Archives par mot-clé : securité

Bitcoins

Il y a quelques années, j’avais projeté, dans le cadre d’un cours sur les services de téléinformatique (la sécurité informatique ne faisait alors pas l’objet d’un cours spécifique, même pas à option !), d’introduire pour mes étudiants un laboratoire sur les cryptomonnaies, basé sur l’utilisation du bitcoin alors émergent, et encore assez peu connu du grand public (et même de pas mal de « spécialistes » d’ailleurs). J’avais l’ambition, au travers de ces manipulations de travaux pratiques, d’illustrer à mes étudiants les aspects suivants des cryptomonnaies :

  • Comment les cryptomonnaies sont-elles générées, qu’est-ce qui garantit leur valeur ?
  • Comment conserver des bitcoins, que se passe-t-il si on perd son « porte-monnaie » ?
  • Comment peut-on mettre sur pied un service ou un magasin virtuel qui supporte les transactions avec des bitcoins ?
  • Peut-on voler des bitcoins ? Si oui, comment se protéger ?

Il y avait encore d’autres thématiques envisagées, mais pour l’essentiel, c’était là les problèmes traités par ce projet de travail de laboratoire : il n’était pas question d’aborder les divers problèmes financiers liés à la coexistence avec les monnaies traditionnelles, par exemple : n’oublions pas que je m’adressais à de futurs ingénieurs en technologies de l’information, non à des commerciaux ou à des financiers.

Pour mettre sur pied ce laboratoire, j’avais d’abord envisagé d’acheter des bitcoins (à mes frais, parce que présenter une note de frais à l’administration pour une transaction -à l’époque- à la limite du légal, c’eût été des ennuis programmés) pour mettre à disposition du groupe un pécule permettant des transactions. En y repensant, c’eût été une sacrée aubaine pour moi si je l’avais fait, car le cours du bitcoin a par la suite atteint des hauteurs astronomiques, et mon porte-monnaie de laboratoire m’eût assuré quelques revenus intéressants pour ma retraite. A l’heure où j’écris ces lignes, le bitcoin vaut plus de 35000 €, et il a largement dépassé ce chiffre par le passé; mais demain il ne vaudra peut-être plus rien… Mais dans un premier temps, un collègue, ancien camarade d’études qui enseigne dans une université en France m’avait déconseillé d’utiliser des bitcoins, et m’avait plutôt conseillé de travailler avec une cryptomonnaie que j’aurais définie moi-même, implémentée sur la base d’une blockchain basique, ce qui m’aurait évité de potentiels problèmes avec une cryptomonnaie qui aurait possédé une valeur réelle, et qui aurait donc pu susciter des tentations. Nous avions même convenu d’un nom pour cette cryptomonnaie, le Marko, contraction très approximative du défunt Mark allemand et de mon propre prénom.

Le projet était déjà bien avancé quand il tomba à l’eau pour cause de redistribution des responsabilités de cours les années suivantes. L’école avait engagé un nouveau professeur qui allait me décharger de certains cours que je donnais alors, et ce laboratoire tombait donc à l’eau, en ce qui me concernait. Cette thématique n’ayant pas l’air d’intéresser mon successeur à l’enseignement de cette matière, le projet resta au stade de … projet, justement, et je l’oubliai dans un tiroir jusqu’à ce que récemment je décide de faire de l’ordre dans mes archives poussiéreuses et que le dossier se rappelle à la lumière de mes souvenirs attendris.

Entretemps, les cryptomonnaies sont devenues très nombreuses, même si le bitcoin est resté la plus connue et la plus populaire. Alors qu’à l’origine, l’idée était de créer une monnaie d’échange intraçable et indépendante des gouvernements, les implémentations pratiques ont quelque peu dérivé depuis. Le bitcoin a beaucoup servi au blanchiment d’argent et aux transactions frauduleuses sur le darknet, mais ce n’est pas la seule cryptomonnaie dans ce cas. Une évolution intéressante actuellement va totalement à l’encontre des valeurs défendues par les pionniers de la cryptomonnaie comme le groupe connu sous le pseudonyme de Sakashi Nakamoto. Alors que ce groupe prônait une indépendance des banques centrales, et donc des Etats qui définissent et garantissent la monnaie, ainsi que l’impossibilité de déterminer les origines d’une transaction (un peu comme à l’époque du troc), divers organismes ont récemment tenté de détourner ces objectifs pour qu’ils correspondent mieux à leurs propres visées.

