Les équipes de sécurité informatique de En Marche à la recherche d’une SQL injection
Nous l’avons vu ces derniers jours les équipes de En Marche, le parti d’Emmanuel Macron, sont en mode opération de communication maximale à propos des méchants hackers russes qui tentent de pirater le site en-marche.fr. Mais rassurons-nous, pas une seule opération de phishing. Juste des injections SQL, des DDoS et des fake news (c’est hype).
Nous avons appris par les équipes de En Marche que le parti s’est doté de pas moins de six experts en sécurité informatique, ainsi qu’un ancien patron du CNNum.
Pour parfaire son « infrastructure sécurisée » l’équipe de campagne a passé un coup de carte bancaire chez CloudFlare, et un autre apparemment chez Google. Vie privée et souveraineté numérique ne sont pas de vains mots.
Ceci dit, cette fine équipe aura sans doute demandé à Emmanuel Macron s’il avait des comptes sur des plateformes dont il est notoire qu’elles ont été piratées, et que des crédentiels ont leaké.
Cela aura été utile car, comme nous l’a fait remarquer un lecteur, Emmanuel Macron disposait d’un compte Dropbox qui a fuité.
Haz he been pwned?
Le mot de passe fait partie de la moitié des comptes Dropbox fuités hachés grâce à SHA-1 et à un sel. Pas à l’abri d’une attaque en dictionnaire voire en bruteforce, donc. Gageons que ses 6 responsables en sécurité lui auront conseillé de ne pas le réutiliser…
On imagine aisément combien son mot de passe pourrait être intéressant dans le cadre d’une opération de déstabilisation un peu sophistiquée du nouveau messie de la politique française.
A sa décharge, on peut citer quelques parlementaires qui utilisaient eux aussi la plateforme américaine.
En attendant, 8 jours après le signalement initial, la plantureuse équipe d’experts en sécurité informatique n’a toujours pas trouvé comment mettre à jour son WordPress.
Attention Mesdames et Messieurs, voici venu le moment tant attendu, l’affrontement final, le clash des titans de la démocratie et de la politique avec un grand P ! A ma droite, François Fillon et son « coup d’Etat institutionnel« . A ma droite (l’autre droite), Emmanuel Macron et les hackers russes qui veulent détruire sa campagne.
Passé un peu inaperçu cette semaine dans le Canard Enchaîné pour cause de #FillonGate/#PenelopeGate, un petit article racontait comment le site « En Marche ! » d’Emmanuel Macron était la cible d’attaques quotidiennes et comment tout le monde craignait que les Russes n’essayent de déstabiliser le candidat. Cette histoire est reprise par le Journal du Dimanche sur le Web, le 12 février, avec de nombreux détails. Ce que dit l’équipe de Macron à ce sujet et ce que rapportent les journalistes de cette histoire (lire ici l’article sur l’Obs) met en lumière leur niveau en sécurité informatique. Et avouons-le, cela fait un peu peur.
Florilège:
« plusieurs centaines d’attaques quotidiennes visant notre base de données et nos boîtes mail, mais aussi notre réputation »
« Ce que confirme un responsable du renseignement : « Leur site Internet est attaqué en permanence » ».
« Une demi-douzaine de responsables de la sécurité informatique d’En marche! a ainsi rendu visite, fin janvier, à l’Agence nationale de la sécurité des systèmes d’information (Anssi) pour faire part de ses inquiétudes ».
« le mouvement de Macron, dont l’équipe informatique est considérée comme « très compétente » par les spécialistes en cyberdéfense ».
« Fin janvier, le candidat s’est adjoint les services de Mounir Mahjoubi, ancien président du Conseil national du numérique. Il fait le point chaque semaine avec lui, en particulier sur ces offensives ».
« Nous appliquons les meilleures pratiques, assure Mounir Mahjoubi. Le serveur de notre site n’est pas lié au réseau interne, aux bases de données ni aux mails ».
