Soyons concret avec le discret (25/05/2014)

0.jpgFin mars, le forum Sarkostique envoyait un mail à ses membres. "Notre forum a fait l'objet d'une attaque de grosse envergure qui cible les sites au langage de programmation PHP". Nous sommes en fin de période électorale. Peu de réflexions à ce danger de la modernité qui se retrouve à plusieurs niveaux. 

Les déboires de Sarkostique

Le site disait : "Le forum utilise un code Open Source était plutôt un avantage habituellement, car nous recevons les mises à jour et les parades rapidement. Cette fois, quelqu'un a utilisé une faille d'abord pour introduire des codes publicitaires, une autre personne a lancé une attaque de grande envergure. Une affreuse page rouge nous qualifiant de malveillant". 

Ce n'est que mi-avril que le site était à nouveau disponible. Le cybermonde, le monde virtuel est sans distances géographiques, sans frontières.

Mais comme toujours, ayant été proche de ce genre de problème, je suis sûr que cela a généré des sueurs froides. Je les ai contactés pour les soutenir dans leur besogne de redressement.

...

"La guerre sur le net".

(le documentaire que ARTE présentait le 15 avril) 

Les Etats ont enfin compris tout le potentiel militaire et stratégique du cyberespace. La cybercourse aux armements a bel et bien commencé.

En préambule au documentaire, on pouvait lire :

"Plongée dans arcanes de cette guerre invisible demande une préparation et pas une réaction après coups. Aujourd’hui, un individu muni d’un ordinateur portable peut causer plus de dégâts qu’une bombe ou une autre arme conventionnelle : c’est l’inquiétant constat que dresse Ian West, directeur du centre technique de la capacité de réaction aux incidents informatiques de l’Otan. Si de telles manœuvres restent méconnues du grand public, les États ont compris tout le potentiel militaire et stratégique du cyberespace, et la cybercourse aux armements a bel et bien commencé. Plusieurs pays ont déjà été victimes de cyberattaques, à des degrés d’intensité et de dommages plus ou moins importants.

0.jpg

Ce documentaire nous plonge dans les arcanes de cette guerre invisible, nous emmenant aux États-Unis, à la plus grande conférence de hackers au monde, où le chef de la NSA Keith Alexander a fait sensation ; en Israël aussi, chez des cyber-armuriers, ou même en Chine, à la rencontre des "hackers rouges", nationalistes qui déploient leur expertise contre les puissances occidentales. Si le combat est virtuel, quel risque courent les citoyens ? Les pires scénarios catastrophe en la matière relèvent-ils de la science-fiction ou ont-ils une chance de devenir réalité ? Certains hackers de génie sont capables de mener à bien ou déjouer des attaques avec une facilité inquiétante… Pour les grandes puissances, il s’agit de les avoir dans son camp. Ce documentaire fouillé dresse un état des lieux de la sécurité des réseaux informatiques, à l’échelle des États, et des solutions envisagées, dans une optique aussi bien offensive que défensive. Mais avec la militarisation croissante.

... 

Le Science & Vie d'avril

Ce journal scientifique relançait la même idée avec le titre "Cyberguerre: Et si elle avait déjà commencé...".

0.jpg

En résumé: "La cyberguerre ne fait pas de morts si ce n'est par des dégâts collatéraux et des effets retours. Dans le théâtre des opérations, on ne connait ni les acteurs, ni la stratégie, ni les buts, si ce n'est par l'intermédiaire de sabotages ou d'espionnages. S'il y a guerre, les règles n'en sont pas définies. Inventer une riposte proportionnelle à l'attaque ne peut s'imaginer qu'après en avoir évalué l'ampleur sur une échelle de Richter de risques et la détermination de qui est l'ennemi, qui proviendrait d'un étudiant ou d'une armée.  

Les attaques de forum deviennent monnaie courante et leurs noms exotiques tels que Stuxnet, Flame, DuQu, Shanoon ne sont pas près de rassurer...

...

L'actualité récente

0.jpgPendant, le weekend du 10 mai, le logiciel Snake attaquait les affaires étrangères belges et bloquait toutes les opérations de délivrance de passeport.

La Russie était suspectée.