Facebook avait tenté de définir une cryptomonnaie, le diem ou Libra, dont un consortium d’entreprises aurait garanti la stabilité (stablecoins). Ce projet semble actuellement au point mort, bien qu’officiellement toujours d’actualité. Notons qu’il s’agit dans ce cas déjà d’un détournement de l’objectif original du bitcoin, qui rejette la stabilité au profit de l’indépendance de toute autorité financière.

Récemment, la Chine a interdit les transactions en bitcoins et autres cryptomonnaies. Le gouvernement veut ainsi éviter les transactions non traçables (officiellement à la base de la corruption) et promouvoir les transactions classiques basées sur le yuan ou éventuellement le dollar authentifiées par une carte de crédit facilement traçable. Parallèlement, conscient sans doute que l’interdiction seule ne suffira pas, même avec un contrôle très sévère du darknet, le gouvernement travaille intensivement à la définition d’une cryptomonnaie nationale, le DCEP ou Digital Currency Electronic Payment. Connaissant un peu la technologie à la base de ce type de monnaie, et tenu au courant de la mentalité du gouvernement de Xi Jin Ping en matière de contrôle de sa population, on peut sans gros risque d’erreurs prédire que l’objectif principal du projet DCEP sera justement de garantir une forte dépendance de la cryptomonnaie au cours du yuan garanti par le parti communiste, ainsi qu’une traçabilité de tous les instants assurée par les mêmes moyens qui assurent la non-traçabilité du bitcoin ! Il n’y a en effet pas grand-chose à modifier à l’implémentation d’une cryptomonnaie pour que toute transaction soit immédiatement documentée auprès de l’éditeur de l’algorithme. Et par la nature même de la blockchain, cette action de traçage sera difficile à détecter. Ainsi, l’évolution des cryptomonnaies risque d’aller exactement à l’opposé des objectifs des inventeurs !

Malheureusement, il en va souvent ainsi dans le domaine de la sécurité informatique. On met sur pied un système pour garantir la confidentialité sur Internet (comme par exemple TOR, The Onion Router) et on se retrouve face à un réseau qui propose images pédophiles, réunions de hooligans, vente de drogues et escroqueries en tous genres (dark web, différent du darknet, bien que le plus souvent abrité par ce dernier). On traque les failles informatiques dans les logiciels, et certains profitent de cette découverte pour exploiter ces mêmes failles afin de provoquer des catastrophes ou espionner d’honnêtes citoyens pas toujours en accord avec des autorités par trop soucieuses de leurs propres intérêts.

Ce que l’on réalise dans un but de sécuriser peut le plus souvent être détourné pour servir des intérêts moins avouables; toute escroquerie sous-entend une certaine confidentialité, un certain anonymat. Garantir l’anonymat est sans doute rassurant pour l’utilisateur lambda qui ne souhaite pas que son partenaire sache qu’il consulte tel ou tel site Internet; mais c’est aussi une véritable invitation pour l’escroc qui souhaite s’enrichir facilement, espionner ses concitoyens, ou simplement détruire des ressources parfois vitales (en s’enrichissant au passage, pourquoi pas ?). Et ce n’est pas cette brillante mais infortunée Natalya Anissimova qui me contredira.

Exploit

Un exploit est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité dans un système informatique. (Wikipédia)

Natalya Anissimova s’assit sur son banc préféré, à la pointe de l’île Vassilievski, pour contempler la Neva et sa ville natale de Saint-Petersburg. En cette soirée de fin juin, le soleil n’était pas encore couché, bien qu’il fût largement passé vingt-deux heures, et les rayons de lumière orangée éclairaient le palais d’hiver et le musée de l’Hermitage d’une lumière magique.

