On croit rêver. Naïvement, vous pensiez peut-être comme nous que le piratage de TV5 Monde que nous avons pris le temps d’évoquer ici en détail allait provoquer un électrochoc conduisant à la mise en place de bonnes pratiques en matière de sécurité informatique. Dans cet article, 20Minutes nous révèle l’impensable. TV5 Monde confie avoir bien affiché des mots de passe sur des post-it, mais que cette pratique n’était pas en place avant l’incident… non ils auraient commencé à le faire suite à l’incident.

«On ne fait pas fi du fait que c’est une bourde», a déclaré à l’AFP Yves Bigot, directeur général de la chaîne, soulignant que «les codes n’étaient pas affichés avant» la cyberattaque survenue dans la nuit de mercredi à jeudi et «n’ont rien à voir avec».

Après s’être un peu ridiculisé sur Twitter face à Arrêt sur Image en affirmant qu’il s’agissait de vieux mots de passe (puis la démonstration qui démontrait que le mot de passe Youtube en question venait tout juste d’être changé a fini par effacer son tweet), voilà maintenant que la chaine affirme que juste après s’être fait plomber, elle durcit sa sécurité informatique en affichant les mots de passe sur les murs. Quelque chose m’échappe un peu en terme de réponse incident…

Cette fois c’est vraiment prendre les gens pour des abrutis finis.

Cette blague va durer longtemps ? C’est plus drôle du tout là, c’est consternant. J’apprécie d’ordinaire beaucoup TV5 Monde, mais là avec ce genre de communication, on touche vraiment le fond.

Une fois de plus, c’est un banal piratage qui est monté en épingle par la classe politique pour crier au cyberdjihad. Les « cyberdjihadistes », rien que le mot a de quoi faire rire… La presse court, la presse s’emballe, tout le monde y va de sa théorie non argumentée, sans aucun élément tangible… mais le résultat est là, ce piratage de TV5Monde fait bien plus de bruit que le massacre de 148 personnes à l’Université de Garissa au Kenya, c’est consternant, c’est 2.0, c’est du djihad terroriste avec du cyber dedans, même les partis politiques relaient allègrement cette première attaque terroriste avec du cyber dedans d’une ampleur sans précédent.

Rappelons à toutes fins utiles qu’à notre connaissance, aucun routeur n’a explosé, aucune perte n’est a déplorer, en dehors d’un membre de la rédaction qui nous a confié avoir perdu une gomme qui trainait sur son bureau… et un autre qui nous signale avoir perdu le post-it avec le mot de passe de sa machine qui était collé à son écran.

Expliquer le piratage de TV5Monde

Cet article ne vise pas à vous faire un énième forensic sur du vent, car des éléments, personne ne semble en avoir à se mettre sous la dent, seule l’ANSSI qui a géré la résolution de l’incident et la reprise des services de la chaine en a. L’ANSSI n’est jamais très causante sur ses activités, et on peut aisément la comprendre. Donc permettez moi de douter très fortement de la fumeuse thèse de RTL qui affirme que l’attaque serait « partie de France avant de transiter par l’International ». L’attaque serait partie des locaux même d’RTL que la radio ne pourrait pas plus la pister. Notez l’absence même de conditionnel dans l’affirmation de RTL

Selon nos informations, cette attaque est partie de France, transitant par un réseau qui emploierait, d’après les services américains, une quinzaine de hackers chevronnés dans le monde.

Outre l’aberration technique « l’attaque a transité par un réseau employant une quinzaine de hackers » (WTF?!), RTL laisse entendre que ses sources, américaines, qui n’ont eu à priori pour le moment aucun accès aux données brutes de l’attaque (à moins qu’un flux permettant de corréler l’attaque n’ait été intercepté par on ne sait trop quel programme de surveillance d’Internet) auraient donc un avis vérifié sur les auteurs, leurs motivations et le déroulement de l’attaque… mouais. Autant relayer la théorie de madame Irma.

