Ça commence à faire beaucoup… depuis ce matin la presse française reprend un article du Guardian que la destruction des matériaux d’Edward Snowden semble avoir rendu paranoiaque. Les hackers chinois tenteraient de s’infiltrer dans les ports USB de vos machines en utilisant des cigarettes électroniques.

Ni une ni deux, les commerçants de e-clopes, vous indiquent qu’il est indispensable de se procurer des cigarettes électroniques « de marque », vous annonçant de grands nom du secteur… et surtout de Shenzhen, capitale mondiale de la cigarette électronique low cost (que l’on trouve à moins de 10$ en ligne et surtout à plus de 80 euros chez nous avec une marque d’un magasin bien français apposée dessus…).

On est en plein shitstorm que les uns et les autres tentent de récupérer dans une rare surenchère à la bêtise.

On va donc se la faire en 2 temps et commencer par comprendre la menace actuelle, BadUSB, puis démonter les postulats visant à remplacer une ecigarette de merde par une autre ecigarette de merde, toujours chinoise, produite par des entreprises qui ne fabriquent pas les composants incriminés…  mais vendue plus chère grâce à un logo dessus… logo souvent effacé par les boutiques en France pour y apposer le leur.

BadUSB c’est quoi ?

Quand vous branchez un périphérique USB sur un ordinateur, vous avez surement remarqué que votre ordinateur était capable de reconnaitre la nature du périphérique, d’afficher son nom et de reconnaitre s’il s’agit d’une imprimante, d’une clé de stockage, ou de reconnaitre une cigarette électronique pour savoir qu’il ne va pas chercher à la monter pour écrire dessus mais se cantonner à lui envoyer le courant qu’elle demande pour se recharger ?

Si ceci est possible, c’est parce que chaque périphérique USB, pour faire ultra simple, contient un microcode qui dit à votre ordinateur « boujour je m’appelle comme ça, et je te demande de faire ça pour moi » : c’est à ce moment que votre système d’exploitation interprète l’instruction qui lui est envoyé et prend la décision de mener l’action demandée.

L’attaque consiste donc à reprogrammer le comportement d’un composant USB que tu vas brancher sur un ordinateur. En altérant le microcode qui cause à ton ordinateur, il est possible de faire passer un objet pour un autre. Certes, l’attaque n’est pas à la portée de tout le monde, mais le code rendu public montre qu’il est possible de le faire et que ceci peut avoir des conséquences désastreuses. Par exemple, combiné à une autre vulnérabilité critique dont on parle pas mal en ce moment (Shellshok) il devient possible de transformer une cigarette électronique en un outil d’attaque qui va injecter une commande exploitant cette vulnérabilité pour changer les variable d’environnement de l’interpréteur de commandes que l’on retrouve sur tous les systèmes unix (Gnu Linux/Unix représentent l’immense majorité des serveurs web mondiaux).

Les clés USB dédiées à l’infection d’ordinateurs, c’était déjà quelque chose de connu.

BadUSB va donc bien plus loin puisque la vulnérabilité affecte de très nombreux périphériques USB équipés d’un controleur… et devinez quoi ? Et bien des fabricants de contrôleurs USB… il n’y en a pas 150.

Les « vapoteuses » tinoises

Tout le monde n’est pas familier de l’industrie de la cigarette électronique, aussi peut être judicieux de rappeler quelques éléments : La Chine s’est tout de suite imposée comme le premier fabricant mondial de cigarettes électroniques. Une cigarette électronique, c’est une batterie avec un switch, un connecteur (dit connecteur 510) pour l’atomiseur qui sert aussi d’interface USB pour recharger la batterie, et de temps à autres, un variateur de tension… bref une « vapoteuse » comme décrite dans la presse, ça ressemble à ça :

Sauf que vous n’aurez pas manqué de noter que ce bidule ne ressemble pas franchement à une interface USB… évidemment… puisque ce n’est pas là qu’elle se situe. L’interface en question est en fait un adaptateur USB vers connexion 510… Notre nouveau vecteur d’attaque ressemble donc plutôt à ceci et coûte environ 1 euro :

C’est donc dans ce chargeur que se situerait un contrôleur USB vulnérable… ouais, pourquoi pas.