Hermitage et la Neva, de l’île Vassilievski

Les « orgues de Poutine », jeux d’eau parfaitement mis en valeur dans la lumière rasante, dansaient leur ballet quotidien.

Les « orgues de Poutine »

Elle venait très souvent le soir à cet endroit, après les journées chargées (dix à douze heures par jour parfois) auxquelles elle s’était habituée. Mais ce soir, elle n’était pas vraiment d’humeur à goûter la douceur de la soirée; les évènements récents tendaient à remettre en question tout ce pourquoi elle s’était investie depuis le début de sa carrière professionnelle.

Après des études brillantes à Saint-Petersburg, elle avait pu, grâce à ses résultats exceptionnels, trouver une bourse pour faire un doctorat aux Etats-Unis, au M.I.T. Sa thèse, « Methods for algorithmic determination of security flaws in a computer program » avait eu un gros retentissement, et la défense de son travail avait attiré quelques éminentes personnalités des GAFAM et même du gouvernement des Etats-Unis, intéressés au plus haut point par un algorithme qui pourrait traquer les failles dans un programme. Suite à cette présentation, on lui avait proposé un poste de cheffe de projet à Mountain View (CA), chez Google, où elle avait contribué au développement du système d’exploitation Android, spécialement dans le domaine de la sécurité. Quelques années plus tard, lorsque son employeur avait décidé de faire du logiciel IntelliJ IDEA la base de développement des programmes pour Android (Android Studio), elle avait saisi l’opportunité offerte pour revenir à Saint-Pétersbourg , la société JetBrains, conceptrice du logiciel en question, étant sise dans sa ville natale où elle avait gardé ses racines et ses amis. Elle avait d’abord joué un rôle de coordinatrice entre les équipes de développement de Google et celles de JetBrains pour le développement des modules spécifiques à Android, puis avait rapidement su se rendre incontournable, et ses connaissances très exhaustives en cybersécurité l’avaient vite fait connaître dans les conférences du monde entier.

A trente-quatre ans, elle avait décidé, avec quelques collègues, de créer sa propre entreprise. L’un des produits phares qu’elle souhaitait réaliser était la matérialisation de sa thèse de doctorat, sur laquelle elle n’avait jamais cessé de plancher. A sa durable surprise, elle n’eut pas trop de peine à trouver des investisseurs, bien au-delà de ses besoins estimés. Les investissements provenaient de diverses sources, principalement de banques et assurances, mais sur le moment, elle n’avait pas trop prêté attention aux motivations des investisseurs, toute à la joie de voir son projet démarrer avec tant de promesses. L’une des premières réalisations de la jeune entreprise fut justement le produit « Dark Sun », une suite d’outils informatiques constituant une précieuse aide à la détermination d’éventuelles failles de sécurité d’une application et permettant d’en caractériser l’importance et le domaine applicatif. Ce logiciel assit durablement la réputation d’excellence de Natalya et de sa société auprès des spécialistes internationaux de la sécurité, bien qu’il fût encore loin d’automatiser complètement le processus de localisation de failles informatiques.

Elle se retrouvait maintenant à la tête d’une société bénéficiaire composée d’une équipe de cinquante experts en cybersécurité, avec des contrats signés pour les trois prochaines années. Natalya avait tout réussi jusqu’ici, sans que sa vie n’eût été facile pour autant : le travail abattu était en proportion des résultats obtenus.

Il y a quelque mois, elle avait décroché deux mandats très intéressants, aussi bien financièrement que techniquement.

