Plan MAM : bavures et piratage à tous les étages
Après un certain temps d'intégration, les réactions se multiplient suite à l'annonce du Ministre de l'Intérieur relative au projet de lutte contre la cyber-délinquance. Le Parti Pirate, tout d'abord, qui jette un brûlot aussi fougueux que dénué de contre-arguments solides. Certains experts également, qui, bien que plus nuancés dans leurs propos, craignent certaines dérives. Ainsi Guillaume Lovet, responsable de l'équipe anti-menaces chez Fortinet. Précisons avant toute chose, que Fortinet est un équipementier spécialisé dans la fabrication d'Appliance de sécurité et de filtrage. De ce fait, tout gouvernement souhaitant généraliser des techniques de filtrage de contenu et de rétention d'information sur des réseaux IP ne peut, en toute logique, que servir les intérêts de cette entreprise. C'est pourtant un tout autre discours que nous tient le patron de l'antenne française anti-menaces. Selon G. Lovet, le projet possède de bons et de mauvais cotés. « Les bons aspects tout d'abord. Car on ne peut nier qu'une action gouvernementale visant à sensibiliser la population sur les problèmes de cyberdélinquance soit totalement négative... Mais c'est dans les détails que se cache le démon. « Pour ce qui concerne les écoutes, le projet envisage d'instaurer un appareil de surveillance encore plus intrusif qu'un autre projet mis en chantier en Allemagne, et qui a été débouté par l'équivalent des sénateurs d'Outre Rhin. Et il est question d'en faire une loi européenne, afin de ne pas être entravé par les arcanes des dispositifs législatifs des différents pays membre de l'Union. D'autre part, les outils évoqués dans le projet ne sont ni plus ni moins que des instruments de perquisition à distance. Dans la vie de tous les jours, un acte semblable ne peut se faire sans une commission rogatoire délivrée par un juge, et se déroule en toute connaissance de cause de la part de l'intéressé qui, avant tout jugement, est présumé innocent. Rien, dans l'actuel projet, ne laisse entendre que la personne surveillée soit prévenue... tout laisse même penser le contraire. Même pour son bien, on ne peut exécuter un programme sur la machine d'une personne sans son consentement. Sur la question même de l'usage d'outils intrusifs, et indépendamment du risque non négligeable de « détournement » de ce spyware policier par des gens mal intentionnés, on ne peut manquer de se poser la question suivante : qu'en est-il de la recevabilité des preuves contenues sur le disque dur de l'individu suspecté ? Si, de facto, ce composant a fait l'objet de modifications volontaire AVANT toute saisie et inculpation, rien n'interdit d'imaginer que d'autres éléments y aient été également introduits. La question se pose déjà à l'heure actuelle : peut-on accuser quelqu'un sur la seule preuve des éléments contenus sur un disque, sachant que les fichiers et journaux peuvent avoir été modifiés ou refléter l'activité d'une toute autre personne ayant utilisé l'ordinateur de manière illégale. Ouvrons ici une parenthèse pour rappeler une jurisprudence Britannique qui a relaxé un accusé, la défense ayant argué du fait que les accès WiFi du présumé coupable étaient aisément piratables, reflétant en fait l'activité d'une personne inconnue. Il serait dangereux de confondre la machine et son propriétaire. Il serait également tout aussi dangereux et considérablement plus injuste de considérer comme responsable un utilisateur informatisé sous prétexte qu'il « devrait savoir se protéger » ou qu'il « a été largement averti ». La sensibilisation est la vache à lait de bien des consultants en informatique, d'autant plus intarissable qu'elle est réputée ne pas être efficace. Guillaume Lovet continue : Les statistiques que nous établissons régulièrement et qui mesurent l'activité des botnet sont la preuve indiscutable que cette hypothèse du « troisième homme » est très courante et que la sensibilisation de l'usager est une notion très fluctuante : les postes zombie sont une réalité du monde internet, et il semblerait qu'il y ait pratiquement autant de « victimes » dans le milieu professionnel que dans le parc grand public (ndlr : pour être recevable, le « spyware MAM » devrait donc paradoxalement être capable, avant toute chose, de « désinfecter » le disque cible avant de débuter son travail d'investigation) Il faut également, pour que ces outils de surveillance et d'intervention à distance soient efficaces, que les développeurs travaillant pour le compte des organismes policiers puissent obtenir le secours des professionnels de la sécurité. En d'autre terme, que le programme implanté à distance soit rendu invisible et non détecté par les principales passerelles de sécurité du