ndépendamment de ce que je peux penser de la ligne éditoriale et du contenu du Voici de la sécurité informatique, les déboires de Damien Bancal face au vendeurs d'aloe vera de Forever Living Products me laisse un goût amer dans la bouche. Cependant, comme Zythom, j'ai préféré attendre un peu avant de vous livrer ce que j'en pense. D'abord parce que j'avais pleins d'autres chats à fouetter, et puis parce que réagir à chaud sans aucun élément n'est jamais chose intelligente face à ce genre de cas...
La moindre des choses était donc d'avoir lu et digéré l'arrêt rendu par la cour d'appel ce 9 septembre dernier. Et si mon confrère expert n'y trouve pas grand chose à redire, cette lecture me laisse quelque peu perplexe quant aux conclusions. Mais ces interrogations sont sans commune mesure avec le sentiment général que m'inspire ces d'affaires...
Quant on lit tout ce qui a été rapporté sur cette affaire, il apparaît que la question de l'intrusion est centrale dans le logique de FLP. Il s'agit pour eux de démontrer qu'ils n'ont pas failli à leur obligation de protection des données personnelles qu'ils hébergeaient. Et ce, de l'aveu même de son directeur général :
Par cette action en justice, j'ai souhaité faire savoir au public, à nos distributeurs et à nos clients que j'entendais faire acter que le système informatique de FLP n'était pas en accès libre mais sécurisé et que c'est par "effraction" qu'il a été possible d'y pénétrer.
Les esprits taquins se prendront à relever une contradiction de première dans cette affirmation :"notre système était sécurisé, par contre, on pouvait y accéder par effraction". J'ai fait blinder mon appartement mais le premier guignol venu peut y pénétrer par effraction. Raisonnement qui tient debout, pas de doute. Mais ce n'est pas cette contradiction qui est intéressante, mais plutôt les moyens employés pour parvenir à laver leur honneur.
Pour autant que je sache, deux actions ont été intentées par FLP contre Zataz. Une première au civil visant à faire retirer un article qui n'est plus en ligne depuis belle lurette, et une seconde au pénal pour... Diffamation !? Wait... S'il y a effectivement eu "effraction", on ne peut que s'étonner que l'action en justice ne soit pas, comme ce fut le cas pour Tati vs. Kitetoa, intentée pour intrusion dans leur système d'information. Donc, il y aurait intrusion, mais par contre, on préfère ne pas porter plainte pour ça, mais plutôt pour l'utilisation des objets qu'on nous a dérobés... Refroidis par la jurisprudence ? Pas très sûr de leur coup pour prouver l'intrusion ? Essai d'un nouvel angle d'attaque ? Hummmm...
Pourquoi je parlais précédemment du premier guignol venu ? Parce que la source d'information, ce qui a permis à Damien Bancal de penser que les données étaient en libre accès, c'est un obscur moteur de recherche, Gerereka. Ce moteur a ceci de particulier qu'il passe son temps à crawler du serveur FTP et en indexer le contenu. C'est ce qu'on appelle couramment un "file search engine", mais dont le principe remonte aux débuts d'Internet, puisque c'est exactement ce que faisait Archie, qui reste considéré comme l'ancêtre des moteurs de recherche.
Ce moteur accède donc, quand il le peut, au contenu d'un serveur FTP, l'indexe et le met en cache. Or, il ne peut y accéder que si, et seulement si, il est mis à disposition du public via ce qu'on appelle un accès anonyme. Pour mieux comprendre ce que ça veut dire dans le contexte de cet affaire, il convient de savoir exactement ce que ça signifie. À l'inverse d'un serveur HTTP, l'accès au contenu d'un serveur FTP est systématiquement soumis à authentification. Cet outil n'avait pas été conçu initialement pour proposer du contenu à n'importe qui. Mais, avec le temps, le besoin d'utiliser FTP pour proposer les fichiers de taille plus conséquente autrement que par HTTP s'est imposé. Il a donc fallu inventer une parade à l'authentification systématique, et cette parade s'appelle l'accès anonyme. Techniquement, ça se matéralise par la création d'un compte générique, appelé "anonymous", qui ne réclame comme mot de passe qu'une chaîne de caractère possiblement nulle. Certaines implémentations et/ou conifugrations demandent qu'on fournisse une addresse email qu'on aimerait valide, par politesse.
Il est très important de saisir cette différence fondamentale entre HTTP et FTP parce que c'est à mon sens là que l'interprétation des rapports d'expert pêche. Oui, il y a bien authentification au niveau technique, mais elle ne doit pas laisser penser que les données avaient vocation à être protégées. En effet, la mise en place d'un accès anonyme est justement faite pour mettre du contenu à disposition de n'importe quoi. La RFC est très claire sur ce point :
What is Anonymous FTP? Anonymous FTP is a means by which archive sites allow general access to their archives of information.
Le FTP anonyme n'est donc pas une faiblesse de sécurité, genre un compte avec un mot de passe faible ou même un compte par défaut oublié, c'est une fonctionnalité qui sert explicitement à publier du contenu, exactement dans le même esprit qu'une page Web en accès libre. Tant et si bien que la plupart des outils qui implémentent ce protocole testent ce mode automatiquement quand on les envoie sur un serveur FTP sans préciser de login particulier. C'est en particulier le cas des navigateur et... des moteurs de recherche de fichier. au mieux, et à l'instar du web, la disponiblité d'un accès FTP anonyme pourra être considéré comme une boulette de configuration, ce qui s'appelle aussi une négligence.
