtant un élément très souvent utilisé par les analystes… Peut-être à raison, cela dit, lorsqu’il s’agit d’attribuer une attaque à des feignasses de fonctionnaires un acteur gouvernemental.

Rapport « APT28 – At The Center of the Storm » – FireEye

Même les informations considérées comme « très identifiantes », comme les clés cryptographiques, ne le sont, si l’on regarde de plus près, pas tant que cela. Lors de son audition devant la commission au renseignement du Sénat US à propos du piratage du parti Démocrate — les « DNC hacks » qui ont tant défrayé la chronique, le chercheur en sécurité Thomas Rid déclarait :

Les opérateurs russes ont aussi réutilisé des clés de chiffrement sur plusieurs cibles, notamment contre l’artillerie ukrainienne (…), contre une organisation Démocrate à Washington, ainsi que dans au moins 75 implants retrouvées sur un nombre important de cibles dans le monde. Ce chevauchement cryptographique est un lien forensique particulièrement fort, comparable à une empreinte digitale.

Nous reviendrons plus tard sur cette affaire d’artillerie ukrainienne. Pour l’instant, allons fouiner dans les notes de bas de page du compte-rendu de cette audition fort intéressante pour découvrir quels sont ces liens « si forts », cette fameuse empreinte digitale numérique (pun intended).

Il s’agit donc de deux clés pour l’algorithme de chiffrement RC4 retrouvées dans le logiciel, « X-Agent », dont 46 octets sont identiques. Paf ! La preuve irréfutable. Oui mais non. D’abord, pourquoi ne changer que 4 octets ? Tant qu’à faire, autant changer la clé intégralement, le moindre téléphone portable génère suffisamment d’entropie pour cela en quelque secondes, maximum. Ensuite, figurez-vous que RC4 est un algorithme de chiffrement symétrique. Avec du chiffrement asymétrique, où seule la clé publique aurait été embarquée dans le malware, la clé privée étant détenue uniquement par l’opérateur, cela aurait été intéressant. Mais avec du chiffrement symétrique, c’est la même clé qui est utilisée pour le chiffrement et le déchiffrement. À partir du moment où le logiciel est disséminé, la clé cryptographique l’est aussi : elle ne permet plus d’identifier l’opérateur. Soit les zackers sont des billes, soit le choix d’algorithmes de chiffrement symétriques est effectué à dessein.

En effet, pour contrer les velléités d’identification, nos facétieuses fripouilles utilisent des briques logicielles librement accessibles sur Internet, voire y publient tout ou partie des logiciels qu’ils utilisent. L’objectif est, vous l’aurez compris, de brouiller les pistes et de laisser planer le doute sur l’origine de l’attaque. C’est ce que l’on appelle le « déni plausible », ou « plausible deniability ». De plus, une fois qu’un logiciel malveillant a été découvert par un acteur, on peut imaginer qu’il se fera une joie de le réutiliser à son profit, pour monter des opérations sous « fausse bannière » (false flag). Il est intéressant de noter que certains malwares sont en circulation depuis 20 ans. Enfin, nos filous incluent dans leurs outils des informations destinées à tromper les analystes, via l’obscurcissement de code (obfuscation), ou encore en incluant des mots dans une autre langue. Les récentes révélations de Wikileaks sur le Marble Framework de la CIA ont encore une fois confirmé ce type de pratiques.

À qui profite le cybercrime ?

Nous le voyons, si l’on en reste au strict niveau technique, l’attribution est une entreprise fort hasardeuse. Les éléments recueillis constituent un faisceau d’indices qui permettent de déterminer «sans trop de doute » ou avec un « bon niveau de confiance », pour reprendre des expressions souvent utilisées, l’identité du groupe de forbans à l’origine d’un abordage informatique. Paradoxalement, ce sont parfois les données apparemment les moins identifiantes qui peuvent en réalité s’avérer l’être le plus, dans la mesure où elles ont pu être laissées là par erreur par le développeur ou l’opérateur d’un malware, contrairement à une adresse IP, une vulnérabilité, ou un mot qui ne seront pas introduits au hasard dans un logiciel.

