Cyberflics par Jean-Rémi Deléage e-mail : jeanrem@world-net.sct.fr Les ordinateurs sont les nouveaux coffres forts à pirater. C'est pourquoi la flibuste ne court plus sur les mers mais sur les autoroutes de l'information, à la recherche de butins numériques. Longtemps à la traîne, la police du monde entier s'organise. La guerre du virtuel ne fait que commencer. Paris, vendredi 16 décembre 1994. Quelque part dans Paris. Alors même que j'étais en train de rédiger ce papier sur la DAO, je recevais un avertissement dans ma boîte à lettres électronique de la part d'un administrateur système sur Unix. Il m'enjoignait fermement de cesser mes tentatives de piratage sur son site. Moi, le béotien du hacking, en train d'étudier laborieusement les rituels de la DAO, passer pour un flibustier ! La situation ne manquait pas d'humour. En fait, un inconnu avait pénétré dans le site Internet dont je dépend, volé mon identifiant et mon mot de passe, et s'était fait passer pour moi lors d'une tentative de craquage, c'est-à-dire, essayer d'entrer par effraction dans la mémoire d'un ordinateur. Mais remontons dans le temps. Avec l'avènement de l'informatique et des télécommunications à l'échelle de la planète, une nouvelle race de pirates a vu le jour à l'aube des années 80. Ils ne sont pas seulement une poignée d'adolescents qui de leur chambre se promènent par goût du jeu dans les ordinateurs du CEA, de la NASA, ou d'IBM, mais aussi des Cyberpunk, spécialistes de gros systèmes d'ordinateurs, chevronnés dans la fraude téléphonique et bancaire, fabricants de virus informatiques, activistes politiques via les réseaux. C'est dans cette mouvance qu'est né en Allemagne, en 1981, le Chaos Computeur Club, Ce groupe se rendit célèbre pour avoir dévoilé en 1986 les données concernant les retombées de Tchernobyl sur l'Allemagne, qui étaient cachées dans l'ordinateur du gouvernement. Mais aussi pour avoir eu trois de ses membres impliqués dans une affaire d'espionnage cyber au profit du KGB. Entre ces deux extrèmes, les pirates et les corsaires, il y a toute une gamme de hackers dont les motivations sont éclectiques : le jeu pur, l'argent, l'ego, la vengeance, l'idéologie... Mais citons encore quelques affaires. Le 15 janvier 1990, le jour de commémoration de la mort de Martin Luther King, un des systèmes téléphonique les plus sophistiqué du monde (celui de la compagnie américaine AT&T) tomba en panne durant neuf heures, bloquant plus de 20 millions d'appels. S'agissait-il d'une bombe logique, genre boucle sans fin (qui s'obtient en changeant les codes des autocommutateurs de telle façon que l'appel qui y transite ne peut plus en ressortir) ou d'une erreur de programmation ? Toujours est-il qu'une répression terrible toucha dans les mois qui suivirent le monde Cyberpunk américain. Deux opérations récentes montrent que les attaques peuvent se développer dans tous les domaines. Des adolescents danois ont piraté - en passant par un laboratoire du Massachusetts Institut of Technology - le centre informatique de la Météorologie nationale américaine. En l'espace de quelques mois, ils ont gagné peu à peu le pouvoir d'en contrôler l'intégralité, avec les conséquences qu'on imagine : sans bulletins météo, plus de trafic aérien. Ils furent attrapés à cause d'une toute petite erreur : ils avaient laissé leur dictionnaire dans l'ordinateur piraté. L'enquête montra qu'ils menaient des opérations à l'échelle internationale du japon à l'Europe en passant par le Brésil. La deuxième affaire date de quelques semaines : un joyeux luron à piraté les fichiers de la British Telecom et publié tous les numéros privés de la famille Royale Britannique. Mais voici un dernier élément permettant de situer le degré d'importance des combats virtuels. Pendant la guerre du Golfe, les missiles français Exocets utilisés durant la guerre des Malouines, et vendus au Irakiens, auraient comporté des back doors dans leur système de guidage informatisé. Ces "portes de service" auraient permis aux militaires français d'envoyer un signal radio à l'informatique embarquée sur les missiles pour rendre ces armes inoffensives contre les Alliés*. Difficile de savoir si c'est de l'info ou de l'intox. Toujours est-il que l'on retrouve cités très souvent dans les affaires de DAO des années 80, la DST, le KGB, la Stasi, le FBI, la CIA ou le Mossad. Normal, direz-vous, puisqu'en l'espace de dix ans, le délit informatique est devenu le risque industriel et économique numéro un. Centre vital, outil stratégique, coffre fort, le système informatique de toute organisation est, en même temps son point fort et son talon d'Achille. Pour s'y attaquer il suffit de posséder un micro-ordinateur et un modem, de l'astuce, de la patience, du culot, mais aussi et surtout, disposer d'une culture informatique approfondie. A savoir, connaître les langages, les procédures d'exploitation des machines (UNIX, VAX, etc.) les bugs dans les programmes et accessoirement, disposer de jokers comme les codes