« Je dis que il y a ça d’un côté et il y a des centaines, voire des milliers, d’attaques sur notre système numérique, sur notre base de données, sur nos sites. Et comme par hasard cela vient des frontières russes »
Ces déclarations sont à peu près aussi catastrophiques que les explications de François Fillon sur les emplois fictifs de sa femme. Bien entendu elles n’ont pas les mêmes répercussions. Car seuls les gens ayant une culture informatique peuvent le voir. Mais il y aurait de quoi classer l’Obs et le JDD dans la rubrique orange du Décodex…
Prenons ces déclarations dans l’ordre…
Des centaines d’attaques par jour ? Comme tous les sites Web, y compris Reflets.info. L’eau ça mouille.
Nous sommes heureux de constater qu’un service de renseignement puisse confirmer que le feu, ça brûle.
Six responsables de la sécurité informatique chez « En Marche ! » ? Il a les moyens Emmanuel… Et l’ANSSI ne leur a rien dit sur leur version de WordPress ?
Qui sont les experts en cyberdéfense qui pensent que l’équipe informatique de Macron est très compétente, quels sont leurs réseaux ?
Embaucher l’ancien patron du CNNum, c’est un gage de réussite. Les hackers russes n’ont qu’à bien se tenir.
Mounir Mahjoubi indique que les bases de données et les mails ne sont pas attaquables via le site Web. Quelqu’un pour lui acheter des cyber-lunettes digitales pas cryptées ? D’ailleurs la première déclaration de la liste dit le contraire.
Le 7 février, nous indiquions que la version de WordPress du site En Marche, comme celle du site de François Fillon était complètement trouée. Depuis, les choses ne changent pas puisque, ce lundi 13 février, la version reste la même sur le site d’Emmanuel Macron, en dépit des centaines d’attaques quotidiennes. Dans un commentaire, un lecteur se demandait ce qu’un pirate pourrait bien récupérer sur un site Web de ce genre. La liste des adhérents ? La liste des donateurs ? Le tout avec une tripotée de données personnelles ?
Notez que le code pénal est assez clair en son article 226-17 : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »
En même temps, ce n’est pas comme si En Marche n’était pas pourvu de 6 responsables de la sécurité informatique…
Certains anti-Decodex y vont un peu fort, c’est vrai. Avec peut-être des idées derrière la tête pour une partie d’entre eux. Mais quand même, c’est drôle, non ?
Le principe du fact-checking est simple, voire simpliste : vous prenez les informations (des autres publications, c’est plus simple et votre actionnaire ne vous en voudra pas), et vous vérifiez « par les faits », les affirmations qui y sont contenues. Une déclaration chiffrée d’un responsable politique, par exemple, est soumise à la sagacité des journalistes fact-checkers qui la mettent en abîme avec une statistique officielle. De la même manière, des montants financiers, des dates, des noms, des lieux, des estimations peuvent être passés au crible de la vérification « factuelle ».
Ce procédé, qui en réalité, est l’une des compétences normales du journaliste, se retrouve donc — par la grâce des spécialistes en « augmentation » du journalisme — mis en avant comme une nouveauté incontournable, une sorte de hochet scientifique de la sphère médiatique lui redonnant un sérieux et une crédibilité quelque peu dégradés. Un peu comme si un spécialiste en sécurité des réseaux annonçait qu’il se spécialisait dans la publication de rapports sur les failles informatiques permettant de pénétrer les SI dont il a la responsabilité. Son employeur lui répondrait sans doute : « On est content d’apprendre que tu fais ton travail, de là ce que tu nous vendes ta seconde compétence comme une spécialité distincte, qui amènerait un « plus » indéniable, c’est un peu gonflé, Coco« .
Mais la comparaison s’arrête là, puisque le fact-checking journalistique a ses limites, et ceux qui en ont fait leur niche ne semblent pas toujours s’en rendre compte. L’une de ces limites est l’impossibilité, sur certains sujets, de vérifier toutes les données « concrètes », alors que des enquêtes, des documents, peuvent pourtant laisser entendre une réalité en cours très établie, mais « non-factuelle ».
