Cyberespionnage : l’arroseur arrosé

18 décembre 2020

Les États-Unis sont furieux; un pays étranger — probablement la Russie — épie tous les ministères américains importants depuis neuf mois et ils viennent seulement de l’apprendre.

L’histoire est classique. Profitant d’une vulnérabilité du système d’exploitation Windows, des pirates ont eu accès aux ordinateurs d’une firme texane (Solar Winds) dont le produit phare est un outil logiciel (Orion) extrêmement populaire pour le réseautage des ordinateurs.

Ce logiciel est utilisé par trente-trois-mille entreprises, dont la presque totalité des grandes compagnies internationales et une bonne partie des agences gouvernementales américaines.

Une fois introduits dans les ordinateurs de Solar Winds, les pirates ont d’abord créé les attestations numériques qui leur étaient nécessaires afin de pouvoir travailler sur Orion sans attirer l’attention.

Puis, en tant que programmeurs attestés de l’entreprise, ils ont inséré un cheval de Troie dans deux mises à niveau d’Orion offertes en mars et en juin derniers.

Sans le savoir, la firme a invité ses clients à télécharger la nouvelle version. Ce qu’environ 18 000 de ses clients se sont empressés de faire.

Dans l’autre moitié des utilisateurs d’Orion, les responsables du réseautage ont évité d’installer des mises à niveau offertes, non pas parce qu’ils se doutaient de quelque chose, mais parce que ces personnes hésitent souvent à installer des mises à niveau qui pourraient comporter des bogues susceptibles de déstabiliser leur réseau informatique. On préfère donc les vieux bogues connus à de nouveaux qui pourraient leur réserver des surprises encore pires.

Si les pirates russes ont choisi le logiciel Orion comme vecteur de leur cheval de Troie, ce n’est pas seulement en raison de sa popularité au sein des grandes entreprises, mais également parce que son éditeur, Solar Winds, avait pris l’habitude de conseiller à ses clients d’inactiver temporairement leur protection contre les programmes malveillants au moment des mises à niveau d’Orion.

Aux États-Unis, le virus informatique a contaminé les ordinateurs du FBI, d’une partie du Pentagone, des Départements d’État, du Commerce, et du Trésor, de même que les ordinateurs du Département de la Sécurité intérieure (dont le rôle est de protéger les États-Unis de ce genre de menace). Évidemment, Microsoft elle-même a été touchée.

Au moment où ces lignes sont écrites, les autorités américaines sont incapables de dire ce à quoi les pirates ont eu accès, les documents ultraconfidentiels qu’ils auraient pu consulter (ou copier), et les méfaits à retardement qu’ils auraient pu planifier.

C’est comme savoir qu’un malfaiteur s’est introduit dans votre maison sans savoir s’il est toujours là.

Aussi insultés qu’ils soient de voir leur réputation d’invulnérabilité atteinte, les États-Unis doivent se rappeler que depuis toujours, les pays s’espionnent. On espionne les pays ennemis, évidemment, mais également les alliés les plus fidèles.

Sans ses espions, les couloirs du Pentagone seraient déserts. Et on s’ennuierait royalement dans les ambassades.

Avant même les attentats de 2001, les gouvernements des pays anglo-saxons — les États-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande — avaient mis sur pied un vaste réseau d’espionnage qui filtrait tous les courriels, textes, et conversations téléphoniques de la planète.

C’est ce qu’a révélé Edward Snowden en 2013 après y avoir travaillé.

De plus, grâce au géolocaliseur des téléphones multifonctionnels, on est en mesure d’épier tous les déplacements de leurs propriétaires.

Pour donner une idée de l’ampleur de ce système d’espionnage, dans une seule journée de 2012, on a ramassé les données des carnets d’adresses électroniques de 22 881 comptes Gmail, 82 857 comptes Facebook, 105 068 comptes Hotmail et 444 742 comptes Yahoo.

Les États-Unis travaillaient sur des systèmes de reconnaissance faciale à des fins de surveillance de masse et avaient commencé à préparer les esprits à ce sujet lorsqu’ils ont appris que la Chine les avait devancés.

Au lieu du message ‘Si votre enfant était kidnappé, n’aimeriez-vous pas que la police le retrouve en quelques heures grâce à notre système de reconnaissance faciale’, le message américain est devenu ‘Voyez comment la Chine est un État totalitaire : n’êtes-vous pas heureux de vivre dans un pays où ce genre de chose ne se fait pas (ou du moins, ne se fait pas encore) ?