Dix millions d'euros, toujours en suspens, ont été débloqués en Belgique pour le renforcement de la sécurité.

Une bagatelle. En plus, ces dix millions ont été saupoudré dans plusieurs services policiers et pas uniquement dans celui qui est appelé à contrer la cyberguerre.

Quand on se targue d'avoir le siège de la capitale de l'Europe dans ce pays que l'on joue aux rétorsions sans biscuits. Une nouvelle histoire belge... 

Une autre fois, c'était eBay qui avait été hacké.

Avaaz.org, de même. Un mail m'est parvenu, il y a trois jours, qui disait "Les pressions sur quelques membres de l'équipe d'Avaaz atteignent des sommets : ils ont reçu des menaces de mort, leurs ordinateurs et leurs emails ont été piratés, ils ont été menacés à la télévision et à la radio et la voiture de l'un d'entre eux a même été trafiquée ! Alors qu'il remettait notre appel à stopper une des plus grandes exécutions de masse en Egypte, Wissam a été détenu à l'aéroport du Caire, emmené dans une pièce sans fenêtres et interrogé pendant plusieurs heures, avec des questions terriblement inquiétantes et bien renseignées sur sa vie privée, ses voyages et son travail au sein d'Avaaz ! Les menaces se feront de plus en plus virulentes à mesure que nous gagnerons en visibilité et en efficacité dans notre lutte contre certaines des personnalités les mieux établies et les plus puissantes de la planète. C’est pourquoi Avaaz a besoin non pas de doubler, mais de tripler ses systèmes de sécurité. Cela implique une équipe de juristes prête à la moindre urgence, des spécialistes des médias pour sonner l'alarme en cas de menaces, un meilleur cryptage de nos données et des ressources pour mettre en lieu sûr les membres de notre équipe lorsque la pression devient insupportable.".

Les ONG, les secteurs privés et publiques sont dans la ligne de mire. 

Avec son humour traditionnel, Thomas avait parlé d'un nouveau parfum de guerre froide. Beaucoup d'idées concrètes lui revenait en mémoire. Nathalie, la place Rouge. Ce qu'il préconisait pour contrer ce parfum de "wargame" était évidemment lié à la campagne électorale en pleine effervescence.

Pendant la plus grande partie de la guerre froide, Le Web n'existait pas chez les gens de la rue. Internet était à disposition de gens très avisés. Cette fois, il faudrait mettre de l'eau fraude et même glacée, pour éteindre la cyberguerre qui ne fait, depuis, que continuer son petit jeu de sape.

Un site important se doit d'avoir un antivirus et un firewall pour se sécuriser.

Le plus grand problème quand un virus s'insinue, il faut un certain temps pour donner un nom de "piratage" à l'événement.

Comprendre ce qui se passe est le problème le plus ardu avant d'aller plus loin.

Une faille a-t-elle permis à un hacker de craquer les pares-feux d'un site dit protégé ?

La seule constatation évidente, c'est que le système ne marche plus comme il le faisait d'habitude.

La première question est "Est-ce une erreur personnelle intérieure ou extérieure ? Un logiciel installé est-il le fautif ?"

Déterminer l'ampleur des dégâts. Est-ce un virus qu'il faut éradiquer, mais avec quoi? Car, il y a les bugs du système, lui-même, pour couronner le tout.

0.jpg

Dans la presse, on parlait récemment de OpenSSL et de Heartbleed.

Heartbleed, un bug système. Une faille sérieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dérober des informations protégées. Le SSL/TLS fournit une sécurité et une confidentialité des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanée et le VPN.

Pourquoi ne l'a-t-on pas encore décelé plus tôt ? Question réflexes superfétatoires.

Pourquoi ? 

Parce qu'aucun logiciel d'antivirus n'aurait pu atteindre cette faille du système qui se trouve plus haut dans la hiérarchie, mais qui reste modifiable par un pirate zélé.

Étrange ? Pas vraiment... le code utilisé donnerait la nausée pour moins que ça.

0.jpgPas de panique, une mise à jour, une mise à niveau, comme on dit, permettra d'éradiquer la faille le plus rapidement, mais après coup.

Les hackers garderont toujours une longueur d'avance par la surprise.

Proactivité pour eux et rétroactivité pour les utilisateurs.