Mais assez naivement, quand je prends un câble USB pour recharger mon téléphone, je me rends compte qu’il fonctionne aussi sur ma tablette… c’est quand même magique une connectique standard non ? Et devinez quoi ? Et bien ce chargeur à 1 euro fonctionne aussi bien sur une cigarette électronique à 4$ que sur une « cigarette électronique de marque » à 80 euros, et pour cause, ce sont les mêmes.

Que ce détail échappe à des vendeurs peu scrupuleux passe encore, mais pour le Guardian, on est quand même en droit de se demander ce qu’il s’est passé à la cafèt’ de la rédac’.

Attention, voici le scoop

AUCUN fabricant de cigarette électronique ne fabrique de contrôleur USB. En clair, que vous achetiez une Innokin à plus de 100 euros ou une bouze sur Fasttech à $4… vous encourrez le même risque, puisque ces composants sortent dans les deux cas des mêmes usines.

Vous voilà avertis : claquez directement la porte d’un vendeur qui met en avant une marque ou une autre en vous parlant de chargeur USB pour cigarette électronique, il est soit con, soit malhonnête… soit un peu des deux.

Et maintenant… le Press’Fail

Malgré tout le respect que l’on peut légitimement porter pour cette institution qu’est le Guardian, il faut bien avouer que « l’enquête » du média anglais est… comment le dire poliment…  à chier.

Et vous allez voir à quel point la presse est capable de préter crédit à post d’un anonyme sur Reddit au point d’oublier de faire une simple recherche pour trouver des éléments sur l’absence de concret de ce bruit qui circule depuis mars dernier… putain 9 mois de silence, un post anonyme sur Reddit et paff ça pisse du pixel.

Voici la genèse :

• En mars dernier, Jester publie un billet sur son blog évoquant un scénario dont on ne sait trop s’il tient de la fiction ou d’une observation réelle dont il n’a évidement pas publié le moindre log en nous gratifiant d’un screenshot tout pourri attestant d’une conexion TCP sortant sur une IP floutée… la belle affaire ;
• Toujours en mars dernier votre serviteur relaie ce billet en expliquant que non, ce n’est pas délirant, mais qu’en l’absence d’éléments concrets, il n’y a pas lieu de paniquer… mais voilà, la menace BadUSB plane en arrière plan.
• BadUSB est lâché dans la nature, la menace se précise, et je trouve pas spécialement idiot de rappeler des principes de bonne hygiène informatique expliquant en gros qu’un périphérique comme une cigarette électronique n’a de toutes façons rien à faire connectée à un ordinateur d’entreprise ou d’administration ;
• Incongruité spacio-temporelle, les éléments sont là, personne ne moufte, c’est pas grave on a l’habitude….
• Un anonyme publie il y a quelques heures un « témoignage » sur Reddit où il prétend qu’une machine de sa société a été infectée par une cigarette électronique… encore une fois, pas la moindre trace concrète de l’infection, pas d’information sur la nature du malware, toujours pas la moindre ligne de code à se mettre sous les doigts… et aucun éditeur antivirus à qui on aurait fait parvenir cet étrange code supposé ;
• Le Guardian publie ce truc en sortant du chapeau LE mec leplus impartial de la terre pour vous parler d’une menace informatique, j’ai nommé un éditeur antivirus, Trend Micro… dont le job est un peu de vous vendre des antivirus et de faire en sorte que vous ayez bien la trouille ;
• Les marchands cigarettes électroniques qui se font légèrement déboiter par des sites chinois comme celui-ci ou celui-là, qui vendent des machins dont on ne sait même pas lequel est la contrefaçon de l’autre, sautent sur l’occasion pour mettre en avant leurs produits qui sortent des mêmes usines que la contrefaçon de la contrefaçon d’une copie de clone gris arc en ciel… et qui embarquent exactement les mêmes connectiques USB, issues du même fabricant ;
• La presse française relaie le danger qui plane sur tous les utilisateurs de cigarettes électroniques à bas prix, illustrant parfois même leurs articles de photos de mods qui sont pourtant eux mécaniques et dépourvus de tout connectique USB… logique.