Le factuel est binaire : soit les faits sont là, soit ils n’y sont pas. L’affaire IOL (lire nos articles à ce sujet) est parfaitement révélatrice de la limite de ce procédé du vrai-faux : Reflets a des documents qui indiquent l’achat par le gouvernement français d’un système de surveillance sur le territoire national depuis 2009, confirmé par des sources très bien placées et une loi qui vient enfoncer le clou. Mais il n’est pas [encore] possible de vérifier factuellement le niveau d’activité d’IOL, quelle taille le dispositif a atteint, etc. Ce qui est certain, par contre, c’est qu’IOL est dimensionné — sur le papier gouvernemental, ce qui n’est pas rien — pour permettre l’interception des communications Internet de n’importe lequel des millions d’internautes français. Au passage, une question au gouvernement a été posée au sujet… d’IOL (relayée par nos confrères de NextInpact, merci à eux). Des fact-checkers ont pourtant traité ce sujet, et ont conclu, par la « vérification des faits », qu’il n’y a avait pas de surveillance « de masse » en France (coucou @manhack).
Dans le cas des révélations Snowden, de la même manière, aucun fait établi et factuel des systèmes d’écoute globale de la NSA n’existe, personne n’a jamais vu un seul logiciel, ni lu un seul log des super-softs de surveillance américains : tout est sur le papier. Dans ces deux cas, en réalité on ne fact-check pas : il n’ y a pas de faits. On estime — parce que des documents officiels ont été publiés, des sources croisées, des copies d’écran analysées — que ces outils sont réels. Mais personne n’a jamais pu vérifier la réalité factuelle des sondes réseaux placées sur des points stratégiques du réseau mondial, ni testé XKeyCore ou PRISM. Que devraient faire les fact-checkers dans ces cas là, normalement ? Déclarer la surveillance mondiale de la NSA comme un « fake » ?
Ce que nous croyons et pensons est-il condamnable ou négociable ?
Un journaliste est un individu qui a des croyances, qui pense le monde avec des jugements, a une histoire, un bagage culturel et intellectuel unique, comme chacune des personnes qui constituent une société. Il ne peut se départir de ces attributs, et s’il le devait, en réalité, il devrait être remplacé par une « intelligence artificielle », un logiciel. Cette subjectivité, parfaitement humaine et nécessaire (puisqu’elle permet d’avoir du jugement), permet aux journalistes [qui ont refusé de fabriquer de l’information industrielle, ou ont réussi à obtenir le droit de ne pas jouer aux petits soldats de l’information préfabriquée, rapide et simpliste] de décrire, analyser des événements, des réalités, des phénomènes de manières différentes.
C’est ainsi que nous avons une presse d’opinion française (en réalité bien moins qu’aux États-Unis, par exemple), qui assume son engagement, et une autre, dite « mainstream », qui tente de se tenir à distance de ses contenus de publications, prétendant être « neutre » ou « objective ». Ce qui est parfaitement faux. La presse désireuse d’être classée comme « objective » ou « neutre » est en réalité une presse qui publie des contenus « orientés », comme toute la presse. Elle est à la fois détenue par des industriels tous proches des institutions de l’État de par leurs activités, mais aussi subventionnée par l’État, tout en étant tributaire de la publicité et… de l’engagement idéologique de ses journalistes.
La neutralité revendiquée n’est donc rien d’autre qu’une façade commerciale censée rassurer les lecteurs en leur laissant croire qu’aucune influence ou idéologie n’est susceptible d’orienter leur publication préférée. Il va sans dire que vérifier cette fausse objectivité neutre est très simple. Le premier lecteur à trouver plusieurs articles du Monde critiquant fortement les institutions européennes, ou mettant en cause fortement les engagements militaires et diplomatiques français à l’étranger, gagnera d’ailleurs un abonnement d’un an à Reflets (bientôt ça vaudra cher).
Explications : Selon le monde, donc, plusieurs critères permettent de juger de la fiabilité d’un site (Décodex : comment juger de la fiabilité d’un site ?). Le premier est la consultation de la page « à propos » du site. Cela permettrait de mieux savoir si les gens du site sont sérieux. Ah. Ok.