Une autre théorie sur le site breaking3.0 est plus troublante. Par delà les approximations et les extrapolations qui laissent clairement entendre que l’article a été écrit par un non technicien essayant de vulgariser les propos d’une personne plus pointue pour des encore moins techniciens, on a des choses intéressantes sur la chronologie de l’attaque. Dommage que la démonstration soit gâchée par ces approximations qui ont été reprises en coeur par de gros médias du genre « ils sont passés par Skype pour voler une adresse ip » ou le coup du « script HTML  ».  C’est un avis très personnel, mais j’ai un peu de mal à valider la thèse d’une compromission via Skype (bien que ceci soit techniquement parfaitement concevable), et même si c’était le cas, ceci ne serait qu’un vecteur anecdotique et insignifiant de l’attaque. L’information essentielle, qui ne transparaît pas dans l’article de Breaking3.0, c’est que l’intrusion a mené à une compromission du système de diffusion satellite de la chaine.

Breaking3.0 avance surtout que le code malveillant de l’attaque, un VBS a été en sa possession (ou celle de sa source), que le code malveillant, chiffré, a été cassé, et que ceci aurait permis au site de remonter jusqu’aux hackers d’origine algérienne, dont un serait en Irak. Ce serait quand même un peu plus tangible si on pouvait justement examiner ce code. Je suis par exemple curieux de comprendre la méthode de désanonymisation du flux puisque le site souligne qu’ils utilisaient un VPN, mais ce ne serait pas la première fois qu’on verrait inscrit en dur dans un code malveillant l’IP du puppet master.

Passons maintenant aux questions qui font mal

Comment, depuis l’extérieur, un attaquant peut accéder à l’infrastructure de diffusion satellite d’une chaine de télévision ?

Là, j’ai beau retourner le truc dans tous les sens, soit il y a une personne en interne qui a été complice, soit il y une clé USB infectée qui s’est baladée là où il ne fallait pas, soit les pirates ont réussi à dérober des fichiers de configuration d’un VPN les menant à l’infrastructure de diffusion, soit il y a un énorme problème d’architecture dans le système d’information pourtant tout neuf de TV5Monde… ou un trou béant dans le « firewall quasi neuf ».

Reprenons ces 4 thèses et tentons de les étayer

La complicité en interne : un complice aurait inoculé le code malveillant pour permettre aux assaillants de prendre le contrôle du système de diffusion. Ce complice doit avoir quelques solides notions d’admin et des accès privilégiés pour permettre aux pirates d’accéder à l’interface de C&C… hypothèse peu probable.

La clé USB ou le périphérique infecté : encore moins probable que la première hypothèse puisqu’il faudrait un code d’attaque sacrément élaboré pour que ce dernier vise un système peu connu du grand public, en exploite les vulnérabilités et se crée lui même un accès entrant et sortant en allant brancher avec ses petits bras musclés un RJ45 entre deux réseaux que n’importe quel DSI aurait, évidemment, pris soin d’isoler… Oh wait !

Le vol d’un accès VPN au réseau privé de diffusion : là on commence à se dire qu’on est dans le domaine du possible. En volant un téléphone portable, ou un ordinateur, ou par simple phishing, les pirates parviennent à récupérer des fichiers de configuration d’un VPN donnant un accès « royal au bar » au système de diffusion satellite, situé sur un réseau privé ne communiquant pas avec le monde extérieur (c’est un peu le concept d’un VPN).

La boulette du bidule qui n’aurait jamais du être interconnecté avec le monde extérieur : impossible donc de ne pas penser à une énorme boulette d’architecture ayant conduit, pour une raison ou pour une autre (forcément une mauvaise raison), à interconnecter de manière un peu trop ouverte un réseau par exemple accessible à la rédaction, à l’environnement de prod ou de pré-prod de diffusion des programmes. Selon un technicien, c’est la plateforme d’encodage des programmes qui a été attaquée, (source :  cette vidéo à 3’25). Et là, on peut coller des supers firewalls tout neufs, tout un cluster OpenOffice…. l’erreur est grossière et réduira à néant les bienfaits des boiboites vendues comme magiques mais qui ne patchent pas les erreurs humaines.

Cependant, une compromission est rarement le fait d’un seul paramètre, il faut souvent une somme de petites choses pour mener à une grosse catastrophe… et c’est à ce moment précis que vous pouvez sortir le popcorn.

