{"id":9328,"date":"2021-07-29T16:36:32","date_gmt":"2021-07-29T14:36:32","guid":{"rendered":"https:\/\/www.lesmonts.ch\/wp_fr\/?p=9328"},"modified":"2021-07-30T09:53:46","modified_gmt":"2021-07-30T07:53:46","slug":"exploit","status":"publish","type":"post","link":"https:\/\/www.lesmonts.ch\/wp_fr\/exploit\/","title":{"rendered":"Exploit"},"content":{"rendered":"\n

Un exploit est, dans le domaine de la s\u00e9curit\u00e9 informatique, un \u00e9l\u00e9ment de programme permettant \u00e0 un individu ou \u00e0 un logiciel malveillant d’exploiter une faille de s\u00e9curit\u00e9 dans un syst\u00e8me informatique.<\/a><\/em> (Wikip\u00e9dia)<\/em><\/p>\n\n\n\n

Natalya Anissimova s’assit sur son banc pr\u00e9f\u00e9r\u00e9, \u00e0 la pointe de l’\u00eele Vassilievski<\/a>, pour contempler la Neva et sa ville natale de Saint-Petersburg. En cette soir\u00e9e de fin juin, le soleil n’\u00e9tait pas encore couch\u00e9, bien qu’il f\u00fbt largement pass\u00e9 vingt-deux heures, et les rayons de lumi\u00e8re orang\u00e9e \u00e9clairaient le palais d’hiver et le mus\u00e9e de l’Hermitage d’une lumi\u00e8re magique. <\/p>\n\n\n\n

\"\"<\/a>
Hermitage et la Neva, de l’\u00eele Vassilievski<\/figcaption><\/figure>\n\n\n\n

Les \u00ab\u00a0orgues de Poutine\u00a0\u00bb, jeux d’eau parfaitement mis en valeur dans la lumi\u00e8re rasante, dansaient leur ballet quotidien. <\/p>\n\n\n\n

\"\"<\/a>
Les \u00ab\u00a0orgues de Poutine\u00a0\u00bb<\/figcaption><\/figure>\n\n\n\n

Elle venait tr\u00e8s souvent le soir \u00e0 cet endroit, apr\u00e8s les journ\u00e9es charg\u00e9es (dix \u00e0 douze heures par jour parfois) auxquelles elle s’\u00e9tait habitu\u00e9e. Mais ce soir, elle n’\u00e9tait pas vraiment d’humeur \u00e0 go\u00fbter la douceur de la soir\u00e9e; les \u00e9v\u00e8nements r\u00e9cents tendaient \u00e0 remettre en question tout ce pourquoi elle s’\u00e9tait investie depuis le d\u00e9but de sa carri\u00e8re professionnelle.<\/p>\n\n\n\n

Apr\u00e8s des \u00e9tudes brillantes \u00e0 Saint-Petersburg, elle avait pu, gr\u00e2ce \u00e0 ses r\u00e9sultats exceptionnels, trouver une bourse pour faire un doctorat aux Etats-Unis, au M.I.T.<\/a> Sa th\u00e8se, \u00ab\u00a0Methods for algorithmic determination of security flaws in a computer program<\/em>\u00a0\u00bb avait eu un gros retentissement, et la d\u00e9fense de son travail avait attir\u00e9 quelques \u00e9minentes personnalit\u00e9s des GAFAM et m\u00eame du gouvernement des Etats-Unis, int\u00e9ress\u00e9s au plus haut point par un algorithme qui pourrait traquer les failles dans un programme. Suite \u00e0 cette pr\u00e9sentation, on lui avait propos\u00e9 un poste de cheffe de projet \u00e0 Mountain View (CA), chez Google, o\u00f9 elle avait contribu\u00e9 au d\u00e9veloppement du syst\u00e8me d’exploitation Android, sp\u00e9cialement dans le domaine de la s\u00e9curit\u00e9. Quelques ann\u00e9es plus tard, lorsque son employeur avait d\u00e9cid\u00e9 de faire du logiciel IntelliJ IDEA<\/a> la base de d\u00e9veloppement des programmes pour Android (Android Studio<\/a>), elle avait saisi l’opportunit\u00e9 offerte pour revenir \u00e0 Saint-P\u00e9tersbourg , la soci\u00e9t\u00e9 JetBrains<\/a>, conceptrice du logiciel en question, \u00e9tant sise dans sa ville natale o\u00f9 elle avait gard\u00e9 ses racines et ses amis. Elle avait d’abord jou\u00e9 un r\u00f4le de coordinatrice entre les \u00e9quipes de d\u00e9veloppement de Google et celles de JetBrains pour le d\u00e9veloppement des modules sp\u00e9cifiques \u00e0 Android, puis avait rapidement su se rendre incontournable, et ses connaissances tr\u00e8s exhaustives en cybers\u00e9curit\u00e9 l’avaient vite fait conna\u00eetre dans les conf\u00e9rences du monde entier. <\/p>\n\n\n\n