Le rapport semble stigmatiser l'échec de certaines tentatives d'accès comme la preuve qu'il y avait bien protection. Je ne sais pas ce qu'il en est réellement dans ce cas, mais ce que je sais, c'est qu'il m'est arrivé assez régulièrement de me vautrer sur un login anonyme à la mano parce que j'avais fait une faute de frappe, que n'avais pas mis de passe du tout ou que ce n'était pas une adresse email. Ce dernier point est également important à comprendre : même si l'accès anonyme est bel et bien libre, on peut se louper en le demandant, parce qu'il demande un procédure spécifique, laquelle peut certes être automatisée comme c'est le cas dans pas mal d'outils, mais également être déroulée "à la main" comme c'est le cas avec l'outil ftp de base en ligne de commande.
Mais qu'on ne se méprenne pas. Je n'ai pas les rapports d'expertise en main pour juger sur pièce. Il se pourrait donc que des éléments qui n'y apparaissent malheureusement pas puisse démontrer l'intrusion ou j'interprête mal les références à un accès anonyme qui y sont faites[1]. Et donc que FLP puisse être dans son droit. Ceci dit, il y a quand même des points intéressants. En particulier que tout obscur et spécialisé qu'ait pu paraître ce moteur de recherche de fichiers, il n'en reste pas moins que si Gegereka a pu indexer ces données, fait qui ne me semble pas avoir été contesté, c'est qu'elles étaient bel et bien en accès libre. À part si cet outil s'amuse à forcer les accès FTP, mais je pense qu'on en aurait entendu parler...
Globalement, cette affaire m'inspire tout de même les qualificatifs les plus fleuris à l'intention de FLP. Leur attitude est juste détestable : je te remercie d'une main pendant que je me prépare à t'en coller une dans la gueule de l'autre. Leur mauvaise foi semble assez massive[2] comme le montrent d'une part l'objet de leur plainte et leur communication suite au jugement d'autre part. S'ils voulaient démontrer qu'il y avait eu intrusion, il fallait attaquer pour intrusion. Point. Et l'abandon des poursuites, façon vainqueur magnanime[3], ne changera rien à tout ça, pas plus que le support massif des internautes ne lave Zataz de sa condamnation... Je ne sais pas ce que vous en pensez, mais je trouve que quand on se fait prendre en flagrant délit de défaut de protection de données personnelles, on ferait mieux de corriger et s'écraser plutôt que de la ramener... Il est tout de même heureux à ce titre que la 17e chambre les déboute de leur action en diffamation...
Mais ce qui me semble tout de même plus grave, c'est le message que ça fait passer. Oui des données personnelles peuvent être en libre accès via des moteurs de recherche, oui elles peuvent être mal protégées[4], oui on peut reconnaître la bonne foi de celui qui a remonté le problème, mais par contre non, il n'a pas le droit d'en parler publiquement. Depuis l'affaire Tati, on aurait pu penser que les boîtes auraient compris leur intérêt à profiter de ces mains tendues et s'asseoir sur un tout petit peu de mauvaise presse[5]. Mais non. Pire encore, de ce que j'en comprends, cette affaire s'inscrit dans la même veine que l'affaire Tegam vs. Guillermito : on va s'essayer à l'angle d'attaque tordu pour mieux faire taire l'adversaire. Bref, on parasite les tribunaux pour se laver de ses boulettes...
Bizarrement, une autre affaire lui a immédiatement emboîté le pas. Les lecteur de la liste SUR de l'OSSIR[6] savent en effet ce qui se cache derrière les "Négligences entrainant la divulgation de données sensibles sur l'Internet" mentionnées dans le dernier bulletin d'actualité du CERTA. Un des abonnés y a en particulier mentionné l'intention du responsable des-dites données de porter plainte[7] contre la ou les personnes qui se sont permis d'avertir par email tout le monde, sauf lui, apparemment pour "se couvrir"...
Si je conçois que le procédé d'alerte n'est pas des plus reluisants sur la plan éthique, il n'en reste pas moins qu'il semble bien qu'il y ait eu négligence à laisser traîner le dump d'une base utilisateur sur un serveur web, et qu'au vu de l'état de l'art, y trouver des mots de passe stockés en clair pourrait bien relever aussi de la négligence. Et porter plainte contre le messager n'y changera rien, surtout depuis qu'un mea culpa a été fait publiquement...
Par contre, étrangement, quand bien même on aurait démontré le défaut de protection des données personnelles imposée par la loi Informatique et Libertés, personne ne semble enclin à porter plainte sur ce terrain. Et c'est bien dommage. Certains me reproche d'être un peu extrêmiste sur le sujet, mais il faut bien le reconnaître : tant que personne n'aura pris cher, tout le monde s'en foutra et continuera à traiter les données personnelles sans aucun égard particulier.
En tant que professionnel de la sécurité, je comprends qu'on puisse avoir des failles. Je comprends qu'on puisse se planter dans la configuration d'un équipement. J'arrive même à comprendre qu'on puisse se faire enfumer par un prestaire ou un fournisseur. Bref, je conçois qu'on puisse se faire voler des données personnelles, même par des aussi moyens triviaux bien que je ne juge pas ça très acceptable. Par contre, une chose est sûre : s'il venait à apparaître un jour que mes données personnelles aient l'objet de ce genre de négligences et que je voyais le responsable de leur hébergement, et donc de leur protection, la ramener en justice, je ferai le chemin jusqu'au commissariat pour porter plainte au titre de la loi Informatique et Libertés.
Sans la moindre hésitation...
Notes
[1] Cf. paragraphes 10 et 12 de la discussion.
[2] Modulo les réserves exprimées plus haut.
[3] Posture qui ne trompe personne.
[4] Pour autant qu'elles le soient...
[5] Et encore, on peut même s'en servir pour rebondir...
[6] dont les archives ne sont accessibles qu'aux abonnés.
[7] C'est du téléphone arabe par contre, à prendre avec les pincettes qui s'imposent donc...
Jeu de briques
Snake
Pacman
Bubble