02 janvier 2014

Conséquences des agissements de la NSA sur les expertises judiciaires

Depuis plusieurs mois, les informations révélées par Edward Snowden secouent l'univers de la sécurité informatique. Car, s'il s'agit du plus grand scandale de surveillance électronique occidental éclatant au grand jour, il s'agit aussi du plus grand fiasco de la sécurité informatique de tous les temps.

Avec tous les spécialistes pointus en sécurité informatique, tous les audits effectués sur les différents matériels, toutes les alertes récurrentes sur les espions chinois et russes, personne (parmi les gens pouvant parler librement) n'a rien remarqué, personne n'a su où regarder, personne ne s'est rendu compte de la collecte massive d'informations avant qu'Edward Snowden ne livre les documents de la NSA.

Bien sur, certains journalistes, comme ceux travaillant chez Reflets, avaient commencé à lancer des alertes en recoupant des informations et des données techniques, mais la prise de conscience collective a été plus que tardive.

Quand je lis chez Korben, dans ce billet, que les Etats-Unis disposent depuis 1997 d'un service d'informaticiens offensifs (TAO) qui se sont infiltrés dans 258 systèmes informatiques de 89 pays, ma première pensée est pour toutes les expertises judiciaires que j'ai menée depuis, avec une seule question à l'esprit: ai-je pu affirmer dans l'un de mes rapports d'expertise judiciaire quelque chose qui pourrait avoir été le fait d'une action d'une telle équipe ? Ai-je pu charger un innocent d'un élément qu'il aurait pu ne pas commettre ? Ai-je moi-même été piégé dans mes investigations, quand tant de personnes se sont faites roulées ?

J'ai alors relu tous les rapports que j'ai rédigé depuis 1999, avec en tête l'action de la NSA, l'existence de cette équipe de hackers d'état et la guerre électronique en cours, avec l'ampleur qu'on lui connaît maintenant. J'ai vérifié mes conclusions et j'ai pu constater avec soulagement que j'avais toujours pris les précautions élémentaires dans l'analyse des preuves sur lesquelles j'ai eu à travailler. En partie à cause grâce à l’existence de longue date des malwares et virus toujours plus sophistiqués qui obligent l'expert judiciaire à toujours émettre des réserves quand on lui demande, par exemple, si tel ou tel compte informatique a servi au téléchargement d'images pédopornographiques, puisqu'un tel téléchargement peut être effectué, par exemple, par un malware à l'insu de l'utilisateur de l'ordinateur.

Oui, mais ai-je été assez pédagogique dans mes avertissements ? Ai-je moi-même réellement cru que je pouvais me trouver face à un ordinateur sciemment piraté ? N'ai-je pas haussé les épaules en me disant qu'il était peu probable que l'ordinateur de M. Toutlemonde que j'avais sous scellé devant moi ai été la cible d'un groupe de hackers chinois, russes ou même américains ou français ?

J'espère avoir été clair dans mes rapports sur l'existence de ces risques.

Pourtant, je ressens un malaise. A chaque fois que j'ai été confronté à un ordinateur infecté de malware et/ou de virus, je l'ai signalé noir sur blanc dans mon rapport, en indiquant la nature des malwares trouvés. Mais qu'en est-il des backdoors logicielles inconnues à l'époque et que l'on découvre aujourd'hui ? Qu'en est-il des logiciels implantés puis effacés correctement, avec nettoyage parfait des traces ? Je ne peux être certain de rien. Je me sens comme le professeur Tardieu.

Oh, certes, j'ai toujours été scientifique dans mes approches du problème qui m'était présenté. J'ai été factuel, méticuleux et consciencieux. Je n'ai pas écrit "M. Truc a stocké des images pédopornographiques sur son ordinateur", mais "Je constate la présence d'images pédopornographiques sur l'ordinateur appartenant à M. Truc". J'ai toujours indiqué que les téléchargements effectués avec le compte informatique de M. Truc pouvaient être le fait d'une autre personne utilisant son compte, voire d'un logiciel agissant à l'insu de M. Truc.

Maintenant que tous les mois des routeurs montrent leurs faiblesses et qu'il est clair que tous les pays espionnent tous les citoyens de la planète, que les forces de l'ordre mènent des actions hors du contrôle de la justice de leur pays, il est facile de critiquer la naïveté des informaticiens et plus globalement la naïveté des citoyens (et de leurs élus).

Mon problème est d'expliquer aux magistrats, aux avocats et aux policiers qu'un ordinateur est devenu une passoire, que le réseau est devenu une passoire, que les sites web sont devenus des passoires... Il va falloir vivre dans ce monde, mais avant que tous ne comprennent que les preuves numériques sont de moins en moins fiables, des innocents risquent d'être poursuivis et condamnés.