Une fois les éléments techniques rassemblés pour attribuer une ou plusieurs attaques à un groupe de canailles du cyberespace, encore faut-il déterminer qui se cache derrière, notamment quand on soupçonne que le groupe en question ait en main une lettre de marque paraphée par un acteur étatique. L’intention derrière l’attaque est complémentaire de l’identification de « qui » en a la capacité : il ne suffit pas de savoir qui s’encanaille, il faut aussi comprendre dans quel but. C’est là où, sans doute, une approche exclusivement technicienne de l’attribution atteint ses limites. Elle permet de déterminer le « comment » et éventuellement le « quoi », mais le processus d’attribution va plus loin, en cherchant à déterminer le « pourquoi » et le « qui ».

Lorsque l’ODNI (Office of the Director of National Intelligence) a publié, en janvier 2017, sa documentation sur l’ingérence russe dans l’élection américaine. Le document a été accueilli avec force couinements de commentateurs (dont ceux de votre serviteur). L’informatique était en effet aux abonnés absents, le « cyber » se résumant à quelques paragraphes noyés au milieu des « fake news», de la propagande de Sputnik ou RT, des trolls pro-Poutine sur les réseaux sociaux ou des accointances supposées de Julian Assange et de Wikileaks avec le pouvoir russe. En février, c’était au tour du DHS (Department of Homeland Security) de publier son rapport sur « GRIZZLY STEPPE » (le joli nom donné par le DHS aux groupes de boucaniers APT28 et APT29). Tout à fait frustrant pour techniciennes et techniciens, les rapports se bornant à donner des informations d’ores et déjà connues, parfois douteuses, et, dans le cas du DHS, des recommandations aux administrateurs de réseaux et systèmes.

Il n’en reste pas moins que les éléments de contexte, notamment ceux portant sur la capacité des attaquants et sur l’intentionnalité de l’attaque, sont déterminants dans le processus d’attribution. Si l’on se demande qui avait intérêt à faire fuiter les emails du Comité national démocrate (DNC) et pourquoi, qui avait la capacité de se maintenir sur ses serveurs et d’y opérer pendant plus d’un an, le gouvernement du gentil Vladounet (on dit Volodya, en russe) arrive en bonne place parmi les candidats. Les sociétés de sécurité privées et les services de renseignement font davantage que collecter des données brutes, ils leur donnent du contexte. Thomas Rid l’explique très bien dans son papier « Attributing Cyber Attacks » :

Ce process d’attribution n’est pas binaire, mais se mesure en degrés inégaux, il n’est pas en noir et blanc, en oui ou non, mais apparaît en nuances.

La plupart du temps, en cas d’attaque, les victimes n’auront que peu d’intérêt à mener à bien le long et coûteux processus d’attribution. Elles colmateront les brèches, feront l’inventaire des dégâts, répondront peut-être à leurs obligations juridiques et ignoreront le reste. Tout est affaire de rapport entre les dommages causés (ou potentiels) et l’investissement nécessaire à l’attribution. Dans le cas de l’élection américaine, cela ne fait guère de mystère : une intrusion dans le processus électoral appelait forcément une réponse politique, et donc une attribution publique. Le contexte alors est tout aussi important — et sans doute aussi plus compréhensible — que les éléments techniques, qui deviennent, malheureusement, relativement secondaires.

50 nuances de cyber

Il est intéressant de noter que la presse joue un rôle fondamental dans le processus d’attribution. En effet, elle est citée de manière presque systématique dans les rapports — en tout cas publics — produits par la communauté du renseignement ou les sociétés de sécurité. Elle est ainsi naturellement une cible lorsqu’il s’agit de rendre publique une attribution, mais elle fait également partie des sources — et donc oriente — les attributions futures.

Revenons à cette histoire d’artillerie ukrainienne, que nous mentionnions plus haut. La firme de sécurité Crowdstrike déclarait en effet que le malware « X-Agent » avait été retrouvé dans une application Android massivement utilisée par les artilleurs ukrainiens. Ce malware aurait, toujours d’après Crowdstrike, permis aux russes de géolocaliser les batteries de D-30 Howitzer pour faciliter la destruction de — excusez du peu — 80 % d’entre elles (ce chiffre provenant de l’International Institute for Strategic Studies). Le même malware, que Crowdstrike et d’autres firmes comme FireEye prétendaient à l’usage exclusif du groupe APT 28, avait aussi été retrouvé lors de l’analyse du piratage du DNC.

