Catégories
AF2000

D’où viennent les failles de sécurité informatique ?

Le piratage de TV5 Monde met sur le devant de la scène le potentiel de nuisance des failles de sécurité informatique. En informatique, une faille est un “trou” dans la sécurité, permettant à un attaquant de contourner une protection. Elles peuvent permettre, entre autres, la prise de contrôle d’une machine ou l’accès à des données confidentielles. Avec plus de 5000 failles recensées par an – et un nombre incalculable non répertoriées–, la sécurité informatique est loin d’être une science exacte. Et si la faille n’était pas une erreur regrettable, mais bien une réalité inévitable en informatique ?

Bug-Computer

Il faut avant tout rappeler qu’une faille est souvent accidentelle : les concepteurs comme les développeurs sont à l’origine d’inévitables erreurs humaines, générant des vulnérabilités parfois critiques : l’écrasante majorité des failles sont de simples et innocentes erreurs. C’est le cas de TV5, bien que la chaîne ait été irresponsable : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) les avait prévenus deux semaines auparavent de la découverte de vulnérabilités ! Notons qu’un administrateur nonchalant est la pire des plaies en matière de sécurité informatique.

Mais à coté de celles-ci, une minorité de failles sont introduites sciemment par les éditeurs, sans prévenir l’utilisateur. On les appelle “portes dérobées”, backdoors. Si quelques portes dérobées peuvent partir d’une intention louable (support technique transparent, mises à jour…), toute porte dérobée constitue une faute pour l’éditeur. Découvertes par un tiers malveillant, elles peuvent occasionner des dégâts importants. La très récente affaire Gemalto, entreprise française autoproclamée « leader mondial de la sécurité numérique » ( !), dont la NSA américaine a volé les clés de chiffrement des cartes SIM (gérant toutes les données des téléphones mobiles), est un cas d’école : Gemalto n’aurait pas dû conserver les clés.

Les deux origines majeures des portes dérobées dites “malveillantes” (ce terme est sujet à controverses) sont, d’une part, la pression des services de renseignement sur les éditeurs et, d’autre part, les accords officieux entre entreprises, portant sur l’accès aux données personnelles des clients.

Les révélations d’Edward Snowden ont jeté une lumière crue sur une partie des vastes programmes de la NSA américaine, gigantesques réseaux de collecteurs, puisant leurs informations dans le monde entier, partout où des logiciels ou du matériel américain sont utilisés. Snowden a dévoilé le dispositif des États-Unis, mais il est certain que toutes les puissances ont des méthodes similaires, à plus ou moins grande échelle. Il s’agit d’un impératif de sécurité nationale et de renseignement, tant intérieur qu’extérieur.

La légitimité du renseignement national est complexe, mais l’illégitimité des accords, souvent illégaux, entre sociétés privées ne fait pas débat. Dans le monde de la santé et de l’assurance, les données personnelles sont de l’or. De nombreux acteurs forment un vaste marché gris des données personnelles. Des portes dérobées, donnant accès directement aux données des clients, sous l’apparence de banales failles, sont un outil de choix pour alimenter ces marchés. Elles permettent de cacher sous le motif du “piratage”, un trafic de données personnelles.

La sécurité absolue n’existera jamais et la Haute Technologie (High Tech) amplifie les erreurs par sa complexité. En matière de sécurisation des échanges et des données, des solutions sont peut-être à chercher du côté de la « Basse Technologie » (Low Tech), voie explorée actuellement par les services russes, entre autres : ceux-ci utilisent depuis 2013 des machines à écrire pour la rédaction de tout document classifié. Sans doute une piste à explorer chez nous, afin d’éviter bien des fuites.

L’informatique n’est qu’un outil, pas un remède, car aucune technologie bonne par principe ou morale par essence.

Catégories
AF2000

Faille ou porte dérobée : une confusion bien commode

Dans le même temps que Snowden ou l’affaire Gemalto nous révélaient l’emprise de la NSA sur le monde numérique, de nouvelles failles de grande ampleur (Heartbleed, FREAK, POODLE) venaient remettre en cause des briques fondamentales de la cybersécurité.