d'accès et les mots de passe. Car si la plupart des serveurs des institutions, des universités, des associations ou des entreprises ont un accès libre et souvent gratuit en ce qui concerne la "couche grand public", les "couches privées" (les plus intéressantes) ne sont ouvertes qu'à un certain nombre d'utilisateurs bien répertoriés, qui doivent au préalable, montrer patte blanche. L'idéal du hacker est de pirater les mots de passe de l'administrateur système, le super-utilisateur qui a accès à l'ensemble des mémoires, sans restrictions. Pour protéger les sites et les mémoires "sensibles", les Cyberflics (essentiellement en France le S.E.F.T.I., la DST, les renseignements généraux et le SCSSI), outre les enquêtes traditionnelles, utilisent une panoplie complète de "gardes du corps". D'abord des protections périphériques, avec des sentinelles électroniques, comme les détecteurs de "bretelles" (les dérivations), qui analysent en permanence des paramètres tels que la tension de la ligne, l'affaiblissement du signal, les niveaux d'impédance, permettant de déceler la présence d'un système d'écoute. Pour éviter les risques de captage du rayonnement électromagnétique, les installations, sont protégées par des cages de Faraday, jusqu'aux écrans, recouverts d'un fin grillage. Ensuite, il y a les protections rapprochées, en l'occurrence intégrées dans les systèmes d'exploitation. Les routeurs d'entrée des ordinateurs centraux ont des filtres d'accès qui déterminent les autorisations. Ensuite, dans chaque programme, voir chaque fichier sont incorporés les mots de passe des personnes autorisées à les consulter, et les mots de passe de celle qui ont le droit de les modifier. Une autre forme de protection est la surveillance systématique des appels et des opérations effectuées sur l'ordinateur. Dans certain cas, l'ordinateur appelé, coupe la communication dès la connexion et rappelle automatiquement l'appelant pour vérifier son identité. Mais l'ultime protection, reste le chiffrage des messages avec une clé incassable, comme celle qu'utilise PGP. Cependant, pour Stéphane Bortzmeyer, responsable des réseaux informatiques au Conservatoire National des Arts & Métiers "le problème de sécurité n'est pas un problème technique mais d'organisation, de social, de conscience. A l'Institut Pasteur il y a des filtres sur les routeurs d'entrée, mais c'est très contraignant pour l'utilisateur. Tout l'intérêt de l'Internet c'est son ouverture. A partir d'un certain stade la question est de savoir quand les mesures de protection sont plus ennuyeuses que les risques de piratage. Poser le piratage uniquement en terme technique c'est le transformer en problème d'affrontement viril entre l'ingénieur système ou le policier et le pirate. La première ligne de défense c'est le mot de passe. Si les utilisateurs mettent leur nom comme mot de passe, le donne à un copain, l'inscrivent sur leur terminal, ce n'est pas dur à pirater. La responsabilisation des utilisateurs est ici primordiale. Le point faible n'est pas tant la machine que l'homme. La bonne vieille méthode classique est encore la plus économique : filer, faire chanter, corrompre. La méthode purement informatique est sans doute plus valorisante intellectuellement mais pas forcément en terme d'efficacité. En sécurité on a jamais d'information fiable. Quand quelqu'un est arrêté et qu'il dit qu'il a utilisé telle technique, est-ce vrai ? Ou veut-il protéger le copain qui lui a donné les infos ? Ou, lui-a-t-on demandé, une fois arrêté, de ne rien dire en échange d'une remise de peine ? On accepte mieux que ce soit une défaillance technique qu'humaine. Ce qui est raconté par Stoll dans "L'oeuf du coucou", est l'exception. Un des axiomes de base du renseignement, c'est que 80% de l'information est ouverte. Une multitude d'informations, qui séparées ne sont pas signifiantes, le deviennent une fois reliées dans le bon ordre. Une chose bien connue des hackers qui se sont fait une science de la fouille des poubelles ou de l'ingénierie sociale (collecte d'information par téléphone en se faisant passer pour quelqu'un d'autre). Entre les deux mondes, policiers et délinquants, la communication est difficile. D'autant que parfois, sous la pression de la raison d'état le délinquant n'est pas toujours celui qu'on croit. Heureusement, des organismes comme l'Electronic Frontier Foundation travaillent et réfléchissent sur la défense du citoyen dans le Cyberespace. Demain, alors que le monde entier sera cloné en numérique, plus que jamais, dans les deux camps, la vigilance sera de mise. Hot list Bouquins : Lire l'excellente enquête de Bryan Clough & Paul Mungo : "La Délinquance Assistée par Ordinateur". Dunod/Tech Publish and be robbed, by Andy Lawrence. New Scientist, Ndeg.1965 du 18 février 1995. Un article de six pages sur les pirates digitaux. Out of control, Kevin Kelly, Ed Addison-Weseley, 1994 CyberDreams 01, Edt Car rien n'a d'importance. Jean Rémi Deléage e-mail : jeanrem@world-net.sct.fr