Le factuel et les opinions : qui a décidé qu’un article factuel était un article obligatoirement de qualité versus un article d’opinion qui serait « louche » ou mensonger ? Ah oui, l’important c’est de les distinguer. Il faut dire au lecteur : « attention lecteur, ceci est un article d’opinion ». On ne sait jamais, le lecteur il pourrait confondre un papier documenté d’enquête avec une tribune politique, sur Reflets. Quant à « l’ouverture aux personnes mises en cause », en général, elles ne souhaitent pas nous répondre. Nos aventures avec Fleur Pellerin en témoignent (toujours invitée en radio, elle n’a jamais répondu). Mais sur plein d’autres sujets, la réalité est qu’un article d’opinion n’a pas nécessairement besoin — pour devenir fiable ou crédible — de faire parler les gens qui pourraient être concernés par ladite opinion. Le droit de réponse existe dans la presse, et n’importe qui peut — s’il est concerné par une tribune — demander ce droit de réponse. Il sera toujours publié. C’est là, la vraie règle. On l’a vu avec Frédéric Bardeaux sur Reflets. Ça a même fini dans un studio de radio (oui, France Culture, toujours).
Et donc, en conclusion de toutes ces petites « aides au jugement » sur la fiabilité ou non des sites d’information, arrive le fameux outil Décodex, ce petit moteur de recherche (qui contient au moins 600 sites d’info, mais pas encore Reflets, ni plein d’autres pure players comme NextInpact) qui vous dit si un site est vert, orange, gris, bleu ou rouge, avec bien entendu un texte consensuel sur le fait que même en vert, il faut aller vérifier l’info sur d’autres sites, etc, etc. Pour la couleur bleue, c’est plutôt bien pour toutes les Christine Boutin de France et de Navarre, qui pourront découvrir que Le Gorafi est un site satirique de fausse information… Pour le reste…
Automatiser le jugement et orienter les choix : Le Monde s’habille en Pravda
Valeurs actuelles — le journal qui vend des morceaux de Marine Le Pen et de Laurent Wauquiez — était en vert au début, et puis là aussi, Twitter a crié au scandale, alors ils sont en orange maintenant, chez Valeurs (c’est dur quand même). On est peu de chose entre les pattes de Décodex…
On raconte que, dissimulée dans les profondeurs abyssales d’Internet, se trouverait une légendaire cité, un lieu hors l’Espace et le Temps et donc accessible uniquement aux pratiquants de la magie noire heureux possesseurs d’un ordinateur quantique. Il s’agirait d’un obscur territoire, contrôlé par un gouvernement et théâtre de ses noires machinations (sinon c’est pas drôle) : le Marianas Web.
Bien évidemment c’est du flan, mais blagounette ou conspirationnite aigüe, on voit de temps en temps resurgir cette « information » qui provoque à coup sûr l’hilarité sur les réseaux sociaux. Ce Marianas Web est l’excroissance la plus caricaturale d’une théorie malheureusement fort populaire, celle d’un Web (ou d’un Internet, tout ça est assez confus) scindé en différentes zones.
Entre le « Web surfacique » (propre et légal) et, notez l’emploi de la majuscule, le « Darknet » (terrain de jeu des débauchés), se trouverait une zone grise, le « Deep Web », contenant quant à lui les trucs potentiellement suspects mais dont on est pas certain qu’ils sont vraiment sales. À peu près.
Un plouf dans le Deep Web
Le « Deep Web » désigne, selon ceux qui l’utilisent, tous les contenus Web qui ne sont pas indexés par les moteurs de recherche. On laisse ainsi entendre, que si ce n’est pas indexé, c’est caché, et si c’est caché, c’est que ça doit être pas joli-joli.
Or les moteurs de recherche, s’ils ont beaucoup évolué, ne sont pas omnipotents. De plus, il existe une flopée de raisons pour que des contenus Web ne soient pas indexés. Les pages sans liens entrants échappent aux robots d’indexation, certains formats de contenus sont ignorés par les moteurs de recherche, d’autres sont exclus ou dépréciés par les moteurs eux-même ou à la demande des éditeurs de sites (coucou, robots.txt), des données sont accessibles uniquement via une saisie de formulaire. Plus simplement, des parties de sites sont privées, protégées par des mots de passe et sont, par la même, inaccessibles aux robots d’indexation : applications et bases de données d’entreprise, espaces de discussion nécessitant une inscription, votre déclaration d’impôts, votre compte Google, vos messages privés sur les réseaux sociaux… La liste est sans fin.