C'est aux experts judiciaires en informatique d'en faire prendre conscience rapidement aux acteurs de la justice.

Quant à la vie privée, je ferai parler la NSA à travers la bouche du Colonel Nathan R. Jessup (Jack Nicholson dans "Des hommes d'honneur"), en modifiant à peine quelques paroles de la scène d'anthologie du film:
Nous vivons dans un monde qui a des murs, et ces murs doivent être gardés par des hommes en arme. Qui va s'en charger ? Vous ?
Je suis investi de responsabilités qui sont pour vous totalement insondables. Vous pleurez Santiago votre vie privée et vous maudissez les Marines la NSA.
C'est un luxe que vous vous offrez. Vous avez le luxe d'ignorer ce que moi je sais trop bien. La mort de Santiago de la vie privée, bien que tragique, a probablement sauvé des vies. Et mon existence, bien que grotesque et incompréhensible pour vous, sauve des vies.
Vous ne voulez pas la vérité parce qu'au tréfonds de votre vie frileuse de tout petit bourgeois vous ME voulez sur ce mur, vous avez besoin de moi sur ce mur.
Notre devise c'est "Honneur Code Loyauté". Pour nous ces mots sont la poutre maîtresse d'une vie passée à défendre des bastions. Chez vous ces mots finissent en gag.
Je n'ai ni le temps ni le désir de m'expliquer devant un homme qui peut se lever et dormir sous la couverture d'une liberté que moi je protège et qui critiquera après coup ma façon de la protéger.
J'aurai préféré que vous me disiez merci et que vous passiez votre chemin ou alors je vous suggère de prendre une arme et de vous mettre en sentinelle postée.

Colonel Nathan R. Jessup (Jack Nicholson)
La vie privée est morte depuis longtemps, et je crains que le Colonel Nathan R. Jessup n'ait finalement gagné, contrairement à ce qu'il se passe dans le film. Le seul moyen de lutter contre lui est le chiffrement à tout va, de gré à gré.

Mais j'attends toujours de tomber sur un disque dur chiffré par M. Toutlemonde, disque placé dans un ordinateur équipé d'un système d'exploitation sécurisé, ordinateur branché sur un réseau chiffré, sur et décentralisé, réseau où se trouveront des serveurs respectueux de la vie privée, et reliant des utilisateurs attentifs au respect de leurs données personnelles.

Ce jour là, je vous promets d'ouvrir une bouteille et de trinquer à la protection de la vie privée, et cela même si cette protection complexifie (un peu) la lutte contre les activités criminelles de quelques uns.

Je sens que je ne suis pas prêt de me saouler sur ce coup là...

8 commentaires:

  1. Ah punaise, j'aurais eu tes vœux plus tôt ...
    http://dascritch.net/post/2014/01/01/Happy-new-privacy-year

    RépondreSupprimer
  2. ait entendu parler d'un virus que personne ne savait mater, indétectable et qui pouvait même se propager par ... micro et hauts parleurs.

    je me demande parfois qu'est-ce que les entreprises sensibles peuvent encore faire pour vraiment se protéger ?? fabriquer leur propre matos de A à Z ?

    http://www.20min.ch/ro/multimedia/stories/story/10615231

    RépondreSupprimer
    Réponses
    1. Cette histoire de BadBIOS est à prendre avec beaucoup de précautions. Que le virus prenne le controle du HP pour s'"émettre" via les airs, possible. Mais ensuite il faut que sur l'ordinateur cible tourne un programme qui écoute le micro et qui enregistre les infos transmises, et ça c'est beaucoup moins probable...

      Supprimer
    2. le gars n'est pas n'importe qui, il est expert dans un domaine qui intéresse la NSA

      je me dis donc qu'un espion ait pu émettre depuis une pièce attenante, ce genre de technologie n'est quasiment pas documentée et probablement connu de très peu de personnes mais me parait techniquement réalisable et c'est ça qui fait peur

      on remarquera à propos de Snowden qu'il n'a révélé que des choses qu'on imaginait très bien. Ca fait longtemps qu'on sait tout ça, que la NSA a pour mission d'écouter tout ce qui se transmets. Mais des trucs comme badbios n'ont pas circulé. Vendu aux russes ? gardé en réserve ? peut-être ne saura-t-on jamais rien de plus précis

      Supprimer
  3. Ce n'est pas tant la capacité à écouter le monde entier qui étonne: Depuis Echelon, le monde le sait déjà.