Le narratif de Crowdstrike était donc le suivant. Le malware avait servi à frapper l’Ukraine dans un conflit qui l’opposait à la Russie. Donc, il s’agissait d’un malware russe, plus précisément du GRU (le renseignement militaire). Le logiciel n’avait pas été disséminé, les agents du GRU étaient donc les seuls à l’exploiter (ce dernier point figure d’ailleurs dans les conclusions d’une autre société, FireEye). Le malware avait été utilisé pour le piratage du DNC. CQFD, emballé c’est pesé, voilà donc la démonstration faite que les forbans du GRU avaient pris part à l’abordage cybernétique contre le DNC.

L’information avait été reprise assez largement dans la presse, suite à une dépêche de Reuters (le truc à te faire verdir le Décodex : Motherboard, le Washington Post, le Guardian, CBS News,Forbes, Foreign Policy, le Telegraph, NBC News, Numerama, RTS, Le monde informatique, L’usine nouvelle, La Tribune, etc.) et sur les réseaux sociaux… Vous pensez bien, voilà du cyber qui explose avec des vrais cyber-morts et des bouts d’artilleurs éparpillés. La présence du logiciel « X-Agent » étant l’un des principaux éléments cités pour démontrer l’implication d’APT28 et donc du GRU, dans l’attaque contre les artilleurs ukrainiens et dans le piratage du DNC.

Début janvier, un autre chercheur en sécurité, Jeffrey Carr, mettait sabre au clair pour faire des confettis du rapport de Crowdstrike. D’abord, le logiciel « X-Agent » avait été disséminé, ce qui excluait son usage exclusif par APT28. L’application Android vérolée n’exploitait pas non plus le GPS des appareils, d’où une géolocalisation au doigt mouillé basée sur la position des antennes mobiles. En outre, on ne trouvait aucune preuve que cette application ait été installée par le moindre soldat ukrainien. Pour couronner le tout, l’IISS déclarait que le chiffre de 80 % de pertes cité par Crowstrike était tout à fait fantaisiste, et prenait officiellement ses distances. Le ministre de la Défense ukrainien se fendait quant à lui d’un démenti. Oups.

La théorie des artilleurs ukrainiens cyber-vaporisés vacille, et avec elle c’est la démonstration par Crowdstrike de la participation du GRU au piratage du DNC qui chancelle. C’est pourtant l’un des éléments-clés présentés lors de l’audition de Thomas Rid au Sénat américain. Et le moins que l’on puisse dire, c’est que la presse ne se bouscule pas pour mettre en perspective les allégations de Crowdstrike ou d’autres sociétés qui profitent de l’engouement médiatique pour la chose « cyber » pour faire du marketing et vendre leurs compétences (bien réelles).

Pas si élémentaire, mon cher Watson

Il n’en reste pas moins que, selon toute probabilité, le gouvernement russe est à l’origine des attaques contre le DNC. L’alignement stratégique, les méthodes employées et la concomitance des attaques avec une vaste opération de propagande désignent la Russie.

Nous voilà donc revenus à la question de départ, à savoir la pertinence des éléments techniques dans l’attribution des auteurs. On se rend compte de la complexité toujours croissante de naviguer cette mer. Faire l’impasse sur les aspects techniques de la chose est nocif. Ignorer le contexte dans lequel les attaques se produisent, les intentions des auteurs potentiels, les intérêts des différents acteurs impliqués dans l’attribution, la nature de la réponse de la victime et sa stratégie de communication le serait tout autant.

Finalement, si l’anecdote des artilleurs ukrainiens nous enseigne quelque chose, c’est qu’il conviendrait de s’inscrire dans le temps long quand il est question de l’attribution des « cyber-trucs ». Peut-être devrions nous, aussi, prêter l’oreille aux braillements des sceptiques qui nous suggèrent d’y aller mollo sur le cyber.

