Trois faits divers récents m’incitent à vous proposer trois aperçus sur la sécurité informatique ou comment prévenir les dégâts quand on a chez soi un ordinateur et qu’on n’est pas du métier. Trois principes simples qui vous éviteront bien des ennuis, je l’espère…
Noli me tangere…
Il y a quelques semaines, l’armée américaine a avoué avoir trouvé un virus sur leur réseau informatique interne et notamment sur les ordinateurs qui permettent de piloter les drones armés en Afghanistan depuis le fin fond de la cambrousse américaine (1). Ce virus, un « keylogger » (enregistreur de clavier) permet, chez M. Tout le Monde, de noter le numéro de carte bleue lorsqu’il effectue des paiements en ligne ou de capturer son mot de passe quand il se connecte à sa banque.
Fait inquiétant : le service de sécurité de la base militaire en question avait déjà repéré le logiciel malveillant depuis plusieurs semaines mais n’en avait pas parlé aux autres membres du réseau pour ne pas se ridiculiser, mettant ainsi en danger tout les autres ordinateurs de ce réseau. A priori, le virus est rentré par l’intermédiaire d’une clé USB sur laquelle se trouvait des cartes d’une région où se déroulent des opérations en Afghanistan.
Fait rassurant : les réseaux internes militaires sont tous séparés des réseaux publics par un « air gap » (un intervalle d’air) c’est à dire qu’en fait ils ne sont pas connectés physiquement, ce qui fait que le petit virus sur ce réseau se retrouve tout seul sans personne de qui recevoir des ordres ou à qui renvoyer les informations qu’il a glanées ici ou là. C’est une pratique universelle, et ceux qui prétendent avoir pénétré « les ordinateurs secrets de la CIA », quand ce ne sont pas des mythomanes, se sont le plus souvent laissé abuser par des « pots de miel ».
Et dans la série « quand les événements nous dépassent, feignons de les organiser », une fuite anonyme interne à l’armée américaine prétendrait que ce virus est en fait un moyen de contrôle de la hiérarchie sur les opérateurs de drones. Ça me fait doucement rigoler, s’ils ont besoin d’un virus pour savoir ce que font leurs opérateurs alors c’est que l’informatique militaire américaine est vraiment au fond du trou !
La leçon de cette histoire est que nul n’est à l’abri d’une infection de nos jours, le tout est qu’elle puisse faire le moins de dégâts possibles : sauvegardez vos données sur un disque externe que vous brancherez le moins souvent possible, quand vous n’avez pas besoin de votre ordinateur, éteignez-le et surtout n’y mettez aucune information que vous ne voulez pas voir se retrouver un jour dans la nature. Pas de numéro de carte bancaire (les eCartes Bleues sont le seul moyen de faire des achats sur internet à moindre risque), n’utilisez le serveur de votre banque que s’il ne permet aucune opération d’envoi d’argent ailleurs que sur des comptes que vous avez déclarés (c’est par exemple ce que fait la Banque Postale) et n’y laissez aucune photo compromettante, lettre privée ou autres données confidentielles, imprimez-les et effacez la copie numérique.
Un jour ou l’autre, même si vous êtes sûr d’être à l’abri, vous y passerez, comme l’armée américaine, et moins il y aura de possibilité de dégâts mieux vous dormirez les jours suivants…
Les hamburgers ont des oreilles
L’humain moyen est tel que pour s’épargner un effort parfois minime, il est prêt à prendre des risques souvent importants voir même gravissimes. Non, je ne parle pas de ceux qui pour s’éviter de marcher quelques mètres et d’attendre quelques secondes traversent telle grande artère en plein milieu de la circulation, remettant leur vie entre les mains de chauffeurs qu’ils espèrent bienveillants. Non, je ne parle non plus de ceux qui pour gagner quelques précieuses secondes, vont doubler sans visibilité, rouler à tombeau ouvert quitte à mettre leurs économies, leurs points de permis et même leur vie en danger pour quelques miettes de temps dont on espère au moins qu’ils les utiliseront de manière particulièrement profitable. Non, je vous parlerai aujourd’hui de ceux qui pour s’éviter de devoir brancher un câble entre leur « box » et leur ordinateur, effectuent leurs achats, leur gestion bancaire ou autre opération privée à travers leur liaison radio Wifi, au vu et au su de tout le quartier.
Mais oui, la radio est ainsi faite que tout un chacun peut émettre et recevoir, et que tout ce que vous émettez peut être écouté et donc entendu. Certains poussent l’inconscience jusqu’à faire des achats sur internet à travers des réseaux publics (MacDonald’s et autres) ou ne mettent pas de mot de passe à leur propre réseau. Eh oui, même les plus informés se laissent parfois aller à la facilité, les irakiens ont ainsi pu récupérer en temps réel les vidéos que les drones américains envoyaient à leur base parce qu’un informaticien paresseux n’avait pas pris la peine de crypter leur communication. Et même. On a appris il y a quelques jours qu’un groupe de hackers non identifiés a pu prendre à plusieurs reprises le contrôle de deux satellites civils d’observation (Terra AM-1 et Landsat7). Certes ce n’est pas à la portée de tout un chacun…, je peux vous dire que connaitre les fréquences, les codes, les protocoles, les clés de cryptage et les mots de passe est bien plus complexe que télécharger un programme à quelques dollars (voire même gratuitement) pour craquer la clé WEP du réseau du voisin.