A trente-quatre ans, elle avait d\u00e9cid\u00e9, avec quelques coll\u00e8gues, de cr\u00e9er sa propre entreprise. L’un des produits phares qu’elle souhaitait r\u00e9aliser \u00e9tait la mat\u00e9rialisation de sa th\u00e8se de doctorat, sur laquelle elle n’avait jamais cess\u00e9 de plancher. A sa durable surprise, elle n’eut pas trop de peine \u00e0 trouver des investisseurs, bien au-del\u00e0 de ses besoins estim\u00e9s. Les investissements provenaient de diverses sources, principalement de banques et assurances, mais sur le moment, elle n’avait pas trop pr\u00eat\u00e9 attention aux motivations des investisseurs, toute \u00e0 la joie de voir son projet d\u00e9marrer avec tant de promesses. L’une des premi\u00e8res r\u00e9alisations de la jeune entreprise fut justement le produit \u00ab\u00a0Dark Sun\u00a0\u00bb, une suite d’outils informatiques constituant une pr\u00e9cieuse aide \u00e0 la d\u00e9termination d’\u00e9ventuelles failles de s\u00e9curit\u00e9 d’une application et permettant d’en caract\u00e9riser l’importance et le domaine applicatif. Ce logiciel assit durablement la r\u00e9putation d’excellence de Natalya et de sa soci\u00e9t\u00e9 aupr\u00e8s des sp\u00e9cialistes internationaux de la s\u00e9curit\u00e9, bien qu’il f\u00fbt encore loin d’automatiser compl\u00e8tement le processus de localisation de failles informatiques.<\/p>\n\n\n\n

Elle se retrouvait maintenant \u00e0 la t\u00eate d’une soci\u00e9t\u00e9 b\u00e9n\u00e9ficiaire compos\u00e9e d’une \u00e9quipe de cinquante experts en cybers\u00e9curit\u00e9, avec des contrats sign\u00e9s pour les trois prochaines ann\u00e9es. Natalya avait tout r\u00e9ussi jusqu’ici, sans que sa vie n’e\u00fbt \u00e9t\u00e9 facile pour autant : le travail abattu \u00e9tait en proportion des r\u00e9sultats obtenus. <\/p>\n\n\n\n

Il y a quelque mois, elle avait d\u00e9croch\u00e9 deux mandats tr\u00e8s int\u00e9ressants, aussi bien financi\u00e8rement que techniquement. <\/p>\n\n\n\n

Le premier mandant \u00e9tait l’Union Europ\u00e9enne (en tous cas, le chef de projet se r\u00e9clamait de cette autorit\u00e9 avec toutes les identifications n\u00e9cessaires) qui voulait faire v\u00e9rifier un programme pour smartphone \u00e0 l’aide de la suite logicielle Dark Sun. Il s’agissait rien moins que de la nouvelle version du certificat COVID, qui avait d\u00fb \u00eatre profond\u00e9ment modifi\u00e9 suite \u00e0 l’apparition du variant mu contre lequel les vaccins les plus efficaces, bas\u00e9s sur la technologie ARN-messager, \u00e9prouvaient de s\u00e9rieuses difficult\u00e9s. Divers pays hors UE (le Royaume-Uni, la Norv\u00e8ge, la Suisse) allaient \u00e9galement adopter ce logiciel, ce qui faisait pas mal d’argent lorsque l’on tarifie ses services en proportion du nombre de licences install\u00e9es ! Le genre de mandat que l’on ne peut pas refuser, en ayant de plus l’impression de faire une bonne action en permettant d’am\u00e9liorer la qualit\u00e9 d’un logiciel appel\u00e9 \u00e0 une large distribution.<\/p>\n\n\n\n