Le premier mandant était l’Union Européenne (en tous cas, le chef de projet se réclamait de cette autorité avec toutes les identifications nécessaires) qui voulait faire vérifier un programme pour smartphone à l’aide de la suite logicielle Dark Sun. Il s’agissait rien moins que de la nouvelle version du certificat COVID, qui avait dû être profondément modifié suite à l’apparition du variant mu contre lequel les vaccins les plus efficaces, basés sur la technologie ARN-messager, éprouvaient de sérieuses difficultés. Divers pays hors UE (le Royaume-Uni, la Norvège, la Suisse) allaient également adopter ce logiciel, ce qui faisait pas mal d’argent lorsque l’on tarifie ses services en proportion du nombre de licences installées ! Le genre de mandat que l’on ne peut pas refuser, en ayant de plus l’impression de faire une bonne action en permettant d’améliorer la qualité d’un logiciel appelé à une large distribution.

Le deuxième mandant se réclamait d’un gouvernement d’un pays du Moyen-Orient, qui désirait trouver un moyen d’inoculer un virus informatique (un spyware) dans des smartphones. L’objectif annoncé était de lutter contre la grande criminalité et contre le terrorisme en contrôlant les communications des suspects. L’équipe de Natalya était un peu dubitative vis-à-vis de ce mandat, mais il était très bien payé, et le mandant semblait tout à fait « clean », après les réserves que l’on peut mettre ou non sur les mandats d’états…

Natalya et son équipe avaient parfaitement exécuté les deux mandats, et délivré des résultats très positifs en un temps record. Le rapport de Natalya concernant le mandat de l’Union Européenne mettait en évidence l’existence de plus de cent failles logicielles, pour la plupart bénignes, sauf deux d’entre elles qualifiées de graves, et assorties de la mention « A corriger impérativement avant toute publication ». C’est trois semaines après la remise de ce rapport que le nouveau certificat COVID fut distribué dans les pays de l’UE et les pays associés. Natalya n’eut pas connaissance de la nature des correctifs apportés, si tant est qu’il y en eût (et la suite de l’affaire montra que l’objectif poursuivi par le mandant était de découvrir les failles en vue de les exploiter, non de les corriger).

Deux semaines plus tard, ce fut le chaos dans ces pays, bien que d’autres pussent être marginalement concernés. De fait, en raison de l’interconnexion des moyens de communication, on ressentit les effets de la catastrophe même à Saint-Petersbourg, mais les effets les plus délétères purent être maîtrisés à temps. En Europe, des hôpitaux et des administrations virent toutes leurs données anéanties; les moyens de communication (physiques et médias) furent dans une très large mesure rendus inopérants, l’approvisionnement en énergie fut coupé dans de très larges secteurs, le trafic de paiement devint inopérant, les soutiens logistiques, privés de toute référence, ne parvinrent plus à livrer aux détaillants des marchandises qui n’arrivaient même plus chez le grossiste. Ces difficultés allèrent en augmentant dans les jours qui suivirent, les difficultés de communiquer rendant les actions concertées difficiles. Cette action d’envergure continentale fut revendiquée par un groupe terroriste jusqu’alors inconnu, qui se baptisait « Jannah » (le paradis des croyants) et qui semblait disposer de moyens financiers quasi illimités. Les ressources de communication détruites ne permettaient pas aux enquêteurs de fonctionner normalement, et pour l’instant, il fallait se borner à essayer de venir en aide aux plus nécessiteux, lorsqu’on parvenait à les identifier et à les localiser.