Porte dérobéeUne faille est, par définition, un vice involontaire de conception. Or dans de nombreuses affaires récentes, il est avéré que la « faille » a été introduite volontairement dans le logiciel incriminé. Cette pratique, porte le nom de « porte dérobée », « backdoor » en anglais. Elle permet à un tiers de contourner les protections d’un logiciel, avec la complicité de l’éditeur.

Une faille peut égratigner une relation de confiance, surtout lorsqu’elle tarde à être corrigée. Elle reste néanmoins une erreur humaine tout à fait normale. Une porte dérobée est bien pire. Elle trahit la malhonnêteté manifeste de l’éditeur, ce qui annihile toute possibilité de confiance, sève de la sécurité. Rien ne prouve qu’une porte dérobée, supprimée avec mille excuses, n’aie pas simplement été cachée ailleurs. D’où l’intérêt pour une entreprise de déclarer comme « faille », toute porte dérobée pas trop flagrante. Une maniére de travestir la malhonnêteté en erreur humaine, ce qui est bien commode.

Les entreprises françaises sont bien peu au fait des dangers des portes dérobées. Elles accordent bien souvent une confiance absolue à des logiciels propriétaires (à « recette » secrète), appartenant à des éditeurs étrangers. Ce qui peut représenter de potentielles fuites de données sensibles vers des pays concurrents.

Catégories
AF2000

Critique de The Code

The Code

Série australienne actuellement en diffusion, The Code base son intrigue sur le thème très porteur du hacking et de la cybercriminalité. Un journaliste et son frère, hacker repenti, enquêtent sur la mort d’une adolescente, liée à un mystérieux camion au chargement top secret. La série tombe, hélas, dans un travers habituel du cinéma : le hacker est présenté comme une sorte de demi-dieu de l’informatique capable de hacker un site top secret en cinq minutes. Rien à voir avec la réalité du hacker, pouvant passer des nuits à la recherche de vulnérabilités le plus souvent inexploitables. La série pèche également en plongeant trop brutalement le spectateur dans l’intrigue, sans aucune introduction.  Dommage car une fois les acteurs en tête, la série est plutôt plaisante à regarder et donne envie de connaître la suite. L’environnement australien dépayse, la réalisation est soignée et les acteurs sont bons.

Catégories
AF2000

Cybersécurité : promouvoir la création française

logo-du-fic-2015Le septième Forum international de la cybersécurité (FIC) vient de se tenir à Lille. Il est à la fois le relais et la sonde de la stratégie française en matière de sécurité des systèmes d’information. Cette manifestation étantétroitement liée à l’État, le discours d’ouverture a porté, sans surprise, sur la lutte contre le “cyberdjihadisme” et le renforcement de la surveillance. Ce discours anxiogène a, hélas, masqué le véritable intérêt du FIC : les dizaines de PME françaises et européennes venues nouer des liens entre elles et présenter leurs innovations. Si beaucoup n’ont fait qu’industrialiser des technologies méconnues venues du monde du logiciel libre, quelques acteurs ont su proposer aux entreprises des services de pointe à forte valeur ajoutée. Trois innovations ont retenu notre attention. La première est signée AriadNext, startup rennaise créatrice d’un service de validation en temps réel de documents officiels (passeports, RIB…). Leur pro-
duit, développé en partenariat avec l’administration, permet une sécurisation des souscriptions et une réduction du nombre de fraudes.

Capgemini tend un piège aux pirates

La deuxième est le système d’authentification de la société GenMSecure. Celle-ci a bâti une application ergonomique, remplaçant à la fois le traditionnel identifiant-mot de passe et les codes de validation par SMS pour toutes les transactions sensibles. Lorsqu’une opération requiert l’autorisation de l’utilisateur, celui-ci la confirme avec son téléphone, de manière sécurisée, par le biais d’un code unique. Citons enfin Capgemini, pour son positionnement sur le marché embryonnaire mais prometteur des honeypots. Un honeypot est un piège destiné aux cyberattaquants : s’il est invisible pour l’utilisateur normal, il attire dans un piège celui qui cherche à déjouer les mesures de sécurité. Quand un attaquant tente de s’introduire dans ce piège, il est automatiquement banni. Ce septième FIC s’est donc montré très positif. Plus d’une centaine d’exposants, des milliers de visiteurs et un secteur inventif.