Dites les gars, le FUD, ok, pourquoi pas… mais :

1. vous avez les élements sous le nez, à portée de clic pour vous rendre compte de visu du grossier de cette histoire
2. aucune prise de recul et hop on véhicule un FUD à tête baissée en stigmatisant la cigarette électronique. Oui la menace existe bien, mais c’est pas pour ça qu’il faut raconter n’importe quoi non plus ni omettre de rappeler que cette menace ne se concentre pas sur la seule cigarette électronique. Elle cible tout aussi bien le ventilateur USB que le vibro USB de madame…
3. clap clap aux lumières qui ont poussé ce FUD suite à un témoignage anonyme sur un réseau social n’apportant strictement aucun élément nouveau, ce 9 mois après la bataille…

Non, sérieux… bravo la presse… c’est à se demander si cette campagne n’est pas financée par une association professionnelle de buralistes.

PS : vu que ça fait 9 mois que je suis à la recherche d’un chargeur USB infecté, si vous voyez passer un vecteur d’attaque vaporeux avéré, n’hésitez pas à me le faire parvenir.

Il y a quelques temps, la presse découvrait que les banques françaises avaient quasiment toute un pied dans les paradis fiscaux. Ce qui est écrit en toutes lettres sur leurs sites Web depuis des lustres, dans Wikipedia pour chaque page consacrée à une banque, bref, on découvrait que l’eau mouille. Mieux, avec les LuxLeaks, tout le monde feignait de s’étonner que le Luxembourg soit une énorme machine à laver ou à cacher de l’argent. Etonnant pour qui a lu les oeuvres complètes de Denis Robert… Voici qu’aujourd’hui, la presse, toujours, et les politiques (toujours aussi) découvrent que certains patrons se font verser des retraites complémentaires monumentales après avoir quitté leurs postes. Et de citer un exemple à 800.000 euros. En voilà une nouvelle découverte…

Le Monde qui a des archives et ne rechigne pas à les citer, rappelle que le problème desdites « retraites chapeaux » n’est absolument pas nouveau :

Pierre Moscovici, le précédent ministre des finances, avait préféré en 2013 ne pas légiférer sur ce sujet sensible et s’en remettre à l’autodiscipline que les syndicats patronaux, Afep et Medef, promettaient. De fait, un haut comité du gouvernement d’entreprise a été créé à cette occasion pour surveiller les bonnes pratiques et les moins bonnes. Présidé par Denis Ranque, le président du conseil d’administration d’Airbus, il a publié son premier rapport d’activité en octobre.

Il est utile de citer ce point. Mais il manque une information. Elle nous a été fournie il y a quelques mois par la la Direction de la recherche, des études, de l’évaluation et des statistiques (Drees). Les quelque 15,5 millions de retraités français vivaient avec une retraite représentant en moyenne 1.288 euros en 2012. De quoi se plaignent-ils ? Leur retraite avait augmenté de 2,6% sur un an.

Comme à son habitude, le personnel politique répond à une « polémique » en lançant un os à ronger à ceux qui pourraient être choqués par ces chiffres astronomiques. C’est à dire 15,5 millions de retraités vivant avec 1.200 euros en moyenne, soit sur douze mois, une retraite entonnoir (chacun son chapeau) d’environ 14.400 euros. Un peu loin il est vrai des centaines de milliers d’euros… Avec cet os (on va réguler ces retraites chapeaux), le personnel politique espère calmer la polémique. Avec un peu de chance et une nouvelle frasque de Nabilla au fond de sa cellule, cela pourrait fonctionner. Mais dans le fond, ni Emmanuel Macron ni le reste du gouvernement n’ont envie de modifier quoi que ce soit.

