Internet Armes Secrètes

A l'heure ou j'écris, et selon l'Agence Associated Press, le Pentagone vient en effet de faire état du plus gros pompage de données numériques jamais enregistré par l'administration américaine.

"The Pentagon on Thursday revealed that in the spring it suffered one of its largest losses ever of sensitive data in a cyberattack by a foreign government. It's a dramatic example of why the military is pursuing a new strategy emphasizing deeper defenses of its computer networks, collaboration with private industry and new steps to stop "malicious insiders."

William Lynn, le Secrétaire-adjoint à la Défense, parle de 24 000 fichiers de données relatives aux entreprises du complexe militaro-industriel américain. Il précise qu'il s'agit très-probablement d'une attaque menée par un autre pays.. Sans préciser.

Terry Zink de Circleid opte pour la piste chinoise quant à lui. Il n'est pas le seul. On ne peut s'empêcher de faire le parallèle entre les conditions de cette attaque Cyber et celles de Pearl Harbour : "Le Quartier-général impérial souhaitait également répondre aux sanctions économiques prises par Washington en juillet 1941".. L'Histoire resservirait-elle les plats ?

Tous en ligne de mire

La sécurité des données et des applications ne semble pas pouvoir être garantie sur L'internet. L'observation vaut pour tous. Vu sous un autre angle, il est manifeste que vos biens immatériels - et même matériels - sont en grand danger sur le réseau, dés qu'ils s’y trouvent, dés que vous vous y aventurez. Que vous soyez un particulier, une petite ou une grande entreprise, une collectivité, un service de l'Etat, une ONG, vous avez déjà subi, ou vous subirez, une, voire des agressions .. Agressions pour détruire, piller, voler, arnaquer, tromper, frauder, dissimuler, exploiter, fausser, escroquer.. On pourrait ainsi aligner cent locutions verbales correspondant aux centaines de types d'attaques possibles et référencées.

Internet est une arme au service d'une multitude d'entités, maffia, états, escrocs, malfaisants de tous bords.

Une attaque, presque toujours, quelle qu'elle soit, se résume à la fois comme :

- Un préjudice (sur une échelle qui va du simple désagrément au désastre complet)

- Mais aussi, "une grande expérience", une inévitable occasion d'apprendre ( d’apprendre comment va le monde ?)

“An embarrassing calamity,” perhaps ? “A monumental month of misery,” possibly ? disait Tim Schaaff, président de Sony Network Entertainment, qui sait de quoi il s'agit.. Il ajoute aussi : “a great learning experience.”

« Chaque jour, on a l’impression de recenser de nouvelles victimes parmi les entreprises, les agences fédérales ou les institutions publiques en raison de la cyber-criminalité », a-t-il déclaré lors d’une audition en commission sénatoriale du 29 juin dédiée à la vie privée à l’ère numérique et la sécurité des données. « Peut-être que la fréquence, l’audace et les conséquences de ces attaques contribueront à ce que le Congrès élabore une nouvelle législation qui fera d’Internet un lieu plus sûr pour tous. »

Vœux pieux !

Sony vient en effet de faire l'objet d'une agression parmi les plus importantes de l'histoire de l'Internet. Sony "n’a pas investi plusieurs centaines de millions de dollars dans sa sécurité et pourtant c’est bien ce que les pépins récents vont lui couter" écrit Philippe Humeau, DG de NBS, sur globalsecuritymag.fr.

Les pirates pourraient avoir mis la main sur les coordonnées de 25 millions des clients de Sony en infiltrant leur réseau de jeux en lignes, sans compter la mise hors jeux de 77 millions d'utilisateurs de PSN pendant un mois au moins. On parle de 200 millions de dollars cashburnés.

La compagnie avait initialement pensé que les données concernant les clients de Sony Online Entertainment avaient échappé à la cyber attaque de mi-avril. Mais, le premier Mai, on confirmait, qu'outre les chiffres ci-dessus mentionnés, une "vieille" data base de 2007 faisait partie du lot. Mieux encore, près de 13 000 cartes de crédit appartenant à des personnes de tous horizons, numéros, dates d'expiration, étaient passées aux mains des tire-laine à répétition.

