lundi 20 décembre 2010
Des ordinateurs vraiment bien connectés
Au dernier étage de la Direction centrale du renseignement intérieur, des pirates du contre-espionnage sont à l’écoute. Non pas de vous, mais de vos ordinateurs.
La salle de « tous les secrets » se situe au dixième et dernier étage du 84 rue Villiers à Levallois-Peret. Bien au chaud, les pirates de la DCRI peuvent se connecter sur n’importe quel ordinateur. Un courriel envoyé, un article rédigé, un site visité ? Un simple logiciel espion permet de tout consulter en temps réel. Même les conversations téléphonique via internet avec le logiciel Skype est « écoutable » avoue une petite oreille de la DCRI.
« Tout cela est très simple, reconnaît l’un de ces collègues officiers formé à l’école de la DST. Il suffit de se connecter sur le flux d’Internet. C’est d’ailleurs moins lourd techniquement que de procéder à des écoutes téléphoniques classiques. C’est même moins contraignant juridiquement ». En gros, on peut se passer de l’autorisation de la Commission nationale des interceptions de sécurité (Cnis). Pourtant, comme les banales écoutes téléphoniques d’antan, la surveillance informatique est soumise aux mêmes règles. Selon un expert, la Cnis a accordé l’an passé, environ 5000 interceptions informatiques. Loin derrière les écoutes de portables (28 000) ou téléphone fixe (8000). « Mais, reconnaît un hacker de la DRCI, la plupart du temps, on travaille ‘off ‘ directement avec un fournisseur d’accès à internet. On lui demande gentiment l’adresse informatique de l’ordinateur à ausculter. On se branche et personne ne sait rien… ».
La technologie, relativement nouvelle, laisse penser aux hommes de loi qu’elle n’est pas totalement maitrisée par les pirates. Et aux piratés potentiels que leurs ordinateurs sont inviolables. Un laisser-aller dont les contre-espions profitent… Cela dit, les barbouzes de la DCRI ou de n’importe quelle officine ont de plus en plus de mal à ouvrir la porte d’un ordinateur. D’abord, parce qu’ils redoutent que leurs intrusions ne soient repérées, surtout lorsque les serveurs informatiques sont blindés niveau sécurité comme c’est le cas dans certains journaux. Ensuite, parce que les pirates ne trouvent pas toujours la porte d’entrée. Les petits malins, journalistes comme terroristes, disposent en effet de moyens très simples pour empêcher toutes intrusions abusives. Il leur suffit de chiffrer leurs conversations. Des logiciels de cryptographie qui garantissent confidentialité et intégrité des échanges sont disponibles gratuitement sur la toile. « On finit par y arriver, selon un expert de la DRCI. Mais cela peut prendre du temps. »
Cela explique peut-être pourquoi récemment, plusieurs rédactions et domiciles de journalistes ont été « visités ». Ce qui n’empêche pas un grand chef de l’Intérieur de souligner : « Voler un ordi, c’est ridicule… Vous croyez qu’on en a besoin pour savoir ce qu’il y a dedans ? »…
samedi 18 décembre 2010
Une sécurité informatique pas toujours au TOP
Ce n’est pas toujours des hackers chevronnés qui découvrent des failles de sécurité informatiques. Parfois, des internautes à peine plus dégourdis que la moyenne compromettent la sécurité des données confidentielles de grandes sociétés comme SFR ou EDF.
Il suffisait d’être client de SFR Business Team, le service de téléphonie mobile réservé aux entreprises, pour accéder aux données confidentielles des autres abonnés de ce service. Cela fait pas mal de monde, et même du beau monde, puisqu’on y trouve de grandes sociétés, certaines œuvrant dans des domaines « sensibles », mais aussi quelques administrations et même des services de renseignement.
C’est un peu par hasard qu’un jeune internaute, qui disposait, par relation familiale, un compte SFR Business, est parvenu à franchir toutes les barrières en quelques simples clics. Un site spécial permet à tout abonné de consulter ses factures, actuelles ou passées, de vérifier les communications et les appels des différents portables figurant sur ce compte professionnel, avec le nom des utilisateurs et leur numéro. Pour se connecter, il faut montrer patte blanche, en fournissant un identifiant et un code d’accès. Mais tout se gâte lorsque notre internaute a l’idée de modifier un chiffre dans le numéro de la facture qu’il consulte. Et de demander à l’ordinateur de l’afficher. Sans broncher, et sans exiger le moindre mot de passe, le système, en principe hautement sécurisé, s’exécute : les informations d’un autre abonné s’affichent sur l’écran.
Vous l’aurez deviné, une tranquille et indiscrète balade devient possible. Le pirate peut consulter et, si ça lui chante, télécharger toute la facturation depuis des années. Pas de difficultés pour passer au peigne fin les communications détaillées de chaque portable et découvrir les numéros de quelques personnalités, piquées au hasard. C’est d’ailleurs ainsi que l’internaute découvreur de cette faille, a mis brutalement fin à son exploration. Il est tombé sur les numéros, les utilisateurs et les factures d’un service de renseignement. Un coup à se retrouver en prison avant d’avoir eu le temps de s’expliquer. Il a demandé au site spécialisé dans la sécurité informatique « zataz.com » d’alerter SFR.
La société a pris les choses très au sérieux, et mis aussitôt ses informaticiens au boulot. En moins de vingt-quatre heures, la faille était colmatée. Impossible désormais de jouer aux ballades numériques dans les bases de données. Mais impossible également d’être sûr que personne, avant ce jeune internaute, n’a profité de ce défaut, avec de moins nobles attentions. Dans plusieurs pays européens, comme le Royaume-Uni, l’Allemagne et l’Autriche, la loi oblige tout gestionnaire d’une base de données à avertir ses clients d’une fuite possible. En France, une semblable proposition de loi prend la poussière dans un tiroir de l’Assemblée nationale. Dernière chose sur le cas SFR, les clients n’ont évidement pas été informé de cette affaire.
Voltage inquiétant sur fichier
Quelques dizaines de milliers de messages de divers demandes et réclamations des abonnées, envoyées par courriel à EDF, sont accessibles en quelques clics sur la Toile. Pas dramatique sans doute, mais indiscret et désagréable pour ceux qui croyaient écrire en toute confidentialité. Un journaliste-internaute est tombé sur ces correspondances à l’occasion d’une simple recherche sur les énergies renouvelables. A partir d’une page proposée par Google, il a pu accéder à des centaines de répertoires, laissés sans aucune protection. Il aurait fallu des semaines pour tout explorer tellement c’était important. Des informations et des bases de données en principe protégées, sont ouvertes à tous, dont une partie du fichier des clients d’EDF. Ce qui ne pose pas seulement un problème de protection de la vie privée, mais pourrait aussi constituer un désastre économique. Car tout fichier a une valeur marchande, et celui d’EDF, considéré comme particulièrement fiable, est un trésor sur le marché noir. Il est impensable de le laisser traîner, même en partie…
Après enquête, la direction d’EDF explique que ces données ont été confiées à une société extérieure, simple prestataire de services, qui devait développer des sites Internet. Pour l’y aider, EDF lui avait fourni une partie de son fichier et des milliers de correspondances privées. L’erreur de ce prestataire ne semble pas émouvoir plus que ça. Mise au courant, la direction de la communication d’EDF conserve « toute sa confiance » à cette société. Et elle n’a pas davantage l’intention d’informer la commission nationale de l’Informatique et des Libertés.