Comme le note Le Figaro, cette réforme d’Emmanuel Macron devrait rester dans les limbes ou avoir un effet très mesuré… On en reparlera dans un an ou deux, si vous le voulez bien :

Le Sénat a voté la semaine dernière une augmentation de la taxe sur les retraites-chapeau. Une mesure qui va dans ce sens et qui, pourtant, a été rejetée par le gouvernement par la voix du secrétaire d’État au Budget, Christian Eckert. «La priorité c’est de renvoyer à la responsabilité personnelle», estime Emmanuel Macron, jugeant qu’«aucune loi ne remplacera l’éthique des dirigeants»

En d’autres termes, le Sénat, constatant que les patrons se pressaient à un pas de sénateur pour s’autoréguler avait imaginé, grand fou qu’il est, qu’en taxant plus fortement les retraites chapeaux, les patrons seraient peut-être naturellement moins gourmands de ces petits plus façon Bahlsen.

Deux, ou trois dimensions ?

Une raie parfaitement plate qui vivrait dans un monde en deux dimensions ne peut concevoir une troisième dimension. De la même façon, un retraité qui vit avec 1200 euros par mois a du mal à entrevoir à quoi ressemble le monde d’Emmanuel Macron et de ses collègues du gouvernement. Ou encore celui dans lequel évolue Pierre Gattaz, le patron des patrons.

Pour Pierre Gattaz, inutile de légiférer sur quoi que ce soit touchant à l’encadrement des dirigeants d’entreprises, il lui semble qu’ils peuvent très bien s’autoréguler. En revanche, les méchants chômeurs tricheurs…

Quant à Emmanuel Macron qui va sans doute multiplier dans les jours à venir les déclarations sur les retraites chapeaux et les salaires indécents de certains dirigeants d’entreprises… Il n’a empoché que 2 millions d’euros bruts pour un an et quatre mois passés dans une banque. Soit, selon les calculs de l’Express, à peu près 1 million d’euros, une fois les charges sociales retirées.

L’inverse est vrai pour l’homme vivant dans trois dimensions. Il ne peut pas concevoir dans quel monde vit la raie parfaitement plate. En outre, si la raie peut avoir un éventuel intérêt à essayer d’imaginer les trois dimensions et à vouloir rejoindre le monde en trois dimensions, ceux qui vivent dans trois dimensions n’ont aucune envie de se priver de leur univers.  Emmanuel Macron ou Pierre Gattaz ont du mal à concevoir ou imaginer ce qu’est la vie d’une personne qui plafonne à 1200 euros par mois. Et ils ont une certitude : ils ne veulent absolument pas expérimenter cela.

De cette incompréhension mutuelle naîtront, au choix un statu quo ante, ou une étincelle.

Voici une vidéo de l »intervention (presque) complète d’Eben Moglen au Symposium international Fiction et Réalité: au-delà de Big Brother, où ont notamment été largement abordées la question des interceptions électroniques massives, à l’occasion du Festival du Film de Lisbonne / Estoril.

Eben Moglen nous offre un regard juridique et d’académicien américain sur la surveillance électronique.

Par avance veuillez nous excuser pour la qualité pas top. Vous pouvez aussi télécharger la vidéo au format avi (315Mo) ou au format MP4 (305Mo)

<script type="text/javascript"> jQuery(document).ready(function($) { $('#wp_mep_4').mediaelementplayer({ m:1 ,features: ['playpause','current','progress','duration','volume','tracks','fullscreen'] }); });

 

Note : cet article a été financé grâce aux dons des lecteurs de Reflets

Constater, révélations d’Edward Snowden à l’appui, que la planète entière a été mise sur écoute est une chose. Comprendre cette surveillance, l’analyser et théoriser les moyens de sortir de ce nouveau paradigme en est une autre. Le  symposium sur la surveillance organisé au cours du Lisbon & Estoril Film Festival a réussi à réunir en chair et en os ou via Internet une étonnante brochette de penseurs qui ont clairement avancé sur ces terrains.

