27 février 2018

Si vous n’avez rien à cacher, vous n’avez rien à craindre

Cette expertise s'annonce compliquée car les accusations semblent reposer sur des preuves vagues : un compte informatique a été utilisé tel jour à telle heure pour accéder à des données confidentielles de l'entreprise, alors que la personne associée au compte était en déplacement. Les données ont ensuite fuité, causant un préjudice pour l'entreprise.

Me voilà au milieu du problème, désigné comme expert informatique pour essayer d'éclairer la lanterne du magistrat saisi de ce dossier.

Mon problème est que je ne vois pas trop par quel angle commencer, alors que dans ma tête tourne un nombre incalculable de possibilités : malversation du salarié à distance, partage du compte avec un collègue, compromission du compte par vol de mot de passe, hameçonnage, fuite de données par sauvegarde non protégée, perte d'un disque dur, etc.

Toute l'enquête interne menée par l'entreprise désigne l'utilisation de ce compte informatique comme cause la plus probable de cette fuite de données. En présence de toutes les parties, j'étudie donc tous les éléments techniques soulevés par cette enquête interne.

Mais cette expertise judiciaire est également une enquête à part entière. Je dois mener des investigations, poser les bonnes questions, auditer la sécurité informatique du site, pour enfin pouvoir répondre aux questions posées par le magistrat.

Dans ce court billet, je vais laisser de côté le temps passé en investigations diverses, les différentes réunions, la somme de connaissances réunie autour de la table pour étudier ce problème. Mon objectif est de poser ici cette petite anecdote qui montre que le hasard fait parfois bien les choses, et qu'il faut lui laisser sa chance.

Le réseau de l'entreprise est un réseau Windows à contrôleur de domaine. Je demande à être autorisé à utiliser un compte local avec les droits administrateurs sur une machine du réseau, habilité à lancer quelques outils d'investigation. En attendant d'utiliser les outils plus avancés de ma panoplie, sans trop savoir où aller, je lance l'explorateur de fichiers à la découverte du réseau, en commentant ce que je vois apparaître sur l'écran de l'ordinateur, pour l'éclairage des avocats et différents responsables techniques et juridiques présents autour de moi.

Je vois apparaître différents appareils branchés sur le réseau de l'entreprise : ordinateurs, serveurs, imprimantes, photocopieurs, routeurs... Un nom attire mon attention : une marque de serveur de vidéosurveillance. Je clique sur le lien, pour voir apparaître une page web d'accueil demandant un login/mot de passe.

Je fais un petit tour sur DuckDuckGo pour obtenir les informations de connexion par défaut, et tape admin/admin comme login/mot de passe. Bingo, me voici connecté au serveur gérant les 32 caméras de vidéosurveillance de l'entreprise.

Silence gêné dans la salle.

Comme je travaille dans une école d'ingénieurs, je suis sensibilisé au problème des smartphones qui peuvent filmer les professeurs pendant les cours, en particulier quand ceux-ci tapent leur mot de passe sur le clavier de leur ordinateur. J'explore donc les différentes caméras de surveillance, et tombe sur celles de l'open space de l'entreprise. Un petit coup de zoom et nous voilà en train d'observer la frappe d'une personne sur son clavier (ainsi que son écran).

Les logs de connexion du serveur de vidéosurveillance montrent des connexions suspectes dans les semaines précédant l'incident, à partir d'une adresse MAC non connue de l'entreprise. Toutes les prises RJ45 étant brassées, n'importe qui pouvait brancher un ordinateur pour accéder au réseau de l'entreprise, y compris dans les toilettes (hors champ des caméras).

Je n'ai pas pu trouver la personne à la source de la fuite de données (cela ne faisait pas partie des missions confiées par le magistrat), mais j'ai pu prouver que n'importe qui pouvait intercepter sans difficulté un login/mot de passe. Cela a permis au moins de montrer que le titulaire du compte n'était pas nécessairement en faute (ou au moins de semer le doute). Imaginez ce qu'il se serait passé si la personne n'avait pas été en déplacement...

Même dans votre entreprise, méfiez vous des caméras. Vous pensez qu'elles vous protègent parce que vous pensez qu'elles ne filment que les méchants. Dans la rue, dans l'entreprise, dans votre propre maison, elles peuvent être piratées et détournées de leur usage initial. Pensez-y quand on vous dira que si vous n'avez rien à cacher, vous n'avez rien à craindre.

Vous avez toujours quelque chose à protéger : vos mots de passe, vos écrans, votre vie privée.
Quand vous dites "je ne me soucie pas du droit à la vie privée parce que je n'ai rien à cacher", ce n'est pas très différent que de dire "je me fiche de la liberté d'expression parce que je n'ai rien à dire" ou "de la liberté de la presse parce que je n'ai rien à écrire".
Edward Snowden