Vous éditez des billets de blog, des articles depuis une interface d’édition ? Vous consultez vos emails via une interface Web ? Bienvenu dans le « Deep Web ». Cette métaphore, et par opposition, celle du « Surface Web », laissent entendre qu’il y aurait deux espaces distincts, ce qui n’a guère de sens : il n’y a qu’un seul Web. Certains contenus sont indexés et, fort heureusement, d’autres ne le sont pas. Il n’y a aucun mal à cela, bien au contraire. Deal with it et les moutons seront bien gardés, comme nous avons coutume de dire.
Enfin, s’il est probablement le plus populaire, le Web n’est qu’un des milliers de services disponibles sur Internet et que nous utilisons, souvent sans en avoir conscience : courrier électronique, messageries instantanées, transfert de fichiers, résolution de noms de domaine, etc. Internet et le Web sont ainsi deux choses distinctes : le premier est un réseau, le second un service. Évoquer le «Deep Web » comme une entité à part entière ou pire, un lieu, est donc doublement aberrant.
Going dark
À l’origine, il y a environ 40 ans, on appelait un « dark net » un réseau connecté au réseau ARPANET (le prédécesseur d’Internet) mais qui, pour des raisons de sécurité, n’apparaissaient pas dans les listes publiques.
Le terme a ensuite été réutilisé, au début des années 2000, dans un papier de recherche qui traitait du droit d’auteur et du tipiakage des MP3. En gros, les chercheurs y expliquaient que le développement de solutions technologiques alternatives faisait que les DRM étaient une solution vouée à l’échec.
Suite à un nouveau glissement sémantique, le mot a commencé à être familièrement utilisé pour désigner peu ou prou tous les réseaux « superposés » à Internet (overlay networks) et intégrant des fonctions d’anonymisation. Ici, il faut lire l’expression « réseau superposé à Internet » comme une métaphore technique. Elle désigne les réseaux qui définissent leurs propres modalités de communication entre machines, tout en s’appuyant sur Internet pour transporter concrètement les informations entre elles. En clair, c’est toujours Internet.
Les plus connus de ces « dark nets » sont I2P, Freenet, ou le célèbre Tor). Ces outils d’anonymisation sont utilisés pour des activités parfois criminelles, mais aussi par des journalistes, des activistes, des lanceurs d’alerte et autres ressortissants de pays aux régimes peu recommandables. On le mentionne rarement, mais il y a également nombre de personnes « normales » qui en font usage pour échapper au traçage, à la surveillance, au harcèlement, ou pour se prémunir contre des violences conjuguales.
Eva Galperin, de l’Electronic Frontier Foundation, déclarait que le « plus gros problème de Tor, c’est la presse. Personne n’entend parler de cette fois où quelqu’un a échappé au harcèlement de son agresseur. Les gens entendent seulement parler de celui qui s’est enfui avec de la pédo-pornographie. » Difficile de lui donner tort.
En résumé, l’appellation « dark net » est d’origine pas tellement contrôlée, très imprécise puisqu’elle désigne plusieurs choses distinctes, et a une connotation fichtrement négative. Encore une fois, l’usage du nom propre — « Le Darknet » — figure un objet indépendant d’Internet ce qui est, à nouveau, doublement inexact.
Le Marianas Web
Nous l’avons vu, cette théorie des « niveaux de profondeur » d’Internet n’a pas grand sens, mais cela n’empêche ni de voir ses avatars plus ou moins grotesques (Deep Web, Darknet, etc.) refaire régulièrement surface (vous l’avez ?), ni certains de les documenter avec un formidable aplomb. Parmi ces concepts, le fantasmatique Marianas Web bat tous les records d’absurdité.