Noam Chomsky a ouvert le bal en replaçant la surveillance dans une perspective historique. Remontant une bonne centaine d’année en arrière, il a rappelé que les Etats-Unis avaient théorisé les méthodes de collecte d’informations sur les populations lorsqu’ils avaient envahi les Philippines. Les moyens de l’époque étant moins sophistiqués et massifs, il s’agissait de savoir ce qui se trouvait dans les têtes des « leaders » dans la population. Ceux qui pouvaient mener à une remise en question du nouvel ordre établi. Ces techniques furent immédiatement réimportées aux Etats-Unis. Rien de neuf sous le soleil aujourd’hui, précise Noam Chomsky. Les Etats-Unis avaient par exemple déjà truffé de micros les bureaux des délégations étrangères lors de la création de l’ONU en 1947… Il était lui-même sur une liste de personnes considérées comme dangereuses pour le pouvoir sous Nixon…

Vote et tais-toi

Mais Noam Chomsky analyse également le contexte sociétal dans lequel s’inscrit cette surveillance. Pourquoi elle est mise en place. Selon lui, la tranche de la population au pouvoir estime être la seule suffisamment éclairée pour être apte à prendre des décisions. Le peuple, pour sa part doit resté cantonné à un rôle de spectateur. Il est bien entendu appelé à voter régulièrement pour élire des « responsables » mais… qu’ils soient d’un bord ou d’un autre, ces « responsables » sont tous issus de la même tranche de la population… Celle de ceux qui se pensent aptes à prendre des décisions.

Sur la surveillance en elle-même, Chomsky souligne que lorsque que des documents sur ce sujet -jusque-là- secrets, sont dévoilés, on se rend généralement compte qu’il ne s’agit pas de lutter contre les dangers communément énoncés, mais d’éviter que les populations se retournent contre les pouvoirs en place.

L’impact de cette surveillance massive est évidemment une autocensure des peuples, une plus grande difficulté à résister aux abus des pouvoirs en place.

Sur les moyens de résistance à cette intrusion dans la vie privée qui se présentent aux populations surveillées, Chomsky souligne que les révélations d’Edward Snowden, comme celles de Wikileaks ne produiront que les effets que nous voudrons bien déclencher. « C’est entre nos mains« , précise-t-il.

Tous ont évoqué pendant ces trois jours de réflexion la nécessaire déconstruction d’une réalité altérée et présentée comme une vérité inattaquable, comme un dogme par les pouvoirs en place. Il faut redéfinir la réalité avec les mots qui lui corresponde, sortir de la fabrication par les pouvoirs en place d’un monde qui n’existe pas. Il est même parfois tout à fait inverse à ce qui est présenté au public.

A titre d’exemple, Baltasar Garzon évoque les supposés crimes de Julian Assange qui lui valent d’être réfugié et enfermé dans l’ambassade d’équateur en Grande Bretagne depuis plus de deux ans sans être inculpé de quoi que ce soit, sans perspective de procès : avoir rendu publiques des informations avérées sur certains actes des Etats-Unis. Or, curieusement, précise-t-il, aucun de ces actes dont une bonne partie sont délictueux, des actes de corruption, d’assassinat, de menaces, n’ont donné lieu à des poursuites, ni aux Etats-Unis, ni dans aucun autre pays. En d’autres termes on présente le messager comme un criminel alors que tous les crimes évoqués par le messager sont « oubliés », le Justice ne s’en saisissant pas.

On fait quoi ?

Que faire pour agir, aura sans doute la question la plus récurrente dans le public lors de ces trois journées.

Certains brandissant leur incapacité technique comme un frein supposé à toute mise en place de mesures de protection contre les outils de surveillance globale implantés par les gouvernements.

Ce à quoi Jacob Appelbaum apporte une réponse intéressante : la plupart d’entre nous, sommes de véritables illettrés en matière de biologie. Nous ne savons rien des rétro-virus, de leur mode de fonctionnement. En revanche, nous savons comment nous protéger pour les éviter. Il en va de même dans le domaine de la surveillance massive. Inutile de comprendre les aspects techniques complexes pour s’en protéger.

Internet, précise le hacker, permet à n’importe qui, quelle que soit sa condition de s’élever : plus de frontières, un accès total au savoir. C’est un complément fantastique du système éducatif. Celui-ci pouvant justement aider, être une passerelle, en développant la curiosité des enfants, en leur donnant accès à un Internet sans censure et surveillance.