Le deuxi\u00e8me mandant se r\u00e9clamait d’un gouvernement d’un pays du Moyen-Orient, qui d\u00e9sirait trouver un moyen d’inoculer un virus informatique (un spyware<\/a>) dans des smartphones. L’objectif annonc\u00e9 \u00e9tait de lutter contre la grande criminalit\u00e9 et contre le terrorisme en contr\u00f4lant les communications des suspects. L’\u00e9quipe de Natalya \u00e9tait un peu dubitative vis-\u00e0-vis de ce mandat, mais il \u00e9tait tr\u00e8s bien pay\u00e9, et le mandant semblait tout \u00e0 fait \u00ab\u00a0clean\u00a0\u00bb, apr\u00e8s les r\u00e9serves que l’on peut mettre ou non sur les mandats d’\u00e9tats…<\/p>\n\n\n\n

Natalya et son \u00e9quipe avaient parfaitement ex\u00e9cut\u00e9 les deux mandats, et d\u00e9livr\u00e9 des r\u00e9sultats tr\u00e8s positifs en un temps record. Le rapport de Natalya concernant le mandat de l’Union Europ\u00e9enne mettait en \u00e9vidence l’existence de plus de cent failles logicielles, pour la plupart b\u00e9nignes, sauf deux d’entre elles qualifi\u00e9es de graves, et assorties de la mention \u00ab\u00a0A corriger imp\u00e9rativement avant toute publication\u00a0\u00bb<\/strong>. C’est trois semaines apr\u00e8s la remise de ce rapport que le nouveau certificat COVID fut distribu\u00e9 dans les pays de l’UE et les pays associ\u00e9s. Natalya n’eut pas connaissance de la nature des correctifs apport\u00e9s, si tant est qu’il y en e\u00fbt (et la suite de l’affaire montra que l’objectif poursuivi par le mandant \u00e9tait de d\u00e9couvrir les failles en vue de les exploiter, non de les corriger).<\/p>\n\n\n\n

Deux semaines plus tard, ce fut le chaos dans ces pays, bien que d’autres pussent \u00eatre marginalement concern\u00e9s. De fait, en raison de l’interconnexion des moyens de communication, on ressentit les effets de la catastrophe m\u00eame \u00e0 Saint-Petersbourg, mais les effets les plus d\u00e9l\u00e9t\u00e8res purent \u00eatre ma\u00eetris\u00e9s \u00e0 temps. En Europe, des h\u00f4pitaux et des administrations virent toutes leurs donn\u00e9es an\u00e9anties; les moyens de communication (physiques et m\u00e9dias) furent dans une tr\u00e8s large mesure rendus inop\u00e9rants, l’approvisionnement en \u00e9nergie fut coup\u00e9 dans de tr\u00e8s larges secteurs, le trafic de paiement devint inop\u00e9rant, les soutiens logistiques, priv\u00e9s de toute r\u00e9f\u00e9rence, ne parvinrent plus \u00e0 livrer aux d\u00e9taillants des marchandises qui n’arrivaient m\u00eame plus chez le grossiste. Ces difficult\u00e9s all\u00e8rent en augmentant dans les jours qui suivirent, les difficult\u00e9s de communiquer rendant les actions concert\u00e9es difficiles. Cette action d’envergure continentale fut revendiqu\u00e9e par un groupe terroriste jusqu’alors inconnu, qui se baptisait \u00ab\u00a0Jannah<\/a>\u00a0\u00bb (le paradis des croyants) et qui semblait disposer de moyens financiers quasi illimit\u00e9s. Les ressources de communication d\u00e9truites ne permettaient pas aux enqu\u00eateurs de fonctionner normalement, et pour l’instant, il fallait se borner \u00e0 essayer de venir en aide aux plus n\u00e9cessiteux, lorsqu’on parvenait \u00e0 les identifier et \u00e0 les localiser.<\/p>\n\n\n\n