Ce qu'il faut être conscient, c'est qu'il y a plusieurs couches susceptibles d'être vérolées.

Les "Operating Systems" sont, en général, mis à jour contre les failles du code.

Récemment, Microsoft avait averti qu'ils cessaient de fournir des mises à jour de sécurité de Windows XP.

Non, mais, on se fout de qui ? Les raisons de marketing peuvent-elles effacer le passé et forcer les utilisateurs à changer de versions ? 

La question se posait alors de savoir s'il fallait abandonner cette version de Microsoft. Les commentaires revenaient comme en 40 avec l'idée de passer aux logiciels libres d'Ubuntu et d'oublier Windows et Microsoft. Il est vrai que les hackers ont toujours plus d'intérêts à toucher et empoisonner la vie des OS les plus utilisés. Celui de Microsoft avec ses logiciels propriétaires, est parmi eux.

Android, Apple apportent d'autres solutions et entreront comme cible, une autre fois.

Cela me rappelle ma fiction, écrite, il y a six ans, qui avait pour titre "Le Grand Maître virtuel". Mais, c'était une fiction et comme chacun sait et les réalités dépassent souvent les fictions.

0.jpgTout est en place pour casser un réseau. Instructions et manque de personnalisation des casseurs.

Il leur suffit d'en connaitre les clés de réseaux. 

Celles-ci, une fois connues, tout devient possible. Les instructions existent pour lire et écrire sur les pages d'un ordinateur ciblé et à distance.

La maxime "Pour vivre heureux, vivons caché", n'a jamais été aussi vraie. Ne pas utiliser les télécommunications est la solution drastique, mais c'est remonter au 20ème siècle avec l'ordinateur en "stand alone". Celui d'aujourd'hui, ne se conçoit même plus sans communications.

L'ordinateur, le serveur, est devenu une valeur sur laquelle le particulier compte et cela le fragilise à tel point que sans son outil de travail, il se retrouve au chômage technique.

Hacké, l'utilisateur a l'impression d'être violé avec le stress qui l'accompagne puisqu'il ignore jusqu'aux limites du viol et si, le virus, une fois éradiqué, n'a pas laissé de traces.  

Le succès de Stuxnet a prouvé que cela marche à tous les niveaux de sécurité et que tout peut être vérolé jusqu'aux centres vitaux de la politique et de l'approvisionnement en biens comme l'eau et l'énergie.

0.jpgCréer un "bouclier digital" inviolable est le but.

Dans le documentaire de la vidéo, Israël se vantait de l'avoir construit et d'être le mieux armé pour résister.

Pour tester les systèmes en place et en plus à la vitesse de la lumière, la meilleure défense est l'attaque.

S'infiltrer dans les réseaux des ennemis potentiels avant qu'ils prennent eux-mêmes l'avantage. 

L'Affaire Snowden, révélée par le Washington Post et le Gardian, ont eu au moins un point positif qui méritait d'avoir le Prix Pulitzer : réveiller les consciences des risques encourus par les moyens modernes de télécommunications au travers des nuages. Mais la sécurité coûte de plus en plus cher. 

Dégager des moyens n'est pas à la portée de tous.

Personne n'en a dit un mot dans la campagne européenne.

S'il y a un niveau de surveillance et de protection, le plus adéquat, ce serait celui de l'Europe et pas nécessairement de celui de chaque membre qui ne pourrait pas résister à de telles attaques mondialisées. Cela donnerait des ailes aux secrets de ces Etats membres et à la vie privée de ses concitoyens.  

Dans les années 80, Ronald Reagan avait voulu lancer sa Guerre des Etoiles, alors qu'il ne fallait pas aller aussi loin. Aller dans les nuages, suffisait sur le net et les étoiles, pour certains, sont bien sur Terre.

0.jpgL'avion MH370 de la Malaysia Airlines qui a disparu, était-ce un coup de cyberattaque ?

Rien ne permet de le dire et pourtant... qui sait ?

Le dernier message du MH370 était "Tout va bien. Bonne nuit". 

Ce n'était pas la première fois qu'un Boeing disparaissait. Le vol 844AA n'avait déjà pas laissé d'adresse.