La (mauvaise) raison d’Etat

La surveillance globale, comme la torture, également utilisée pour « lutter contre le terrorisme » sont toujours choisies en première intention par les Etats, rappelle par ailleurs Baltasar Garzon, qui a longtemps été au coeur de l’appareil d’Etat. Ce que font Wikileaks ou Edward Snowden, c’est rendre visible cette « mauvaise raison d’Etat », plus facile que les voies démocratiques et légales, qui protège non pas les citoyens, mais ceux qui détiennent le pouvoir.

L’ancien juge a évoqué sa propre mise sous surveillance lorsqu’il enquêtait sur l’État en Espagne : il recevait à son domicile les enregistrements de ses conversations.

Son implication dans la défense de Julian Assange a quant à elle eu un effet immédiat : José Miguel Insulza, alors responsable de la mission d’appui au processus de paix de l’Organisation des Etats Américains (OEA) lui a demandé d’abandonner son rôle dans le processus en Colombie, à la demande de Washington.

Son arrivée à Seattle a également été mouvementée, comme les passages à la douane de Jacob Appelbaum ou de Laura Poitras (lorsqu’ils résidaient encore aux Etats-Unis). Il a été retenu deux heures par deux agents qui détenaient un épais dossier sur son compte.

S’opposent donc des Etats devenus tout puissants et des populations finalement asservies après avoir été dépouillés de leurs Droits.

 

Note : cet article a été financé grâce aux dons des lecteurs de Reflets

— « Invocation priorité 1, Shiva »

L’espace autour de lui commençait à se pixeliser, il fallait qu’il aille vite. Une voix masculine emplit l’espace, douce, au timbre neutre.

— « Gardien Shiva, je vous écoute »

L’orateur déglutit et lança dans un souffle :

— « Rapport terrestre 32, estimation de la population globale »

— « 3 milliards 250 millions d’être humains répertoriés. »

— « Etat de l’énergie, bilan climatique, technologique »

— « Courant électrique local à 90% par énergies solaires, hydrauliques et éoliennes, climat : refroidissement global par variation cycle solaire en cours de réduction, technologie identique rapport 31. Réseaux informatiques locaux, transports inter-continentaux 0%, pollution à 0,3%… »

— « STOP ! »

La voix se coupa instantanément.

— « Mode H. Shiva, Que pouvez-vous me dire sur l’état des vaisseaux ? »

— « Ils ne sont pas opérationnels, l’énergie est problématique pour envisager un retour sur Terre, les coques sont toujours endommagées, nous avons des problèmes de minerai. Il faut toujours compter sur une découverte de minerai. »

— « Et l’état de nos corps ? »

— « Votre corps est sain à 98%, comme les 220 000 autres corps conservés. La cryogénisation est effective mais consomme toujours trop d’énergie. Nous limitons les accès au réseau des individus pour optimiser la cryogénisation. Nous n’avons toujours pas de solution effective à plus de 90% pour envisager le download vers vos corps. Nous travaillons à cette tâche. »

LOW ENERGY – LOW ENERGY – LOW ENERGY

-« Pouvez-vous m’indiquer la date à laquelle je pourrai de nouveau effectuer un accès ? »

- « Oui. Estimation à 27 000 000 de cycles. »

— « Les clones ? Leurs travaux ? »

— « Des difficultés techniques sont rencontrées avec la terraformation, mais leur évolution est correcte à 95% »

La salle devenait totalement chaotique, des morceaux de couleurs se mélangeaient pendant que des parties des murs croisaient celles du sol. L’orateur savait qu’il allait repartir dans les ténèbres. Le vide. Le rien. L’unité de stockage.

Il salua l’IA, tremblant intérieurement dans l’attente imminente du shutdown.

— « Merci agent Shiva. Bon travail, et à bientôt… lors de ma nouvelle séance. »

— « Vous êtes toujours le bienvenu Sergeï Brin. A bientôt, et don’t be evil. »

(Fin)

(Nouvelle écrite durant la semaine du 10 novembre 2014 pour Reflets, par Yovan Menkevick)