Le gouvernement américain goute maintenant à sa propre médecine. Il a versé des milliards à des firmes afin de développer aux États-Unis une expertise en matière de sécurité informatique. Et voilà qu’on apprend qu’on n’a rien vu d’un acte d’espionnage — et peut-être de piraterie — qui s’est poursuivi pendant neuf mois avant qu’on s’en aperçoive.

Les pirates russes entraient dans les ordinateurs du gouvernement américain comme le vent entre les planches des murs d’une vieille grange. Et ce, depuis des mois.

Pouvez-vous imaginer ce que vaut la protection de nos données personnelles à nous (dont nos numéros de cartes de crédit) enregistrées dans les bases de données des commerces dans lesquels nous faisons affaire ?

La morale de cette histoire : tout ce qui est accessible par l’internet peut être piraté.

En supposant que les pirates russes n’aient rien volé : si tel est le cas, c’est qu’ils ont choisi de ne rien prendre. Mais ce qu’ils ont prouvé, c’est que les États-Unis sont un colosse aux pieds d’argile.

Le gouvernement américain lui-même s’est fait prendre. Imaginez ce que vaut la protection sur laquelle repose la sécurité de nos données…

Références :
Clinton commits $1.46B to fight cyberterrorism
Edward Snowden
Etats-Unis : des pirates ont réussi à infiltrer les départements du Trésor et du commerce
La piraterie encouragée ou financée par l’État
L’informatique dématérialisée et l’espionnage industriel
Liste permanente de vols de données par l’internet
‘Russian cyber-thieves’ raid Pentagon computers during 1999
Russian government hackers are behind a broad espionage campaign that has compromised U.S. agencies, including Treasury and Commerce
Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit
SEC filings: SolarWinds says 18,000 customers were impacted by recent hack
Snowden: Washington a lancé 231 cyberattaques en 2011
SolarWinds

Votre évaluation :
 Appréciation moyenne : 0 — Nombre de votes : 0

Laissez un commentaire »

| Informatique, Sécurité, Sécurité nationale | Permalink
Écrit par Jean-Pierre Martel


La technologie, talon d’Achille de la démocratie américaine

26 avril 2019

Un pays peut-il se présenter comme un modèle de démocratie lorsqu’une partie importante de ses citoyens exercent leur droit de vote sur des machines sujettes à l’erreur et aux bris mécaniques, vulnérables à la piraterie, et dont personne ne peut garantir le bon fonctionnement ?

C’est le cas des États-Unis.

Au début des années 2000, le vote à l’aide d’écrans tactiles a été testé dans un petit nombre d’États afin de réduire le cout des dépenses électorales.

À l’époque, l’informatique dématérialisée n’avait pas été créée. Le vote dit ‘électronique’ s’effectuait donc sur des machines à voter.

Brevetées, ces machines sont conçues et fabriquées par des entreprises privées. Le code source de leurs logiciels est secret.

Depuis 17 ans, les machines à voter se sont répandues dans douze États américains. Elles servent lors de référendums d’initiative citoyenne et lors des élections locales ou nationales.

Au cours des années, de nombreuses lacunes ont été corrigées. Toutefois, les machines de première génération, vendues depuis dix-sept ans, souffrent d’une conception déficiente :
• leur bon fonctionnement n’est validé par aucune firme de vérification indépendante,
• elles ne remettent aucun reçu ‘garantissant’ à l’électeur que son vote a été enregistré correctement à partir de l’écran tactile, et
• elles ne fournissent aucun de moyen de vérifier où elles en étaient rendues au moment d’une panne.

Est-ce mieux dans les États où les électeurs votent sur papier ?

Dans ces États, les résultats sont compilés sur des ordinateurs fonctionnant sous Windows™. Or des vérifications ont révélé que sur ces appareils, on n’a pas installé de mise à jour sécuritaire depuis des années.

Bref, l’infrastructure électorale des États-Unis souffre de lacunes sévères, peu importe la technologie utilisée.

Si Donald Trump avait perdu de justesse l’élection présidentielle de 2016, est-on certain qu’il aurait eu la noblesse de reconnaitre la victoire d’Hillary la malhonnête (‘crooked Hillary’), selon ses propres mots ?

Puisqu’il était impossible de recompter des dizaines de millions de votes effectués sur des écrans tactiles, qu’aurait-on fait si le multimillionnaire égocentrique avait plutôt refusé de reconnaitre le résultat du scrutin ?