    On se doutait qu'en ciblant un minimum la capacité ait toujours été là et suivie les progrès/évolutions (avoir monté une unité de haute couture de l'accès dérobé, dès 1997, prouve une fois de plus cette clairvoyance!): Après tout, c'est le job d'un service de renseignements.

    Non, ce qui étonne c'est l'exhaustivité de la capture et des partenariats avec les industriels, pour les plus conciliants (au pire les lois les y forceront s'ils sont aux USA)... voire leur noyautage!

    Bref, un système remarquablement intégré capable de piquer et analyser des centaines de peta-octets (par semaine, par mois?) sans que personne n'ait rien vu!

    Il y a en effet de quoi se sentir mal quand on a une activité aux frontières du légal et de l'informatique (on a depuis longtemps le médico-légal, pas d'info-légal mais je sens que ca va venir vite).

    De quoi se rappeler et méditer le papier fondateur d'un pionnier (Unix, ancêtre du langage C, entre autres), Ken Thompson à l'occasion de son prix Turing (Nobel de l'informatique):
    http://cm.bell-labs.com/who/ken/trust.html

    RépondreSupprimer
  4. Certes, la protection des données personnelles, c'est bien, mais les services spécialisés n'en ont rien à battre!!! Ce qu'il faut surtout, c'est un meilleur contrôle démocratique/judiciaire, mais l'équilibre est difficile à trouver entre une efficacité minimale et le contrôle démocratique. Sinon, ça donne l'Allemagne et les opérations militaires: un excellent contrôle démocratique par le Bundestag, beaucoup de blabla pour dire qu'il faut agir... mais, au final, que des mots....

    RépondreSupprimer
  5. Je vous écris d'un non-lieu confiant, sous mon hétéronyme fidèle, transmettant des pensées amies & transverses qu'il n'y a plus lieu d'exprimer, sachant qu'elles ne sont peut-être pas les miennes, mais des pirates greffés sur mon cerveau...

    RépondreSupprimer
  6. Un jour, (pas si lointain) viendra ou l'expertise d'un disque dur sera totalement impossible.
    actuellement soucis avec truecrypt, mais jusqu'a preuve, jusqu'a la 7.1a aucun probleme, http://korben.info/truecrypt.html
    les archives saine sont sur github
    https://github.com/DrWhax/truecrypt-archive
    sauf a obetnir le mot de passe du propriétaire, c'est mort, mais pire encore
    on exteriorisera le boot du ou des système (windows serveur inclus et linux bien sur) sur un support amovible et a partir de là, fini le clonage de disque dur et l'analyse inforensic (malheureusement) ajouter à un openvpn avec une clé de 1024 vous identifiant dans bunker perdu au fond de l'europe de l'est ou en russie, voir mieux etre identifié au panama, c'est mort.

    ben ce genre de chose, je le pratique avec toute mes client pro et
    particuliers.
    cela fait meme partie intégrante de mes prestations de services ou de vente de materiels, mes nouveaux contrats, ceci est devenu une condition non negociable dans mes transactions, mais le revers de la médaille c'est que je ne sais pas qui j'ai en face de moi, alors dans le cas d'une affaire, ben certains prefereront les 3 ans de prison et 45000€ plutot que pire s'il devoile l'acces a leur données.

    je gere le boot via une carte sdhc de 2Go (largement siffisant) pour du dual boot windows/linux sur les pc et serveurs.
    le tout avec grub, flexible et puissant, bien qu'une faille de taille existe pour corrompre un systeme crypter sous linux, avec /boot
    d'ou l'externalisation de cela pour le detruire ou le faire disparaitre
    a cela vous risquer d'etre de plus en plus confronté, avec tout ce qui se passe en ce monde informatique.

    ceci est une autre conséquence des agissement de la nsa, dgse, dgsi, gchq et autre service indiscret a outrance.

    petite particularité, je propose en distri a mes clients , kali linux, qui offre des possiblité enorme dans bien des domaine, mais extrement viable pour Mde Michu au quotidien couplé au source de débian.

    comme j'ai une image negative de la société dans laquelle nous evoluons, car a nul n'est tenu, la torture a toujours raison;)

    Kali linux offre quelque chose de bien aussi
    cryptsetup
    cryptsetup luksAddNuke /dev/sda5

    ça purge les clés pour rendre le disque inaccessible, le transforme en pur presse papier, et a premiere vu pas de retour en arriere possible ni extraction de donnée.

    et cela vous aller en voir de plus en plus, je le repete malheureusement.

    RépondreSupprimer

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.