Après coup, Natalya et son team avaient analysé le modus operandi du virus informatique; un virus du type « rançongiciel ou ransomware » (rendant les données de l’utilisateur inexploitables, mais sans demande de rançon associée) avait été inoculé aux smartphones via une faille du certificat COVID de l’UE. Le virus était à action différée : il exploitait une faille de type zero-day (découverte par l’équipe de Natalya, justement, et catégorisée comme grave) pour s’installer et s’activer ; ensuite, dans un premier temps, il se comportait comme un spyware qui « apprenait » les ressources disponibles, les mots de passe et les identifications biométriques de l’utilisateur. A l’heure H, au jour J, il encryptait, renommait ou détruisait les ressources ainsi découvertes. L’action différée lui permettait de ne pas être détecté avant d’être diffusé très largement, vu l’installation quasi obligatoire du logiciel en Europe. De fait, de nombreux responsables de services informatiques (du moins, ceux qui utilisaient le même smartphone pour leur activité professionnelle que dans le privé), avec des responsabilités très conséquentes et des droits d’accès étendus à des ressources vitales avaient été infectés, ce qui avait rendu les effets du rançongiciel extrêmement délétères en anéantissant des ressources informatiques à très haut niveau, dans des bases de données d’importance capitale, accessibles sur les clouds. Et c’était indubitablement Natalya et son équipe qui avaient rendu l’exploit possible en découvrant la faille, alors que leur travail était en principe consacré à l’amélioration de la sécurité informatique ! L’injection du virus dans le smartphone avait également été accomplie grâce aux indications de son équipe. Le fait qu’elle eût été trompée à chaque fois par le mandant (sur son identité, certainement, et sur ses motivations) n’était qu’une faible consolation pour Natalya. Elle se sentait responsable de nombreux morts, d’un dramatique effondrement économique qui allait dans le proche futur entraîner plus de morts encore, et d’une mobilisation armée qui allait elle aussi faire de nombreuses victimes.

Il était à prévoir qu’elle recevrait bientôt la visite du FSB (Service fédéral de sécurité de la fédération de Russie, successeur du KGB); elle avait à cet effet devancé les enquêteurs en signalant une possible responsabilité de sa société dans cette affaire, tout en assurant l’autorité de sa pleine collaboration dans la recherche des vrais coupables. Elle s’attendait à se retrouver devant des auditoires peu agréables ces prochains jours, et son futur emploi du temps paraissait rien moins que compromis. Mais c’est surtout la ruine de son œuvre et des illusions qu’elle avait entretenues sur le rôle qu’elle pensait jouer dans la société qui la désespérait, pour ne rien dire des remords qu’elle ressentait à la lecture des bilans encore très incomplets qui fuitaient d’une région économiquement dévastée.

C’est pourquoi ce soir-là, la beauté de la Neva au soleil couchant ne parvenait guère à dérider Natalya.

Natalya n’existe pas vraiment; ou plutôt, il doit exister nombre de spécialistes en Russie ou dans les pays baltes (ces nouveaux paradis de l’informatique) qui pourraient se reconnaître dans le parcours de Natalya. Et on n’a pas encore, à ma connaissance, inventé d’algorithme capable de déterminer des failles de sécurité dans un programme informatique (et si on en inventait un, je ne pense pas que je serais le premier averti !). Et a fortiori, de catégoriser et de qualifier ces failles. Mais certaines sociétés (comme l’israélienne NSO Group, éditeur du logiciel espion Pegasus ) se sont fait une spécialité de l’exploitation de vulnérabilités zero-day (des failles pas encore documentées). S’ils n’ont pas développé un logiciel permettant la découverte de ces failles, ils ont à tout le moins développé une certaine expertise dans ce domaine, ainsi que dans celui d’exploiter les failles découvertes dans le but de lancer des logiciels espion. Et à l’heure de rédiger ces lignes, je n’ai pas connaissance de variant mu de SARS-Cov-2. Mais je ne suis pas pressé d’acquérir cette connaissance, encore que la réticence de certains à se faire vacciner puisse avoir une telle conséquence.

Une telle attaque, avec des effets aussi délétères que ceux décrits ici, est actuellement techniquement possible, encore qu’il semble difficile de réunir les compétences techniques, l’argent et les opportunités pour réaliser une action d’une telle envergure et d’une portée aussi vaste. Mais un état suffisamment puissant pourrait sans doute envisager la chose; je ne suis d’ailleurs pas persuadé d’être le premier à y songer. Ou plutôt, pour m’exprimer autrement, je me demande quel département de la sécurité de quel état n’y a pas encore songé. On m’a bien parlé d’un pays où le/la ministre de la défense continue à utiliser son smartphone privé pour communiquer à son état-major le choix du prochain avion de chasse américain qu’ils vont acheter pour répondre à toutes les menaces étrangères. Mais c’est probablement de la science-fiction.