Figurez-vous que pour y accéder, d’après ce blog, il est nécessaire de posséder du « falcighol dérivation polymère ». Qu’est-ce donc que ce « falcighol », vous demandez-vous sans doute ? Je l’avoue, je me pose toujours la question. « C’est tout simplement l’informatique quantique » poursuit l’auteur du billet. Bon sang, mais c’est bien sûr !
Le niveau 8 du web est censé contrôler l’ensemble d’Internet. C’est apparemment une anomalie découverte dans les années 2000. Il est complètement insensible, mais envoie des signaux directement dans les ordinateurs du monde entier, ce qui lui permet de contrôler Internet, mais cela dépend du hasard. Personne ne semble avoir le contrôle. D’après ce qu’on dit, une organisation / gouvernement secret détient le contrôle sur ce niveau, mais on ne sait pas.
Jusqu’ici c’est limpide, continuons.
Apparemment, vous devez résoudre un simple puzzle … verrouillage des fonctions de niveau 17 niveau quantique TR001. Il s’agit essentiellement de l’informatique quantique le plus avancé, totalement impossible à résoudre avec nos ordinateurs. Vous avez besoin d’une technologie profonde que personne ne possède.
On s’amuse, on taquine, mais c’est pas bien méchant ces bêtises. Ce qui est en revanche beaucoup plus étonnant, c’est de trouver mention de ce Marianas Web, et dans des termes très proches de ceux du billet de blog au « falcighol »… Dans un article de la revue éditée par la Gendarmerie Nationale, précisément page 126.
n° 256 de la revue de la Gendarmerie Nationale
Ô ironie, ce passionnant article s’intitule « Former des citoyens numériquement responsables ». J’ai dans l’idée que c’est pas gagné…
Mise à jour du 07/02/2017 : suite à un gros trolling sur Twitter une prise de contact de la rédaction avec la Gendarmerie Nationale, la revue a été mise hors-ligne.
Mise à jour du 08/02/2017 : … malheureusement, elle est encore disponible ici.
Depuis les dernières élections américaines et les soupçons d’un parasitage du Kremlin qui aurait mené à l’élection de Donald Trump, l’idée que Poutine fait des trucs pour façonner le monde à l’avantage de la Russie fait son chemin. Des trucs un peu louches en matière de renseignement, de collecte, et de fuites d’informations, typiquement le genre de « trucs » qui peuvent significativement influer sur un scrutin… des trucs que d’autres puissances font subir à des nations sans que, généralement, le monde ne s’en émeuve.
Si ces derniers jours ont laissé bonne place au « PénélopeGate » initié par des médias d’investigation comme le Canard Enchaîné et Mediapart, il n’est pas à exclure que des fuites d’informations, acquises par des cyberattaques puissent être dans ces prochains jours une source de parasitage (ou d’éclaircissement) du débat politique.
On peut s’amuser de voir François Fillon critiquer ces « officines » qui se ligueraient contre lui et dans le même temps voir un bot lâché sur Twitter pour venir à sa rescousse avec le hashtag « Stopchasseàlhomme ». Mais l’officine Kremlin (ou une autre officine d’un autre pays « ami » ou pas), si elle devait frapper, ne ferait pas de bruit, ne lancerait pas de hashtag sur Twitter, elle s’attaquerait tout simplement aux sites web des candidats.
Il ne faut pas être à la tête d’une horde de hackers chinois, nord coréens, russes ou pachtounes pour se rendre compte que le risque est bien réel, un risque issu de la négligence « caractéristique » de l’homopoliticus.
Les plus geeks de nos lecteurs connaissent très bien WordPress, le système de gestion de contenu plébiscité par la majorité des candidats à l’élection présidentielle (Macron, Fillon, Le Pen et Hamon pour ne citer qu’eux)… Il savent aussi que ce système de gestion de contenu, c’est un peu comme une voiture, ça nécessite un minimum d’entretien, en l’occurrence des mises à jour… de sécurité. Mises à jour qui sur WordPress se font en quelques clics et ne nécessitent aucune compétence technique particulière.
Des mises à jour qu’au moins deux candidats de « premier plan » semblent avoir passées aux oubliettes alors même qu’ils collectent sur leur site les données personnelles de leurs militants. C’est ce qu’on appelle le syndrome « install & forget ».