Les ingénieurs de haut vol qui étaient à bord du MH370, auraient pu avoir intéressé d'une manière ou d'une autre sur une autre "planète de l'espionnage" en toute discrétion.

Supposition tout à fait gratuite et peut-être sans fondement, mais...

A ce sujet, un article d'Olivier Cabanel titrait "Vol au-dessus d'un mystère".

0.jpgJ'aurais, plus justement, titré "Vol au-dessus d'un nid de coucous". Pas la peine de chercher une quelconque théorie du complot.

Il suffirait de rectifier le tir dans l'avenir avec et après cette nouvelle expérience. 

Lundi dernier, France3 présentait un magazine "Tout peut changer" avec le sous-titre "Comment échapper aux nouvelles arnaques ?". 

En France, huit français sur dix sont connectés à Internet, 26 millions sont sur Facebook et la quasi-totalité ont un portable. Les thèmes abordés : la méfiance vis-à-vis des amis, le piratage de la carte bancaire, les espions parfois, très proches. Alors vie privée, jusqu'où ?

...

Conseils prodigués pour se protéger en ligne 

0.jpgBien sûr, ce sont des conseils de précautions pour internautes, mais qui pourraient être extrapoler dans la vie, plus concrète.

Internet a mis fin à la vie privée. 

Mark Zuckerberg, patron de Facebook, a d'ailleurs dit qu'il faudrait supprimer le concept de vie privée pour augmenter la transparence. Il aime les informations. Elle lui rapporte et il est prêt à envoyer des ballons stratosphériques pour atteindre les zones inaccessibles à Internet.

Les biens financiers, les informations stratégiques des consommateurs et des citoyens lambda sont tout aussi bien dans le collimateur des pirates que dans celui des Etats qui doivent concrétiser ce qui est discret.

Quand il y a des règles et des lois bien connues, le discret peut devenir, à son tour, "piratage" et là, il faut le démasquer. C'était le message de "L'information des nuages", même s'il a pu être mal compris de prime abord dans ses conclusions.

L'argent, le nerf de la guerre, est devenu de plus en plus virtuel tout en se concrétisant au moment de payer la note en fin de mois. On dé-titrise, pour les mêmes raisons. 

"Et si l'on supprimait l'argent liquide", un article à double-tranchant à la suite duquel j'ai joué l'avocat du diable. On sentait la fraude, à plein nez, dans les commentaires. Si les petits poissons aiment garder l'argent liquide, les gros sont encore plus friands de cette liquidité implicite.   

Le net n'a pas été créé pour sécuriser mais pour partager des informations qui, sans s'en rendre compte, conservent une valeur et un prix non négligeables. 

Les machines font tout pour nous, même nous espionner.

Désolé de vous le répéter, la guerre asymétrique du net a commencé.

Asymétrique parce que cette guerre peut provenir de partout et de n'importe quel niveau. Sans verrous, il n'y a rien de plus transparent qu'un réseau électrique ou électronique. 

Les données sont là, l'intelligence sécuritaire est encore à inventer ou à s'affirmer. 

Dès lors, il faudra apprendre le Kung-Fu informatique et le judo des interconnexions.

Celui qui en douterait encore, qui ne se met pas à l'abris des cyberattaques verra que son innocence sera prise en considération sur la grande Toile. Les mailles se rétrécissent pour attraper le maximum de poissons de toutes les couleurs.

Soyons "Smart" comme disait Frédéric Martel dans son dernier livre, c'est à dire dans la traduction littérale "Intelligent" du mot "smart".

Les Voies du Saigneur virtuel sont impénétrables. 

... 

La résistance s'organise.

0.jpgIl existe un petit village en Belarix dans lequel, on ne connait pas Internet.

Aucune connexion ni réelle ni virtuelle avec l'extérieur ou alors à des moments stratégiques.

Le virtuel, ils ne connaissent pas autrement que dans leurs rêves.

Ils se veulent concrets, à l'abri des regards du monde. La sécurité absolue est leur règle absolue.

Parfois, un petit coup de potion magique aphrodisiaque, préparé par le druide, est distribué à la communauté du village, si jamais ils sentent la déprime.