Ce n’est pas la seule menace qui plane sur le système électoral américain.

Afin d’éviter que des puissances étrangères ne faussent le résultat d’un scrutin aux États-Unis, l’Académie nationale des Sciences américaine recommandait récemment que tous les électeurs votent sur des bulletins en papier destinés à être lus par des lecteurs optiques et compilés par des machines. Les bulletins eux-mêmes seraient conservés dans l’éventualité d’un recomptage. Quant à ces machines, l’Académie déconseille leur connexion directe à l’internet ou par le biais d’un réseau.

Évidemment, les fabricants des anciennes machines à voter proposent aujourd’hui de nouveaux modèles, de seconde génération, qui répondent parfaitement aux normes les plus sévères, disent-ils. Au premier coup d’œil, les nouveaux modèles semblent répondre aux exigences de l’Académie.

Sur certains d’entre eux, le vote se fait encore par le biais d’un écran tactile. Mais la machine remet à l’électeur une confirmation sur papier. L’électeur dépose ensuite la confirmation dans une urne qui sera rouverte en cas de contestation.

D’autres systèmes reposent sur l’utilisation de deux machines complémentaires. L’électeur vote d’abord sur l’écran tactile d’une machine qui ne fait qu’imprimer lisiblement son bulletin de vote. L’électeur présente ensuite ce bulletin imprimé à une deuxième machine qui numérise et enregistre son choix. Le bulletin est ensuite déposé dans une urne.

Dans un cas comme dans l’autre, certains indices laissent croire que beaucoup d’électeurs ne se donnent pas la peine de vérifier si la confirmation ou le bulletin imprimé est conforme à leur choix.

Dans le système à deux machines, le premier appareil ne fait pas qu’imprimer lisiblement le choix de l’électeur; il imprime également un code zébré qui — lui seul — sera lu par la deuxième machine. Or l’électeur n’a aucun moyen de savoir si ce code (incompréhensible) correspond à ce qu’il peut lire en clair sur son bulletin imprimé.

Des chercheurs universitaires se sont procuré des machines à voter afin de vérifier leur vulnérabilité à la piraterie. Leurs résultats ont provoqué la décertification des machines à voter de Virginie. Les fabricants de ces machines ont répliqué par des menaces de poursuite envers tous ceux qui s’opposent à leurs intérêts.

Alors que les autorités américaines tentent de renforcer la protection du système électoral contre des cyberpirates opérant de l’Étranger, on découvre une menace encore plus pernicieuse provenant de l’intérieur même des États-Unis.

Cette menace est reliée à l’opacité qui entoure la propriété des entreprises qui fabriquent et vendent les machines à voter. Ces entreprises sont souvent issues de montages financiers complexes.

En 2015, ByteGrid (le principal fournisseur de machines à voter au Maryland) a été acquis par une société ayant des liens d’affaires avec un oligarque russe.

Or il y a deux catégories d’oligarques russes : les amis de Vladimir Poutine, et ceux qui sont en prison…

C’est seulement trois ans après cette acquisition inquiétante que les responsables des élections au Maryland en ont été informés par le FBI. Depuis, la maison-mère russe s’est départie de ses intérêts dans ByteGrid.

D’autre part, les agences de renseignements américains ont découvert que parmi les entreprises ciblées par les douze agents russes expulsés l’an dernier des États-Unis, se trouvaient les éditeurs des logiciels qui font fonctionner les machines à voter.

Dans un cas précis, des pirates russes ont réussi à installer un logiciel malveillant sur le réseau d’un des fabricants de ces machines.

Pour réussir, une puissance hostile n’a pas besoin de prendre le contrôle du système électoral des États-Unis; il lui suffit de jeter le doute sur son bon fonctionnement.

Une fois le doute installé dans l’esprit des électeurs, on vient de saper la légitimité de la classe politique américaine…

Références :
America’s new voting machines bring new fears of election tampering
Securing the Vote: Protecting American Democracy
Russia is aiming to interfere in US midterm elections, warns CIA chief
‘They think they are above the law’: the firms that own America’s voting system
Why US elections remain ‘dangerously vulnerable’ to cyber-attacks

Votre évaluation :
 Appréciation moyenne : 0 — Nombre de votes : 0

Laissez un commentaire »

| Politique internationale, Sécurité, Sécurité nationale | Mots-clés : , , | Permalink
Écrit par Jean-Pierre Martel


Délocalisation et sécurité nationale

30 mai 2017

L’histoire d’Ad Lib Inc.