Et l'inventaire est loin d'être terminé, les menaces loin d'être écartées..

Atterrés par vos pertes, attelés à reconstruire, aux prises avec les conséquences du piratage, avec le mécontentement de vos clients et les suite juridiques qui peuvent en découler, vous vous posez une série de questions. Pourquoi nous ? Pourquoi les systèmes de sécurité n'ont pas joué ? Qui a fait cela ? Qui sont les responsables de la défaite, depuis le pirate jusqu'à vous, en passant par la chaîne plus ou moins complexe des fournisseurs, de matériel, de logiciels, d'accès, d'hébergement, des applications, des noms ? Qu'aurions-nous du faire ? Qu'auraient du-t-ils faire eux, aux différents niveaux ?.. Et surtout, la principale des questions : le renforcement promis de la lutte contre la cyber-criminalité va-t-il tout régler ?

Sur des sites d'aussi grande notoriété que eBay, Craigslist, Edmunds, Le Bon Coin, nombreux sont ceux qui pensent trouver la voiture "de leur rêve". Les arnaqueurs n'en ont que faire de la notoriété de ces géants et des moyens qu'ils prétendent mettre en place pour protéger leurs clients. La National Consumers League (NCL), fait état d’un nombre d'arnaques à la voiture en constante augmentation sur les quatre premiers mois 2011. 100 plaintes enregistrées sur les deux premiers mois, pour des dégâts estimés à 300 000 dollars. Et combien de cas sans plainte ? La filière Roumaine, ou plutôt un gang de la filière, celui qui vient d'être aligné par la police, aligne plus d'un millier de victimes à son tableau de chasse, pour en gros 20 millions. 

Le meurtre d'un serveur

Il m'a été récemment donné de pouvoir suivre un cas d'école intéressant, celui d'une petite structure, une agence de com de quatre personnes, très-habiles a satisfaire leurs clients, très-habiles dans le développement d'applications Internet couvrant la majorité des technologies existantes, développements HTML, scripts, CSS, PHP... Mise en ligne de vidéo, de systèmes de collecte d'information, de bases de données, de boutiques électroniques.. Des gens pour qui Dreamweaver, CS4, PHP n'ont pas (trop) de secrets.

Un tiers environ de leur clientèle se trouve hébergée sur une plateforme de commerce électronique leader en France, un autre tiers a récemment été confié au Cloud Google (Google sites et Apps), le dernier tiers enfin, historiquement le plus ancien, se trouvait chez un "Grand de l'hébergement", ou, pour être précis, sur un serveur dédié type LAMP équipé d'un interface d'administration Plesk mis en disposition en "facility management".

On peut également mentionner l'existence de quelques clients encore chez des fournisseurs d'hébergement américains, pour des raisons historiques également : Networksolutions, Almac, Hover et autres acteurs présents déjà au début des années 90..

Jusqu'ici, les clients "mis à l'abri', dans le Cloud Google ou sur la plateforme de commerce électronique n'ont jamais eu à subir le moindre déni de service. Google, même si la Compagnie ne jouit pas de toute mon affection, se présente ainsi comme un espace parmi les plus « secure » du Net, car Google voit tout, entend tout. Cela n'a pas que des inconvénients. Je ne renie pas les articles que j'avais écrit sous les titres "Akashic records" et Google Beware..

Le serveur dédié en revanche, hébergeant les applications de plus de 40 clients, a subi une attaque de pirates, "hackers" dans la terminologie du fournisseur de serveurs sensé être responsable de la sécurité des infrastructures et des machines qu'il met à la disposition de ses clients.

Certes, notre petite agence de com en question n'est pas experte en matière de linguistique d'administration des serveurs Unix, son incontestable expérience se bornant à l'utilisation de l'interface Plesk et d’un FileZilla pour la mise en ligne et l’exploitation de ses applications..

Affaire bien embrouillée, échange de propos relevant d'une science casuistique de l'informatique empyréïque.

- "Nous avons ete oblige de desactiver votre serveur. L'ampleur de la faille est telle que nous devrons tres certainement proceder a la reinstallation complete du serveur." (sic pour l’orthographe !)

