Revenons quelques siècles en arrière, entre le XVIème avec Francis Drake et la fin du XVIIIème avec Robert Surcouf. Pirates et corsaires fendent l’eau. Les uns tuent et volent pour leur compte, les autres volent pour le compte du Roy. La corde pour les uns, le statut de prisonnier de guerre pour les autres en perspective. Mais globalement le quotidien est semblable.
Il est probablement osé mais tellement tentant de faire le rapprochement avec la National Security Agency (NSA) s’appuyant sur l’Equation Group, développeur d’outils logiciels malveillants. La matière première est la mine de failles dites « Zero day », autrement dit bugs ne bénéficiant pas encore de rustine de la part de l’éditeur, lequel n’en a pas d’ailleurs nécessairement la connaissance.
Chez Microsoft, le protocole de partage de fichiers ou imprimantes « Server Message Block » des versions XP, Vista, 7 et 8 de Windows est une pépite parmi d’autres dans ce gisement de failles. Le logiciel conçu par l’Equation Group pour l’exploiter est baptisé EternalBlue.
Complication : l’Equation Group se fait dérober ses outils par un groupe de pirates (corsaires ? non pas), les Shadow Brokers. Malgré un patronyme qui fleure bon les années ’60 les Shadow Brokers ne donnent pas dans la musique mais dans le chantage. Et le 13 août 2016, les outils dérobés sont proposés dans des enchères à l’issue infructueuse. En gage de bonne foi, une partie du butin est proposé en téléchargement libre. Dont EternalBlue.
Le 13 mars 2017, Microsoft publie un correctif. Le 14 avril 2017, nouvelle livraison publique de la part des Shadow Brokers dont « DoublePulsar » qui pratique une ouverture pour les autres malwares ; le 12 mai 2017 un « ransomware » couplé avec un ver informatique s’appuyant sur cette panoplie est lancé. Résultat : on a pu mesurer la quantité d’applications disséminées dans les administrations et les entreprises qui tournent sur Windows XP, 7 et 8. Et qui n’avaient pas encore pris en compte la modification catastrophe de Microsoft du 13 mars.
Je passe sur les inéluctables développements de cette affaire, à base de clefs de chiffrement présentes dans le code, d’opérations de minage de Monero, cousin du Bitcoin, de menace sur les centrales nucléaires et autres péripéties encore à venir j’imagine.
Je voudrais juste en profiter pour laisser libre cours à quelques réflexions voire coups de colère :
-
À mon sens, si la responsabilité des DSI semble s’imposer spontanément, activer les incessants patchs sur des processus qui peuvent aller depuis la commande du client jusqu‘à la fabrication en passant par la sous-traitance n’est pas anodin. Il faut par exemple commencer par s’assurer que tous les effets de bord éventuels ont été identifiés. Il est trop facile pour un éditeur de lâcher un produit non fini dans la nature et de reporter sur les DSI la charge des mises à jour sans se soucier du coût induit.
-
À mon sens, la responsabilité de la NSA est forte. Détecter une faille et la taire, construire des outils pour exploiter ces failles et ... se faire dérober le tout, c'est quand même un peu fort, les corsaires !
-
À mon sens la responsabilité de l’éditeur est fondamentale. C’est parce que les logiciels présentent des failles pourtant détectables (la preuve : la NSA les a trouvés) qui n’auraient jamais dû franchir la validation que le piratage est possible.
-
Obsolescence programmée ? La durée d'utilisation d'une licence est bornée par le bon vouloir de l’éditeur quant à ses correctifs. Au-delà, l’utilisateur doit acquérir une nouvelle licence et … réécrire ses propres applications.
-
Des sources sont montrées du doigt (Corée du Nord, Inde …). Peut-être. En fait on n’en sait strictement rien. L’analyse du virus et son traçage n’apportent aucun moyen fiable d’identification. Les adresses IP savent se cacher et les indices ou rapprochements dans le code sont bien souvent issus de copies – nous sommes dans le domaine du logiciel ouvert – voire de volonté délibérée d’égarer l’enquêteur. L’anglais approximatif utilisé par les pirates pourrait relever du même registre.
-
Bitcoin : Les comptes en bitcoins sont anonymes mais les opérations sont transparentes. Le « chiffre d’affaire » du rançonneur est public. En théorie, on peut même voir le compte du rançonneur se vider au fil de ses dépenses et éventuellement voir le change en monnaie classique. Le tout même au bout de plusieurs années. En pratique, en diluant les opérations et en multipliant les comptes intermédiaires on rend très illusoire l'identification du rançonneur.
- La presse en appelle à un « contrôle technique » des logiciels. Sauf qu’à la différence des voitures, un logiciel ne s’use pas. S’il faut piocher dans le langage courant, la « garantie décennale » me paraît plus appropriée.
Cassons le mythe qui prétend normal que tout logiciel comporte des erreurs ! Logiciels embarqués ou électro-ménager en sont des contre-exemples !
Finissons-en avec le vocabulaire complaisant qui laisse entendre fatalité ! Un chat est un chat et un « bug » une « malfaçon » !
Halte à la règle non écrite qui fait des utilisateurs des (bêtas ?) testeurs à leurs frais !
Passons outre la culture de l’éditeur monolithique auprès de qui nous sommes souris et claviers liés !
Disruptons, quoi …