Les premiers microordinateurs IBM-PC sont nés en 1981.

Il s’agissait de gros boitiers métalliques renfermant principalement une carte maitresse.

Cette dernière était dotée de fentes de connexion permettant d’insérer des cartes-filles; une carte vidéo pour connecter l’écran cathodique, une autre carte pour le modem, etc.

En 1987, un ancien vice-doyen de la faculté de musique de l’université Laval se passionne pour la micro-informatique. Il fonde la firme Ad Lib Inc. dont le but est d’améliorer la reproduction sonore des ordinateurs du temps, limités alors à un petit hautparleur de qualité médiocre.

Sa première carte est nommée Ad Lib Personal Computer System, conçue autour de la puce YM3812 de la japonaise Yamaha.

Après des débuts difficiles, cette carte rencontre une immense popularité après que les amateurs de jeux vidéos découvrent que celle-ci améliore considérablement le réalisme des séances du jeu King’s Quest IV.

En moins de deux ans, la carte Ad Lib devient indispensable aux yeux de millions de joueurs.

Mais son créateur, le professeur Martin Prevel, voit grand. Il conçoit une nouvelle carte beaucoup plus performante, l’Ad Lib Gold, conçue autour d’un nouveau microprocesseur, le YMF262 de Yamaha.

Mais ce fournisseur approvisionne également un rival de la compagnie québécoise, soit Créative Labs. Ce rival est japonais, tout comme Yamaha.

Pendant que ce rival expérimente et teste un produit concurrent de l’Ad Lib Gold, Yamaha expédie des puces défectueuses à la compagnie québécois, ce qui retarde le développement de son nouveau produit.

En 1990, Creative Labs sort sa carte Sound Blaster avec des mois d’avance. Quand la québécoise met finalement en marché sa nouvelle carte Ad Lib Gold, celle-ci n’intéresse plus personne et la compagnie doit déclarer faillite deux ans plus tard.

L’informatique de British Airways

En 2016, le nouveau patron de British Airways décidait de délocaliser vers l’Inde la programmation du système informatique de ce transporteur aérien.

L’Inde est reconnue pour la compétence de ses programmeurs. À l’époque du ‘bogue de l’an 2000’, ce sont les programmeurs de ce pays qui ont réécrit de nombreux programmes informatiques.

La fin de semaine dernière, en Angleterre, les avions de la British Airways ont été cloués au sol en raison d’une panne informatique qui a affecté mille vols.

Pour le transporteur, les pertes sont évaluées à 170 millions de dollars canadiens.

Selon le transporteur, la cause serait un pic de courant électrique qui aurait endommagé les principaux ordinateurs utilisés pour les opérations de la compagnie.

La corruption

Alors que rien ne le laisse supposer dans le cas de la British Airways, imaginons le scénario hypothétique suivant.

Une compagnie internationale décide de délocaliser sa programmation informatique. Cette compagnie joue un rôle stratégique dans l’économie d’un pays occidental.

Situé dans le Tiers-Monde, le contractuel est une compagnie fiable qui possède une longue expérience de bons et loyaux services.

Le prix de ses services est très avantageux parce que ses programmeurs coutent beaucoup moins cher. Mais justement pour cette raison, ils sont plus sujets à la corruption.

Si une puissance étrangère veut nuire à l’économie de ce pays occidental, il lui suffit de corrompre non pas les dirigeants de la firme informatique mais n’importe quel employé qui a accès au code source du logiciel élaboré pour la compagnie internationale.

Tout comme Creative Labs a mené Ad Lib Inc. à la faillite.

J’imagine que le jour où un tel scénario se produira, on prendra conscience de ce qui est déjà évident; la délocalisation — qu’il s’agisse d’un logiciel, d’une pièce maitresse ou un composant essentiel à la fabrication d’un produit industriel — peut entrer en conflit avec la sécurité nationale.

Références :
Ad Lib, Inc.
British Airways CEO will not resign despite ‘catastrophic’ IT failure
Author of Sound Blaster: The Official Book talks about the early days of PC audio

Paru depuis :
Plus d’un million de masques retenus en Inde (2020-03-30)

Votre évaluation :
 Appréciation moyenne : 0 — Nombre de votes : 0

Un commentaire

| Sécurité, Sécurité nationale | Mots-clés : , , , | Permalink
Écrit par Jean-Pierre Martel


%d blogueurs aiment cette page :