Certes, ils ont été bienveillants et n’ont rien fait de leur accès, ni de leur demander de se désorbiter, ni de griller leurs capteurs en leur faisant regarder le soleil. Certes, un traité datant de la guerre froide interdit de placer des armes en orbite (ce traité est quasiment respecté à l’exception de quelques satellites tueurs de satellites), évitant qu’un petit malin puisse rigoler à déclencher une guerre nucléaire totale.
Donc, quand vous faites quelque chose d’important sur votre ordinateur, même si vous êtes sur un serveur prétendu sécurisé, même si vous avez la meilleure clé 802.1X du monde, ne le faites pas à travers le wifi : branchez un câble, coupez votre accès wifi et évitez que tout les gens du quartier (ou tous les amateurs de hamburgers autour de vous) n’apprennent votre numéro de carte bleue, ou votre mot de passe bancaire, celui de votre mail ou celui… de votre compte Facebook !
Mais l’ordinateur n’est pas le maillon le plus faible de la chaîne de sécurité, car vous allez voir que ce maillon, c’est vous !
Trojan Horse
Eh oui, frères humains, maintenant que nos machines sont totalement sécurisées, régulièrement patchées, surveillées en permanence par nos anti-virus, anti-malware et autres pare-feu, que des myriades de sociétés de sécurité alertent le monde entier dès que la moindre trace du prochain Stuxnet, Duku ou Slammer apparait, dans ce monde donc où l’information est verrouillée (ou devrait l’être), le point faible c’est vous !
Oui, vous qui cliquez sur le lien d’un mail reçu d’on ne sait qui proposant des logiciels à des prix ridicules, des agrandissements d’un organe que vous devinerez sans peine, des caisses pleines de dollars abandonnées par un dictateur africain, de pauvres religieuses perdues à la merci des hordes de barbares africains ou musulmans déchaînées, des montres de luxe pour épater vos voisins au tarif d’une vulgaire tocante de bas étage… Oui, c’est vous qui allez vous même faire rentrer à l’intérieur de votre forteresse informatique le logiciel malveillant qui vous pourrira la vie. Oui, vous qui allez cliquer au hasard d’une publicité alléchante, voir déshabillée (choisissez le thème qui vous tient à cœur), juste pour voir ou pour rigoler, et dont une page du site restera discrètement dans un coin de votre écran à noter tous vos mots de passe. Oui, vous qui cherchez à télécharger ce film tout récent en haute définition qui nécessite un décodeur spécial qui n’est autre qu’un… cheval de Troie !
Car les bonnes vieilles recettes sont toujours les meilleures et l’Odyssée garde toute son actualité en ce début de XXIe siècle. On vous allèche ? On vous fait des propositions trop belles pour être honnêtes ? On vous propose des cadeaux ? En ce monde où la marchandise est reine, timeo danaos et dona ferentes nous rappelle le vieux Virgile (non, pour les non latinistes, il ne s’agit pas de craindre ni Timéo ni une courtisane espagnole, Donna Ferentes, mais d’une maxime signifiant je crains les Grecs, même quand ils apportent des cadeaux), car ce clic malheureux que vous allez regretter pendant longtemps sera votre assentiment à laisser entrer le moyen le plus sûr de nos jours pour infecter un ordinateur, le fameux cheval de Troie (trojan horse ou trojan tout court pour nos amis anglophones).
Et je ne parle même pas de cette nouvelle mode qui fait fureur outre atlantique, l’ingénierie sociale qui consiste à percevoir tout être humain ou toute organisation comme un système dont il s’agit de trouver et d’exploiter les failles. Certes, cela demande des moyens plus important qu’une campagne d’email auprès de millions de boites innocentes qui est virtuellement gratuite. L’ingéniérie sociale est encore de nos jours réservée à des cibles dont les informations sont de grande valeur, comme les administrations, la défense ou les sociétés financières. Cela commence parfois par « Allo ? c’est l’assistance Microsoft, nous avons détecté un virus sur votre machine et il faudrait que vous fassiez telle ou telle manipulation… » qui bien sûr se révélera bien moins dans votre intérêt que vous ne pourriez l’espérer. Une série d’articles récents décrit par le menu comment une fausse visite incendie permet en quelques minutes de récupérer une montagne de données confidentielles par le simple fait de lorgner de-ci de-là sur les ordinateurs que la responsable va proposer de sa propre volonté à l’inspection. Un petit keylogger par-ci, un petit émetteur wifi pirate par là et le tour est joué, le cheval de Troie humain est tout aussi efficace que sa contrepartie logicielle.
Alors, que faire sinon se lamenter sur sa propre faiblesse et son incommensurable naïveté ? Les agents de Matrix nous le disent pourtant clairement « Only human… » « Vous n’êtes que des humains… » et Nietzsche de renchérir « Humain, trop humain… », c’est dans notre nature que les plus malins tirent profit des plus naïfs et je ne suis pas sûr qu’en devenant totalement paranoïaques, en développant notre penchant à la suspicion envers tous et toutes depuis nos hommes politiques jusqu’à nos voisins de palier en passant par les journalistes ou les garagistes, nous ne soyons pas en train justement de perdre notre nature humaine.
(1) Attentions aux traductions fantaisistes et sensationnelles parues dans la presse française : ce ne sont pas les drones qui ont été infectés, mais les ordinateurs de pilotage et le virus n’est ni « coriace » ni « inconnu » puisqu’il a été détecté et éliminé d’une partie des machines concernées.