Apr\u00e8s coup, Natalya et son team avaient analys\u00e9 le modus operandi<\/em> du virus informatique; un virus du type \u00ab\u00a0ran\u00e7ongiciel ou ransomware<\/a>\u00a0\u00bb (rendant les donn\u00e9es de l’utilisateur inexploitables, mais sans demande de ran\u00e7on associ\u00e9e) avait \u00e9t\u00e9 inocul\u00e9 aux smartphones via une faille du certificat COVID de l’UE. Le virus \u00e9tait \u00e0 action diff\u00e9r\u00e9e : il exploitait une faille de type zero-day<\/a> (d\u00e9couverte par l’\u00e9quipe de Natalya, justement, et cat\u00e9goris\u00e9e comme grave) pour s’installer et s’activer ; ensuite, dans un premier temps, il se comportait comme un spyware <\/a>qui \u00ab\u00a0apprenait\u00a0\u00bb les ressources disponibles, les mots de passe et les identifications biom\u00e9triques de l’utilisateur. A l’heure H, au jour J, il encryptait, renommait ou d\u00e9truisait les ressources ainsi d\u00e9couvertes. L’action diff\u00e9r\u00e9e lui permettait de ne pas \u00eatre d\u00e9tect\u00e9 avant d’\u00eatre diffus\u00e9 tr\u00e8s largement, vu l’installation quasi obligatoire du logiciel en Europe. De fait, de nombreux responsables de services informatiques (du moins, ceux qui utilisaient le m\u00eame smartphone pour leur activit\u00e9 professionnelle que dans le priv\u00e9), avec des responsabilit\u00e9s tr\u00e8s cons\u00e9quentes et des droits d’acc\u00e8s \u00e9tendus \u00e0 des ressources vitales avaient \u00e9t\u00e9 infect\u00e9s, ce qui avait rendu les effets du ran\u00e7ongiciel extr\u00eamement d\u00e9l\u00e9t\u00e8res en an\u00e9antissant des ressources informatiques \u00e0 tr\u00e8s haut niveau, dans des bases de donn\u00e9es d’importance capitale, accessibles sur les clouds<\/a>. Et c’\u00e9tait indubitablement Natalya et son \u00e9quipe qui avaient rendu l’exploit possible en d\u00e9couvrant la faille, alors que leur travail \u00e9tait en principe consacr\u00e9 \u00e0 l’am\u00e9lioration de la s\u00e9curit\u00e9 informatique ! L’injection du virus dans le smartphone avait \u00e9galement \u00e9t\u00e9 accomplie gr\u00e2ce aux indications de son \u00e9quipe. Le fait qu’elle e\u00fbt \u00e9t\u00e9 tromp\u00e9e \u00e0 chaque fois par le mandant (sur son identit\u00e9, certainement, et sur ses motivations) n’\u00e9tait qu’une faible consolation pour Natalya. Elle se sentait responsable de nombreux morts, d’un dramatique effondrement \u00e9conomique qui allait dans le proche futur entra\u00eener plus de morts encore, et d’une mobilisation arm\u00e9e qui allait elle aussi faire de nombreuses victimes.<\/p>\n\n\n\n

Il \u00e9tait \u00e0 pr\u00e9voir qu’elle recevrait bient\u00f4t la visite du FSB<\/a> (Service f\u00e9d\u00e9ral de s\u00e9curit\u00e9 de la f\u00e9d\u00e9ration de Russie, successeur du KGB<\/a>); elle avait \u00e0 cet effet devanc\u00e9 les enqu\u00eateurs en signalant une possible responsabilit\u00e9 de sa soci\u00e9t\u00e9 dans cette affaire, tout en assurant l’autorit\u00e9 de sa pleine collaboration dans la recherche des vrais coupables. Elle s’attendait \u00e0 se retrouver devant des auditoires peu agr\u00e9ables ces prochains jours, et son futur emploi du temps paraissait rien moins que compromis. Mais c’est surtout la ruine de son \u0153uvre et des illusions qu’elle avait entretenues sur le r\u00f4le qu’elle pensait jouer dans la soci\u00e9t\u00e9 qui la d\u00e9sesp\u00e9rait, pour ne rien dire des remords qu’elle ressentait \u00e0 la lecture des bilans encore tr\u00e8s incomplets qui fuitaient d’une r\u00e9gion \u00e9conomiquement d\u00e9vast\u00e9e.<\/p>\n\n\n\n