Opération pieds nickelés in progress….

Les premières interviews « à la rédac » de TV5Monde font peur. Penth0tal sur son compte twitter lève le lièvre qui tue, et nous voilà la risée des USA, via l’article d’ArsTechnica, un article malheureusement tombant sur sa fin un peu à l’eau puisqu’il conclue sur la théorie d’un site satirique qui a publié cet article potache sur un expert russe qui aurait révélé que le mot de passe craqué à TV5Monde était « azerty12345 »… c’est évidemment un hoax, une phrase m’avait d’ailleurs mis la puce l’oreille :

Il y avait déjà peu de doute sur le fait que TV5Monde observe de mauvaises pratiques en matière de sécurité, mais de là à afficher ses mots de passe sur des post-it collés au mur, pil poil derrière le journaliste interviewé, sous le nez des caméras, on tombe dans le pathétique.

Un zoom sur les post-it vous donne le mot de passe Youtube de la chaine, qui est, tenez vous bien « lemotdepasseyoutube » … le truc nécessaire de coller partout dans les locaux dès fois que toute la rédaction soit soudainement frappée d’amnésie. Partant de là, on se demande si le mot de passe Twitter n’est pas le « lemotdepassetwitter »  et le mot de passe root du serveur web « lemotdepasserootduserverweb » … ne riez pas, on en est là.

Arrêt sur image a donc appuyé là où ça piquotte.

La réalité n’est donc pas glorieuse. TV5Monde s’est vue signaler à maintes reprises des vulnérabilités sur son site web (que ce soit par Zataz, votre serviteur, et surement bien d’autres), vulnérabilités qui ne sont d’ailleurs toujours pas corrigées au moment où nous écrivons ces lignes.

Un autre élément qui me fait tiquer, toujours sur cette vidéo, c’est quand le DSI de TV5Monde confesse qu’il y a deux semaines, il a été notifié d’un incident (probablement par l’ANSSI), et que 2 semaines plus tard, aucun audit n’a été mené, aucun forensic… des mecs se sont baladés sur son réseau et deux semaines après, il ne sait toujours pas ce qu’ils ont bien pu y faire… dites moi que c’est une blague… pitié.

Résumons

Des trous sur le frontal, une rédaction pas forcément éveillée aux problématiques de sécurité informatique, des mots de passe faibles collés aux murs devant les caméras de télévision pendant les interviews, un réseau critique non isolé, un délai de réaction à J+15 en réponse à un incident… nous avons tous les ingrédients pour une monumentale cyberboulette qui fait quand même bien plus rigoler que du « cyberdjihad ». Et pourtant, l’infrastructure de TV5Monde n’est pas des plus dégueulasses, elle a été rénovée il y a un peu plus d’un an, le DSI nous confie que le média se situe « dans la moyenne haute » en terme de sécurité… avec ce que nous venons de voir, il y a de quoi avoir la trouille pour les autres chaînes si ce qu’il dit est vrai, et d’ailleurs sa boite noire pour arrêter les cyberdjihadistes était quasi neuve :

Jean-Pierre Verines, précise que son« système de sécurité est plutôt situé dans la moyenne haute de ce qui peut se faire », soulignant même avoir un « firewall quasi neuf ». 

Mais revenons aux autres boites noires, celles que le gouvernement propose de placer chez les fournisseurs d’accès Internet…

La surenchère sécuritaire ministérielle

On aborde maintenant le volet le plus nauséabond de cette histoire, les réactions politiques. Il y a quand même de fortes chances qu’on soit face à une bande pieds nickelés un peu opportunistes, ayant employé des techniques peu élaborées, pour tenter de diffuser de la propagande et s’étant cassé les dents sur une application métier dont ils n’ont pas compris le fonctionnement et le workflow de publication. Ne croyez pas qu’il suffit de remplacer une vidéo par une autre et d’appuyer sur le bouton play pour que Daech abreuve toute la TNT de sa propagande… c’est un poil plus complexe. Les applications destinées aux plateformes de diffusion, c’est pas non plus Disneyland.

Mais peu importe, l’occasion est trop belle pour que pas moins de 3 ministres se donnent rendez-vous sur place pour sur-vendre leur projet de loi sur le renseignement. La manipulation est grossière.