Le fournisseur, en fait, n'en a rien fait. Il a tout simplement et brutalement tué le serveur, contraignant la petite agence de com à acheter un nouveau serveur dédié et à réinstaller ses 40 clients grâce à ses propres backups !

Outre la mise à mort du serveur attaqué, et par voie de conséquence l’impossibilité de downloader les applications dynamiques à l’instant où elles se trouvaient, l'agression s'est soldée par un déni de service de trois jours en moyenne pour 40 entreprises, une semaine à trois de travail de reconstruction, une perte de confiance généralisée..

Apparemment le fournisseur du serveur dédié n'avait ni la solution pour prévenir une attaque pirate, ni la solution pour, une fois détectée, isoler et détruire l'intrusion - au pire en ne détruisant qu’une partition seulement, mais pas l'ensemble.

Quant aux pirates, ils courent toujours, impunis, impunissables.

L'Internet Noir.. Pas gagné d'avance

La lutte est en cours, depuis la nuit des temps, depuis le début de l'Internet, l'armure contre le glaive, l'Arc et la Massue, l'obus et le mur, l'Internet Noir et l'Œuvre au Blanc. Insuffisants symboles d'ailleurs, puisque les combattants, les bons, les méchants, ceux qui sont dans un camp, puis qui passent dans l'autre, ne répugnent pas à utiliser tous les types d'armement. Ad nutum.

Un type que je connais, de très loin bien évidemment, dont je tairai le nom pour d'évidentes raisons, alias leon, est un spécialiste de Tor, I2P, Freenet et autres continents souterrains de l'Internet. En dépit des cultures et des options technologiques très différentes d'un réseau l'autre, il se déplace à l'aise dans ces fantomatiques espaces.. Prenons Tor par exemple. Tout le monde sait que le "routeur en Oignon" permet de parcourir l'Internet en (presque) parfaite clandestinité. Ce qu'on sait moins, c'est qu'il existe un véritable "Onion Land", la communauté des gens qui ne se connaissent pas, ne veulent pas se connaître, mais qui parlent ensemble, qui se donnent rendez-vous sur certains point de TOR, qui "trade", mais dont les écrits, les sites, les actes, les pratiques, sont absolument invisibles pour l'Internet "classique"..

Notre voyage en Onion Land, notre dérive dans l'esprit des situ's, a nécessité quelques préparations, et quelques réflexions. L'anonymat est la première condition pour entreprendre la navigation vers l'Internet Noir, en même temps que la mise en œuvre de quelques moyens techniques spécifiques.. Il faut s'y faire au danger que ça représente. Debord l'a dit, toute dérive est à risque.. L'Onion ne fait pas exception. Quand vous entrez dans un espace ou l'anonymat absolu vous permet de pratiquer l'illicite absolu, de dire et écrire tout ce que vous voulez, d'acheter, de vendre, tout, absolument tout ce que vous pouvez imaginer, il est difficile de ne pas garder sur soi, sur son computer, des traces de l'expédition. Double danger, ceux que vous allez fréquenter d’une part, ceux qui vous interdisent de les fréquenter d’autre part, pas les moindres.

Leon dispose d’un petit portable dédié aux expéditions TOR, un ordinateur à mémoire courte.. Pas de disque dur sur la machine, juste un cd Linux, en mode lecture seule, taillé pour les explorations TOR, en guise d’OS. Toutes les données relatives à la navigation seront cryptées et anonymes. Lorsque le système sera éteint, il sera incapable de se rappeler quoi que ce soit de ce qui s’est passé.. Discontinuité totale, aussi bien physique que virtuelle, entre deux monde qui s’ignore et doivent s’ignorer. La seule chose qui subsiste, c’est ce que leon m’a montré et que je garde à l’esprit. Le Wiki caché, le plus noir recoin d’Onion Land, les dealers, les exploiteurs, les rebelles, d’autres encore, innimbrables..

Au fait, c’est quoi cette adresse en .onion.html ?

http://vps17431.ovh.net/cache/ci3hn2uzjw2wby3z.onion.html

Tous les liens, nazi, pedo talk, buy shit, eccetera.. donnent « not found »

C’est pourtant bien chez OVH, un Grand de l’Hébergement bien connu ? Mais que fait la police ? Y’aurait matière ?