Grandeur et misère de cette première semaine de 2016

Publié le 07 janvier 2016 par _nicolas @BranchezVous
Exclusif

Alors que 2016 débute à peine, l’actualité est déjà marquée par une pléiade d’événements qui laissent déjà présager que l’année sera faste en ce qui concerne les nouvelles dans le domaine de la sécurité.

Parmi celles-ci, deux ont retenu mon attention. Commençons par la plus percutante : des centrales électriques ukrainiennes ont été attaquées par un maliciel assez vicieux, merci!

Déboires informatiques en Ukraine

Le tout s’est déroulé durant la période des fêtes alors que des centaines de milliers de personnes se sont vues privées d’électricité suite à des pannes engendrées par des déstabilisations dans les systèmes informatiques. La compagnie de sécurité informatique ESET a en effet mis la main et analysé un maliciel nommé BlackEnergy présent dans plusieurs machines appartenant à des infrastructures énergétiques de l’Ukraine.

Pour l’heure, ce sont les Ukrainiens la cible, mais il ne serait pas surprenant que des infrastructures critiques ailleurs deviennent la cible de ce genre d’attaques.

Si BlackEnergy est en circulation depuis 2007, il a récemment été mis à jour avec plusieurs nouvelles fonctionnalités le rendant d’autant plus virulent. Le maliciel offre notamment aux pirates la possibilité d’ouvrir une porte dérobée permanente avec DropBear SSH, donnant ainsi le contrôle complet des machines infectées. De plus, il peut fonctionner sur des appareils en réseau, voler des certificats de sécurité et modifier des données à l’aide de KillDisk.

C’est exactement ce qui s’est passé en Ukraine sur des ordinateurs chargés de contrôler l’apport en énergie pour différents secteurs du pays.

Hack to the Future

Inquiétant vous dites? Certes. Pourtant, cela fait plusieurs années que différents acteurs tentent de sonner l’alerte en ce qui concerne la fragilité des infrastructures critiques, notamment les infrastructures énergétiques, par rapport aux attaques informatiques.

«Les conséquences en seraient catastrophiques!» — Doc Brown

De plus, les avertissements effectués par le Département de la sécurité intérieure des États-Unis pleuvent depuis des années déjà. La NSA aussi s’inquiète de la situation, d’autant plus que le secteur pétrolifère est déjà beaucoup visé. Seulement pour l’année 2014, l’infrastructure énergétique américaine aurait été attaquée pas moins de 79 fois. À ce rythme, ce n’est qu’une question de temps avant que ça finisse par culminer.

Pour l’heure, ce sont les Ukrainiens la cible, mais il ne serait pas surprenant que des infrastructures critiques ailleurs deviennent la cible de ce genre d’attaques.

Finalement, il est aussi important de considérer que l’infrastructure énergétique n’est qu’une infrastructure parmi tant d’autres. Il est possible d’identifier plusieurs autres infrastructures critiques qui sont fort probablement toutes aussi vulnérables aux attaques informatiques. Si en ce moment, ce sont les infrastructures énergétiques qui sont sur la sellette, cela ne signifie pas pour autant que les autres secteurs sont moins vulnérables.

Une solution de chiffrement prometteuse

David Chaum, le père du chiffrement (Photo : Declan McCullagh).

Sur une autre note, alors que les débats sur la place des méthodes de chiffrement dans la difficile harmonie entre la vie privée et les opérations de sécurité font rage, notons l’apport de David Chaum, père de bon nombre d’outils assurant l’anonymat en ligne. Chaum arrive donc avec une solution de chiffrement tentant de ménager la chèvre et le chou.

Nommé PrivaTegrity, l’outil se veut être une solution cherchant à être complètement anonyme et chiffrée de bout en bout, un peu ce que l’on voit avec des protocoles comme TOR ou I2P. Chaum affirme cependant que ce réseau sera beaucoup plus rapide et efficace, rendant le tout plus intéressant pour les utilisateurs. L’objectif est que le tout puisse être accessible au travers d’un appareil intelligent et que l’usager ne sente pas de ralentissement dans son utilisation.

Diviser pour une meilleure sécurité

Autre élément intéressant du dans le cas de demandes d’accès à des activités jugées comme problématiques par des autorités, il serait théoriquement et éventuellement possible d’accéder aux données correspondant à un utilisateur. Si cet accès aux données chiffrées serait possible dans le réseau PrivaTegrity, il serait cependant conditionnel à l’aval d’un conseil de «neuf sages».

Un consensus entre neuf membres serait nécessaire pour pouvoir donner accès aux informations d’utilisateurs suspectés d’être engagés dans des activités répréhensibles.

Ces neuf sages seraient neuf personnes contrôlant neuf serveurs répartis au travers du monde – essentiellement dans des pays démocratiques, comme le Canada, la Suisse et l’Islande par exemple. Un consensus entre ces membres serait nécessaire pour pouvoir donner accès aux informations d’utilisateurs suspectés d’être engagés dans des activités répréhensibles. En effet, en faisant travailler ces neuf serveurs de manière collaborative, ils seraient en mesure de reconstruire les messages envoyés par un individu sur le réseau.

Le plan de Chaum impliquerait également une politique claire de coopération avec les services de police et les agences de renseignement en fonction de chacune des juridictions dans lesquelles les serveurs se trouveraient. Il s’agit en somme d’un système de poids et de contrepoids qui empêcherait qu’un seul État puisse avoir accès à l’ensemble de l’information transigé sur un réseau, et ce, quand bon lui semble.

Si le tout peut sembler intéressant, la question qui vient immédiatement à l’esprit est la suivante : pourquoi un individu dans des activités douteuses déciderait d’utiliser ce système plutôt qu’un protocole assurant complètement son anonymat?

Une année impossible à prédire

Plusieurs personnes m’ont demandé de faire des prédictions pour la scène sécuritaire en 2016. Je ne suis pas trop du genre à m’aventurer dans ce genre de travail pour la simple et bonne raison que mon expérience en sécurité m’a amené à comprendre que les gens malintentionnés finissent par concevoir l’impensable et réussir l’impossible.

Cependant, je dirai ceci : si vous voyez un objet avec un processeur et un moyen de communiquer avec l’extérieur, dites-vous que sa sécurité est compromise, ou sur le point de l’être.