Elections, piège à c***

jeudi 13 avril 2017 à 11:03

Mes chers compatriotes… Hum… Dans une quinzaines de jours, vous serez appelés à élire votre président. Le chef, quoi. Chef absolu. Bien que présentée comme une démocratie, la patrie des droits de l’homme, la maman des lumières, la France constitue un sujet d’étude pour ce qui est de l’impunité des politiques et plus globalement, du système qui la gère, pour son plus grand profit. Oui, chef absolu… Car il peut décider d’envoyer nos troufions mourir où bon lui semble, pour une bonne ou une mauvaise raison. Même pour effacer les traces de ses propres compromissions avec un dictateur. Absolu parce qu’il peut faire à peu près ce que bon lui semble sans être jamais inquiété par le contre-pouvoir supposé qu’est le Parlement. Combien d’enquêtes parlementaires mettant en cause un président de la république ? Vous allez donc élire quelqu’un sur qui ne s’exercera aucun contre-pouvoir pendant cinq ans. Autant dire, comme Jacques Chirac ou Charles Pasqua (selon les légendes) en leur temps que les promesses n’engagent que ceux qui les écoutent. C’est à dire vous. Vous allez encore une fois, inexorablement croire tout ce que l’on vous promet (un avenir radieux, ou moins désagréable que votre présent. Et une fois encore, être déçus dans les mois qui suivront les élections. Et cette propension à croire (une fois qui s’apparente à celle des religions) est exacerbée par le fait que vous allez devoir choisir, comme souvent, le moins catastrophique de tous.

Pour ne retenir que ceux qui ont une chance d’être présents au deuxième tour, vous avez le choix entre :

File ton vote ou t’es contre la démocratie !

Oui, on vous demande de confier votre vote, de céder votre part de pouvoir à une personne qui est soit mise en examen, soit insulte les journalistes, soit en délicatesse avec le fisc. Et si vous annoncez que vous n’allez pas voter, il se trouvera mille commentateurs pour vous expliquer que c’est un droit gagné de haute lutte, le coeur de la démocratie, vous vous inscrivez donc dans le camp de ceux qui veulent miner ladite déocratie. CQFD.

Oui…

Mais non…

Le droit de vote ne consiste pas à voter pour voter, à voter pour le moins pire. Le droit de vote, c’est adhérer à des idées qui seront transformées en une réalité, c’est être représenté par quelqu’un qui respecte votre vote, c’est déléguer votre pouvoir à quelqu’un qui vous représentera et qui n’a en tête que le bien commun. Bon courage pour trouver la perle rare.

Emmanuel Macron veut une cyber-armée… C’est à dire ?

lundi 10 avril 2017 à 22:57

La période électorale est toujours un moment fructueux. Le nombre d’imbécilités débitées à la minute augmente à mesure que la date de l’élection approche. Nous entrons donc dans une période troublée durant laquelle le Littératron (c’est le moment de relire Robert Escarpit) va produire toutes sortes de choses hallucinantes visant à rallier Pierre, Paul, ET Jacques. Aujourd’hui, c’est Emmanuel Macron qui s’y est collé. Figurez-vous qu’il veut une cyber-armée, la « cyberdéfense et la cybersécurité » devant être les « priorités de notre sécurité nationale« . Sans faire appel au compte @traduisonsles, on peut tenter d’analyser ce tweet mémorable du candidat.

Premier point, la cyberdéfense et la cybersécurité deviendront les priorités de notre sécurité nationale. Cela signifie, sauf à parler une autre langue, qu’Emmanuel Macron investira plus de temps et d’argent dans ce domaine que dans le développement d’armes classiques ou de corps d’armée classiques. Il a donc plus peur des hackers russes du FBI nord-coréen que d’une invasion physique de notre territoire ou que, pour pousser plus loin, des actions terroristes de Daesh. Au siècle dernier, l’auteur de ces lignes énonçait peu ou prou la phrase suivante : « la cyber-guerre, ça fait des cyber-morts« . En gros, mieux vaut perdre un serveur qu’une vie. Rien n’a changé. A l’époque, c’était l’armée américaine qui voulait tout faire pour se protéger de la cyber-menace. Aujourd’hui, c’est Emmanuel Macron…

A chacun ses priorités…

Deuxième point, s’il veut une cyber-armée, il serait peut-être utile de définir ce que c’est. Et s’il en veut une, c’est que nous n’en avons pas ?