C’est pourquoi ce soir-l\u00e0, la beaut\u00e9 de la Neva au soleil couchant ne parvenait gu\u00e8re \u00e0 d\u00e9rider Natalya.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Natalya n’existe pas vraiment; ou plut\u00f4t, il doit exister nombre de sp\u00e9cialistes en Russie ou dans les pays baltes (ces nouveaux paradis de l’informatique) qui pourraient se reconna\u00eetre dans le parcours de Natalya. Et on n’a pas encore, \u00e0 ma connaissance, invent\u00e9 d’algorithme capable de d\u00e9terminer des failles de s\u00e9curit\u00e9 dans un programme informatique (et si on en inventait un, je ne pense pas que je serais le premier averti !). Et a fortiori, de cat\u00e9goriser et de qualifier ces failles. Mais certaines soci\u00e9t\u00e9s (comme l’isra\u00e9lienne NSO Group<\/a>, \u00e9diteur du logiciel espion Pegasus<\/a> ) se sont fait une sp\u00e9cialit\u00e9 de l’exploitation de vuln\u00e9rabilit\u00e9s zero-day<\/a> (des failles pas encore document\u00e9es). S’ils n’ont pas d\u00e9velopp\u00e9 un logiciel permettant la d\u00e9couverte de ces failles, ils ont \u00e0 tout le moins d\u00e9velopp\u00e9 une certaine expertise dans ce domaine, ainsi que dans celui d’exploiter les failles d\u00e9couvertes dans le but de lancer des logiciels espion. Et \u00e0 l’heure de r\u00e9diger ces lignes, je n’ai pas connaissance de variant mu de SARS-Cov-2. Mais je ne suis pas press\u00e9 d’acqu\u00e9rir cette connaissance, encore que la r\u00e9ticence de certains \u00e0 se faire vacciner puisse avoir une telle cons\u00e9quence.<\/p>\n\n\n\n

Une telle attaque, avec des effets aussi d\u00e9l\u00e9t\u00e8res que ceux d\u00e9crits ici, est actuellement techniquement possible, encore qu’il semble difficile de r\u00e9unir les comp\u00e9tences techniques, l’argent et les opportunit\u00e9s pour r\u00e9aliser une action d’une telle envergure et d’une port\u00e9e aussi vaste. Mais un \u00e9tat suffisamment puissant pourrait sans doute envisager la chose; je ne suis d’ailleurs pas persuad\u00e9 d’\u00eatre le premier \u00e0 y songer. Ou plut\u00f4t, pour m’exprimer autrement, je me demande quel d\u00e9partement de la s\u00e9curit\u00e9 de quel \u00e9tat n’y a pas encore song\u00e9. On m’a bien parl\u00e9 d’un pays o\u00f9 le\/la ministre de la d\u00e9fense continue \u00e0 utiliser son smartphone priv\u00e9 pour communiquer \u00e0 son \u00e9tat-major le choix du prochain avion de chasse am\u00e9ricain qu’ils vont acheter pour r\u00e9pondre \u00e0 toutes les menaces \u00e9trang\u00e8res. Mais c’est probablement de la science-fiction.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un exploit est, dans le domaine de la s\u00e9curit\u00e9 informatique, un \u00e9l\u00e9ment de programme permettant \u00e0 un individu ou \u00e0 un logiciel malveillant d’exploiter une faille de s\u00e9curit\u00e9 dans un syst\u00e8me informatique. (Wikip\u00e9dia) Natalya Anissimova s’assit sur son banc pr\u00e9f\u00e9r\u00e9, \u00e0 la pointe de l’\u00eele Vassilievski, pour contempler la Neva et sa ville natale de Saint-Petersburg. En cette soir\u00e9e de fin juin, le soleil … Continuer la lecture de Exploit<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","ngg_post_thumbnail":0,"footnotes":""},"categories":[1],"tags":[74,75,76],"class_list":["post-9328","post","type-post","status-publish","format-standard","hentry","category-non-classe","tag-exploit-informatique","tag-informatique","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/9328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/comments?post=9328"}],"version-history":[{"count":26,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/9328\/revisions"}],"predecessor-version":[{"id":9363,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/posts\/9328\/revisions\/9363"}],"wp:attachment":[{"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/media?parent=9328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/categories?post=9328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lesmonts.ch\/wp_fr\/wp-json\/wp\/v2\/tags?post=9328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}