Le maire, Informix, organise des jeux, quand il sent l'oisiveté naître. "Panem et circenses", comme leur ont dit leurs voisins, les visiteurs du soir.  

De ce fait, ils ne font la guerre que quand on les attaque.

Tout les trimestres, Informix rassemble ses administrés et fait un discours qui fait état de ce qui se passe derrière les frontières du village. Il sait que les villageois s'en foutent, puisqu'ils y nagent exclusivement et naturellement dans la sauce concrète de la fameuse potion magique euphorisante, mais il sait que cela lui donne de l'importance. 

0.jpg

Ce jour-là, Informix prit la parole.

J'ai appris qu'il y a des gens de Russix qui communiquent dans les nuages. Ils parlent avec les étrangers mais ils doivent s'assurer contre des "biscuits croquants" qu'ils appellent "cookix". Je n'ai pas tout compris. Ils parlaient dans un jargon étranger dont je ne connais que des rudiments". 

- Dans les nuages ? Et quand il pleut, ces informations leur tombent dessus ? demande Préfix en faisant rire les copains.

- Je suppose qu'ils appellent cela "grelix".

- Mais non, t'as rien compris. Ils te donnent des pubix pour en recevoir des informations en échange, ajoute Suffix.

- LOL. Tu n'as pas compris, non plus, il y a des informations intéressantes, dit le jeune, Netix.

- Rien à cirer de ce qui se passe derrière les frontières du village. Si vous continuez à nous dire des sornettes pareilles, je ne vote plus pour vouslance Sornix d'un ton rageur.

- Et toi, Netix, va rejoindre ton frère Numerix, lui au moins, il étudie bien à l'école, il ne fume pas du hachix comme toi, dit Carolix

- Mais, vous ne comprenez rien. Si vous voulez que nos récoltes aillent mieux, il faudra les vendre, et cela obligera à ouvrir les frontières au mondialixdit Economix dans une déduction habile.

- Oui, t'as raison, mes poules produisent trop d’œufs. J'ai le foie malade et je ne parviens plus à les consommer ni à les vendreajoute Grossix avec une bouche encore pleine.

- T'as qu'à en faire des œufs durs pour quand les Russix attaquent, dit Obeliix.

- Je vous laisse. J'ai du travail. Ma femme, Sifflix, m'a chargé de tellement de choses à faire que je ne sais plus où donner de la tête. Alors, le mondialix, très peu pour moi... Je vais traire ma vache et chercher des biscuits mous, au villages'insurge Asterix dans une indifférence totale.

C'est alors, qu'on entend la jeune Gallix qui se met à chanter.



Après cette réunion, tous se séparèrent jusqu'au trimestre suivant.

Informix avait repéré d'où provenaient les meilleures idées. 

Charlemagne n'a pas inventé l'école mais il a contribué au développement de l'école supérieure d'administration. Ce n'était pas un saint et il ne connaissait que la guerre concrète. 

...

Réflexions du Miroir

Le préfixe "cyber" est tiré du mot grec Kubernêtikê signifiant « gouvernail ». Utilisé dans le mot "cyberpunk", il a été popularisé par William Gibson et de nombreux autres auteurs de science-fiction. Nous y sommes en plein et les gagnants peuvent facilement devenir des perdants.

La moralité pourrait être que chacun a le malheur qu'il mérite puisqu'il devrait être éduqué pour le comprendre.

  

L'enfoiré,

...

Citations:

0.jpg

 

 

18 juillet 2014: Malaysian Airlines a nouveau dans le questionnement avec le crash de son autre avion. Une nouvelle enquête...

 

3.jpg9 avril 2015: TV5Monde piraté par Daesh. Internet, la voie royale vers le djihad. En plus, les djihadistes recrutent via Facebook et Twitter.

podcast

0.jpg 13 avril 2015: Le Soir a subit une cyber-attaque

29 janvier 2016: L'émission les décodeurs en parle avec le titre "Une cyberguerre est-elle désormais possible?"podcast

0.PNG18 février 2021: Mise à jour sur la cybercriminalitépodcastpodcast

1/6/2021: L'espionnage de dirigeants européenspodcastpodcast
9/6/2021: La panne informatique mondialepodcastpodcast

| Lien permanent | Commentaires (31) |  Imprimer