La cyber-guerre est un roman…

A quoi ressemble une cyber-guerre ? A rien. A quoi servirait une cyber-guerre sans invasion qui la suivrait ?

Ah… Mais, diront ceux qui font commerce de la peur, il se pourrait que cette cyber-guerre ait un but purement économique. Oui, c’est vrai. Et au siècle passé, également, l’auteur de ces lignes publiait un roman qui est encore probablement aujourd’hui, le seul manuel de cyber-terrorisme et de cyber-guerre qui pourrait marcher. Pour autant, il s’agissait d’un roman. Même s’il reposait sur une série de choses réelles et parfois non publiques, il est très improbable que l’organisation décrite dans ce roman puisse voir le jour. Il y a de nombreuses raisons qui expliquent cela. Monter une équipe ayant les moyens de déclencher une cyber-guerre efficace à l’échelle d’un pays, demande des moyens considérables, et surtout, la capacité à recruter des profils très différents. Ces personnes ont la particularité de très mal travailler en équipe lorsqu’elles sont « embauchées ». Il serait donc quasiment impossible de les faire travailler efficacement sur ce projet. Ne parlons pas de leur capacité à garder le secret.

Revenons à la cyber-armée… Elle serait composée de qui, combien de bataillons ? Qui feraient quoi ? Emmanuel Macron, il faudrait nous préciser ces détails.

Car son tweet laisse entendre que nous ne disposons pas de cyber-armée. Ce qui fera sans doute tiquer les gens de la DGSE, de l’ANSSI, de la DGSI, etc., etc.

Cela fera sans doute également sourire les entreprises comme l’ex-VUPEN (c’est un exemple parmi d’autres) qui fournissent des vecteurs d’attaque à des services gouvernementaux pour faire un peu ce que l’on reproche à la NSA ou la CIA ces temps-ci : attaquer des systèmes d’information, les pirater. Ce que réprime le code pénal. Mais c’est un détail.

File les codes !

La sortie sur la cyber-armée a été accompagnée d’une longue série d’inepties sur le numérique et le terrorisme.

Emmanuel Macron, pour résumer, voudrait que les entreprises qui utilisent de la cryptographie fournissent, sur demande, les clefs (lui dit les codes) permettant de déchiffrer les contenus. Qu’un terroriste utilise Telegram, Signal ou WhatsApp, peu importe, notre Emmanuel Macron national fera cracher les clefs (comment dans le cas de chiffrement de end-to-end ? Mystère).

Ce que ne dit pas Emmanuel Macron, c’est que dans sa société panoptique rêvée, il y a les citoyens lambda qui sont surveillés par les « boites noires », mises en place par le gouvernement auquel il participait il y a quelques mois, et les autres. Les autres, ce sont tous les politiques (et ils sont nombreux, de Fillon à Montebourg en passant par Macron) qui utilisent des machins comme Telegram ou WhatsApp pour échapper aux écoutes existantes dont ils connaissent visiblement l’étendue. Ce qu’il ne dit pas non plus, c’est qu’il est fort improbable que des juges s’intéressent aux contenus de leurs discussions chiffrées. Qui doivent pourtant être fascinantes.

Emmanuel Macron veut du panoptique pour les autres. Mais il n’est pas le seul. Les politiques, de gauche comme de droite, veulent étendre encore les pouvoirs des services en matière de surveillance. Et vous allez le voir, on est assez proche de franchir un cap que nous évoquions déjà lors du vote de la loi sur le renseignement.

Une orgie de métadonnées…

Nous avons sollicité en vain la députée Patricia Adam (PS), co-auteur d’un passionnant rapport relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2016, pour une interview.

Cette délégation, au nom des parlementaires, et donc des représentants supposés du peuple, se prononce pour quelques trucs anodins…

On trouve ainsi page 78 du rapport cette proposition visant à procéder à des interceptions en temps réel chez les opérateurs sous forme de (batchs) listes. Explication : les « boites noires », les Algorismes© de Bernard Cazeneuve, vont remonter tellement de suspects avec les signaux faibles repérés, qu’il sera impossible de traiter toutes les demandes d’interceptions en temps réels que cela impliquera. Il faudra donc passer d’autorisations individuelles d’interceptions à des « listes fournies par les services de renseignement« .