commerce. Un point qui pose de sérieux problèmes déontologiques aux spécialistes du milieu. Passons également sur la technicité de l'opération, sur la compétence du juge en matière d'outils intrusifs, même sui celui-ci se fait seconder par des experts. Sur la question du filtrage du contenu par les fournisseurs d'accès, le précédent du site négationniste Aaargh prouve combien de telles mesures sont illusoires. La procédure de banissement s'est avérée longue et difficile. Et une fois décrétée par jugement, ses effets ont été nuls, puisqu'il a suffit aux administrateurs de déplacer l'ébergement du site en dehors de la juridiction Française. Ceci sans présumer du fait que ces mesures sont contournables par les usagers eux-mêmes (ndlr, en utilisant des proxy chiffrés notamment). Et puis, peut-on entendre de telles propositions sans instinctivement penser à ce qui se passe en Chine ou en Birmanie ? En fin de compte, quel type d'internaute ces mesures sont-elles censées protéger ? » Viennent ensuite les exemples de la « vraie vie », celle qui prouve à quel point il y a loin entre la loi et son application. A commencer par l'inévitable bévue technique, telle que celle rapportée par l'Electronic Frontier Foundation et commentée par Steve Bellovin : en demandant l'aiguillage des emails d'un suspect, le FAI chargé de l'opération a expédié au FBI la totalité du courrier électronique ayant transité sur le domaine . Une pierre dans le jardin de tous les chantres qui psalmodient le mantra « ca n'arrivera jamais ». Bellovin revient d'ailleurs sur certains problèmes épineux posés par le système d'espionnage Carnivore. Lorsque l'annonce officielle de cet outil avait été faite, les principaux éditeurs de logiciels anti-virus américains avaient officiellement annoncés qu'ils sauraient diplomatiquement ignorer la présence de cet outil s'il venait à être détecté. Une déclaration qui, à l'époque, avait provoqué une très nette réaction des entreprises européennes à l'égard de Symantec notamment. Il semble tout à fait logique qu'un « spyware MAM » nécessite, pour qu'il soit efficace, une « collaboration » (au sens sinistrement historique du terme) des principaux éditeurs et équipementiers du monde de la sécurité. Est-ce pensable ? Pas sur. Car cela équivaudrait à forer un trou béant dans l'intégrité des architectures de défense périmétriques. Qu'un pirate parvienne à retrouver la trace de ce genre de code, et il disposera d'une arme formidable : un passe-partout donnant accès au réseau local de toute machine protégée avec un firewall « MAM Aware ». Le business d'un éditeur d'antivirus, d'un fournisseur d'UTM, c'est avant tout de vendre de la confiance. En obligeant l'industrie à collaborer à des opérations de basse police, le Ministre de l'Intérieur demande implicitement à ces entreprise de se décrédibiliser elles-mêmes. Est-ce concevable ? Il n'y a pas de bon code intrusif. En confondant la motivation et les mécanismes techniques, un « gentil virus » ou un « spyware sympa » peut provoquer d'importantes dérives. Car, bon ou mauvais, un logiciel d'espionnage est avant tout un logiciel, une oeuvre humaine, susceptible d'erreurs, erreurs qui sont potentiellement exploitables. Par le plus grand des hasards, c'est le New Scientist qui remet ce sujet sur le tapis en rapportant une hypothèse de travail qui aurait été émise par un chercheur de Microsoft travaillant à Cambridge : il ne peut exister de meilleur remplaçant à Microsoft Update ou à SUS Server qu'une rustine à propagation automatique. Autrement dit, le virus guérisseur. Security Focus se lance dans l'historique de cette fausse-bonne idée : Dave Aitel en 2006, les labos de Hewlett Packard en 2004, Vesselin Bontchev, dans le cadre de la chasse aux virus, en 1994, jusqu'au premier « raté » de l'histoire des correctifs automatiques qui tournent à la catastrophe, la fameuse mise à jour de pilote commentée par mm John Shoch et Jon Hupp du Parc, en 1982. Le tableau ne serait pas complet si l'on oubliait Welchia, l'anti-MS-Blast, qui généra plus d'encre journalistique et de trafic IP qu'il ne nettoya réellement Internet, ou le rootkit gratuitement diffusé par Sony, là encore un « gentil outil d'attaque militant pour le mieux-être sécuritaire » des éditeurs, un rootkit dont le reverse engineering a mis en évidence de nombreuses possibilités d'exploitation. Qu'il soit auto-propagé ou installé « à la demande », un outil intrusif est une faille. Tout comme est une faille le VPN « secret » installé par une société de maintenance qui ne souhaite pas s'enquiquiner avec des procédures complexes. Ce que l'on ne peut accepter d'une SSCI un peu indélicate sur le respect des règles de sécurité, peut-on l'admettre de la part d'un gouvernement ?