Des pirates opportunistes, des ministres opportunistes, voici deux ingrédients détonnants qui dicteront un vote émotif du Parlement, sur un texte qui surveillera bien plus ses concitoyens que les djihadistes.

Sur ce genre de malentendu… aucun doute, ils ont tous réussi leur coup.

Putain de post-it…

Comme nous l’évoquions hier, le pistolet à très gros canon et plein de munitions que François Hollande et Manuel Valls sont en train de s’acheter, le projet de Loi sur le renseignement, est aussi une arme défectueuse. Elle finit toujours par tirer dans le pied de ceux qui s’en servent.

Bien entendu, on peut estimer que nous sommes dans un régime politique différent de ceux cités dans le papier publié hier, que les opposants au pouvoir en place en France, quel qu’il soit, ne subiront jamais les mêmes persécutions que ceux des pays dictatoriaux. Ce serait faire peu de cas de la nature humaine et de l’Histoire récente.

Donnez à un être humain le moyen de tout savoir sur les autres, il est peu probable qu’il ne s’en serve pas. La lecture du Livre de la Voie et de la Vertu est un bon départ pour comprendre combien les dix-mille êtres sont faibles sur ce point (et sur d’autres). Quant aux hommes politiques, ils ont une fâcheuse tendance à prendre des libertés avec les règles établies par le contrat social qui nous unit. Les rapports entre Bernard Squarcini, l’ancien patron de la DGSI et Nicolas Sarkozy sont là pour le démontrer. Lorsque les révélations du Monde sur l’affaire Woerth-Bettencourt deviennent gênantes pour le pouvoir en place, l’équipe de Nicolas Sarkozy, alors président, demande au patron du renseignement intérieur d’identifier la source du Monde. Sans procédure judiciaire, les services vont se procurer les fadettes (les listes détaillées des appels téléphoniques) des journalistes du quotidien du soir.

Illégal.

L’affaire est jugée et Bernard Squarcini, condamné pour cela.

Zoophile, tendance teckels morts

Et demain, avec des grosses « boites noires » bardées d’algorithmes et de deep packet inspection placées chez les FAI, que va-t-il se passer ? Rappelons que pour fonctionner, les algorithmes prédictifs des services de renseignement devront analyser les données. Ces données, ce sont tous nos échanges opérés via les réseaux des fournisseurs d’accès à Internet en France. Ce qui va se passer, c’est que très probablement, l’exécutif aura a sa discrétion un outil lui permettant de tout savoir sur à peu près n’importe qui.

Massif ou pas, chalut ou harpon, peu importe. L’outil est là et peut cibler telle ou telle personne avec une précision chirurgicale et une efficacité totale.

Un élu qui enquiquine le pouvoir ? On lui demandera de ne pas se représenter car un certain dossier révélant ses tendances zoophiles sur des teckels morts pourrait se retrouver sur le bureau d’un journaliste. Un journaliste qui enquête un peu trop sur le pouvoir ? On lui fera savoir que certaines recherches qu’il a effectuées sur Google pourraient bien devenir publiques. Un juge « rouge » qui ennuie le pouvoir (les juges qui ennuient le pouvoir sont souvent qualifiés de « rouges », surtout quand la droite est au pouvoir), hop, on lui explique que ses échanges de selfies dénudés avec sa maitresse pourraient bien être diffusés sur Internet.  Etc.

Bien entendu, nous ne sommes pas dans une dictature et les « opposants » ne finiront pas torturés dans un cachot humide et sombre. Mais le résultat ne sera pas très différent en cela que l’opposition au pouvoir exécutif deviendra une activité à haut risque.

Balle dans le pied

Ce que ne veulent pas comprendre, par manque d’imagination – ou par peur d’être catalogués comme ayant refusé de voter les « outils nécessaires au monde du renseignement alors qu’un nouvel attentat a eu lieu et qu’il aurait pu être évité si seulement ces irresponsables de parlementaires avaient voté pour… »,  les députés et sénateurs, c’est que cet outil va se retourner contre eux. Même punition pour François Hollande et Manuel Valls.