Les lecteurs réguliers de Reflets l’auront compris, ça va carburer dur du côté d’IOL.

Emmanuel Macron ou Patricia Adam ne le savent peut-être pas, mais l’infrastructure permettant de faire ce genre de choses existe déjà.

Paye ta classe B…

Nous nous étions émus lors de la publication de nos articles sur IOL de la présence d’une fonctionnalité. Dans un projet informatique de cette ampleur, il est rare que les donneurs d’ordre demandent une fonctionnalité pour ne pas l’utiliser. Dans IOL, donc, il y a la possibilité de mettre en place 32 000 règles (d’interception) simultanées chez un opérateur. Il y a surtout la possibilité de créer une règle qui visera une classe d’adresses de type B, soit 65 534 machines à la fois (donc, en mode « délire total » putatif, quelque 2 097 088 000 machines) . On n’est pas encore dans le systématique, mais on est clairement dans le massif. On est en tout cas très très loin de la pêche au harpon décrite par les services de renseignement et les gouvernements successifs, on a quitté les interceptions ciblées depuis longtemps.

Pour parfaire le tableau (démocratique) de la chose, le lecteur aura compris que ces interceptions (IOL) sont des interceptions administratives, c’est à dire des interceptions frappées du sceau secret-défense. Elles ne sont donc soumises à aucun contrôle. Ah… Si, celui de la CNCTR.

Nous allons donc faire un petit a parte pour les tenants du contrôle démocratique de la CNCTR, car le rapport de Mme la députée donne quelques chiffres qu’il faut entourer d’un contexte… Selon le rapport parlementaire, la CNCTR a été saisie en 2015-2016 de 66 000 demandes d’autorisations pour des interceptions.

la CNCTR a rendu 1332 avis défavorables. Parmi les 66 000 demandes, 48 000 sont constituées par des demandes d’accès aux connexions en temps différé. En fait, il s’agit là essentiellement de demandes préparatoires visant à obtenir les coordonnées précises de telle ou telle personne suspectée ; les demandes visant à la récupération des données de connexion stricto sensu sont au nombre de 15 200. Enfin, sur les 18 000 demandes restantes, les interceptions de sécurité représentent environ 8 500 demandes (principalement fondées sur la finalité de la prévention du terrorisme), la géolocalisation environ 2 100 demandes et les autres techniques de renseignement environ 7 400 demandes.

Maintenant quelques opérations pour donner un contexte… La CNCTR a donc fourni, si l’on fait une moyenne, quelque 181 autorisations par jour (elle a 24 heures pour répondre – 72h dans les cas complexes). Pour ce faire, elle dispose de 15 agents et des excellents outils mis à disposition par le GIEC (le même qui supervise IOL). En d’autres termes, et toujours en moyenne, 1 fonctionnaire autorise chaque jour douze interceptions. Un contrôle très pointilleux. Surtout s’il s’agit d’une classe B…

Il lui faut quoi de plus à Emmanuel Macron ?

Fillon veut porter plainte : ça va chauffer

vendredi 7 avril 2017 à 18:49

C’est dit : lorsque le rush de la campagne présidentielle sera passé (faut pas pousser), François Fillon va porter plainte contre ceux qui ont sali son honneur avec toutes ces allégations forcément fausses. On ne sait pas si ce sera pour diffamation (la 17ème va s’amuser) ou pour autre chose, mais ça va venir, parole de Fillon (pour ce qu’elle vaut). François Fillon a affirmé avoir les noms de ceux qui ont, selon lui, porté des documents provenant de services de l’Etat au Canard Enchaîné.

Au Canard, on rigole. Comme souvent. Le rédacteur en chef du journal confirme à Reflets.info n’avoir reçu aucun « papier bleu » au courrier (annonce d’une plainte) depuis le début de l’affaire Fillon, ni même de droit de réponse de l’intéressé. « Nous répondrons dans le prochain numéro » , explique Louis-Marie Horeau. Vivement mardi soir…