Lorsque l’alternance aura joué, les responsables de l’opposition seront à la merci d’un nouvel exécutif et de ses boites noires. Bien entendu, on a peu de mal à entrevoir ce que ferait le Front National avec un tel outil. Mais il ne faut pas non plus beaucoup d’imagination pour évaluer ce qu’en feraient des animaux politiques comme Nicolas Sarkozy, Claude Guéant ou Brice Hortefeux…

Et oui, c’est étonnant, mais c’est Yves Calvi sur RTL, hier, le 07 avril 2015, qui interview Marc Trévidic, un juge qui ne mâche pas ses mots sur les dangers du projet de loi sur le renseignement — que le gouvernement socialiste veut faire voter. Le juge s’inquiète de l’aspect éminemment politique de la lutte anti-terroriste, ayant été au premier chef concerné par l’aspect parfaitement subjectif du concept. Si le projet est voté, c’est une nouvelle ère qui débute. Vraiment. Et il le dit.

Ils se compteront sur les doigts d’une main, les députés ou sénateurs qui s’opposeront au projet de Loi sur le renseignement, ce projet qui légalise tout ce qui était réalisé illégalement par les services jusqu’ici, selon les mots des partisans de ce texte. Bien entendu, ce simple aveu devrait faire dresser les cheveux sur la tête de nos parlementaires. Mais non… Mieux, ils vont voter un texte voulu par François Hollande et Manuel Valls et qui pousse la France sur les pas de Zine Ben Ali, Mouammar Kadhafi ou Bachar al-Assad.

Non, Reflets n’est pas un repère de barbus (pas que…) déconnectés de la réalité, ne prenant pas la mesure du danger monstrueux qui nous menace (le terrorisme). Non. Si nous affirmons cela, c’est que justement, nous avons vu de très près ce que les anciens dictateurs avaient mis en place sur leur bout d’Internet.

Le projet de Loi sur le renseignement va permettre de détecter des « comportements à risque ». Comme l’a fort bien démontré ici même Laurent Chemla, cela ne permettra pas d’éviter un attentat, mais cela fonctionnera pour bien d’autres choses, nous allons y revenir dans un prochain article. Pour détecter lesdits comportements, il faut des algorithmes, mais aussi du deep packet inspection dédié à la surveillance massive. En d’autres termes, pour que les algorithmes puissent algorithmer « efficacement », il leur faut du carburant. Et ce carburant, ce sont les données personnelles, les correspondances privées, les surfs des internautes français. Il faut donc capter en masse les images de bites des Français.

Tout cela, c’est exactement ce qu’ont fait Zine Ben Ali, Mouammar Kadhafi ou Bachar al-Assad, de doux démocrates qui auraient pu donner des leçons à la France sur les méthodes de surveillance massive des internautes.

Eh oui, la France va se lancer dans la même procédure d’écoute généralisée, avec probablement les mêmes outils, bêta-testés dans les pays de ces dictateurs.

Voilà qui devrait aussi faire dresser les cheveux sur la tête des parlementaires français.

Mais non.

On vous le redit, c’est pour lutter contre le terrorisme. C’est une bonne excuse non ?

Et c’est tellement vrai, que la même excuse était brandie pour la mise en place de ces outils dans les démocraties riantes de la Libye de Kadhafi, de la Syrie de Bachar al-Assad ou la Tunisie de Zine Ben Ali.

La preuve ? Cette interview du commercial en chef de chez Amesys qui explique doctement comment ses outils devaient permettre à Kadhafi de lutter contre les fameux terroristes et… les pédophiles (ça c’est cadeau de la maison).

Ce qui est certain, c’est qu’à défaut de détecter des terroristes sur Internet (ça n’a pas marché aux Etats-Unis et cela ne marchera pas plus en France), ces outils vont permettre de tuer un peu plus ce qui restait de démocratie. C’est à la fois un pistolet avec un énorme canon et des munitions en pagaille que s’offrent François Hollande et Manuel Valls, mais un pistolet qui a un défaut. Il tire dans le pied à un moment ou à un autre. Mais c’est une autre histoire sur laquelle nous reviendrons dans un prochain article.