Si le marché européen n’est rien par rapport au géant américain, le développement d’une expertise “locale” est capital dans une optique d’indépendance stratégique. Laisser les Américains ou toute autre puissance avoir pour clients des entreprises françaises revient à leur offrir l’accès à nos données… Le développement et la préservation d’une expertise française est en ce sens une priorité stratégique majeure.

Catégories
AF2000

Test d’Assassin’s Creed Unity

Moins manichéen que ses prédécesseurs, techniquement réussi mais historiquement passable, le dernier jeu de la série Assassin’s Creed se révèle bien plus intéressant qu’attendu.

Les augures étaient bonnes : ce cher Mélenchon ressorti de son placard pour critiquer un jeu; il ne pouvait pas être si mauvais que ça.Je ne m’attarderais pas sur les bugs, ne les ayant pas expérimentés sur ma machine, ni sur l’optimisation, très variable selon le hardware de chacun.

ACR_announce_unity_163122

Une oeuvre vidéoludique

La première chose qui frappe en se plongeant dans ce jeu est qu’il est beau. Paris est modélisé avec une myriade de détails, à l’échelle 1:1 s’il-vous plaît pour une zone délimitée par les Invalides, le Panthéon, la Bastille et l’ancienne Madeleine. Une ville vivante, même si les dialogues sont parfois un peu illusoires (les gens pensaient à manger, pas à crier « mort au tyran » à chaque coin de rue).Musicalement c’est cohérent et beau, la musique colle aux situations, l’ambiance électrique de la Révolution est parfaitement rendue dans la bande son.

La ville fourmille de quêtes, souterrains, personnages à rencontrer, bâtiments à explorer (premier jeu de cette série avec autant d’intérieurs accessibles).

Les modélisateurs comme les artistes ont fait un excellent travail pour ce jeu.

Un gameplay bien amélioré et plaisant

Assassin’s Creed souffrait de pas mal de défauts dans les opus précédents : la linéarité et la répétitivité du jeu, la course libre peu contrôlable, le manque d’infiltration pour un jeu d’assassins. Visiblement Ubisoft a entendu les plaintes des joueurs et en a pris compte. Le jeu fourmille de quêtes annexes variées et ancrées dans les anecdotes historiques parisiennes. La course libre a été grandement améliorée, si il reste quelques imperfections, le côté simiesque des déplacements a disparu. Le héros ne monte plus n’importe où de manière illogique.

Enfin l’infiltration occupe la place qu’elle aurait toujours du occuper dans un jeu de ce genre. Même si un mode difficile manque avec des ennemis plus réceptifs et réactifs, il n’est désormais plus possible de foncer dans le tas face a des ennemis de même niveau, sous peine de mort.

Le mode coopératif est très intéressant pour peu de jouer avec des amis. La sélection aléatoire tombe souvent sur des joueurs mauvais ou indisciplinés.Le coté RPG Coopératif est intéressant avec de l’équipement permettant de choisir un style de jeu.

Historiquement incorrect

Sur le plan historique, le jeu présente un bilan mitigé, voire désastreux par moments.

Une mission fait par exemple fait la déplorable erreur de dire que les hébertistes furent des « fanatiques royalistes ». Le peuple tient des discours incohérents pour l’époque, se préoccupant plus de grandes idées que du manque de pain. Le jeu laisse penser que l’Ancien Régime était dépourvu de justice (le héros est embastillé pour un meurtre qu’il n’a pas commis, sans aucune forme de procès). La narration n’hésite pas à invoquer le mot « peuple » à toutes les sauces, oubliant les inégalités criantes entre la bourgeoisie (absente du jeu) et le bas-peuple.

Le jeu présente des points positifs néanmoins, la noblesse et le clergé ne sont pas caricaturés outre mesure. Beaucoup de figures de la révolution ont l’image qu’ils méritent, Mirabeau, Robespierre, Bonaparte ou encore le Marquis de Sade, rendu à merveille !Le roi Louis XVI est représenté assez justement. Il est mal préparé au trône, dans une époque impitoyable et mouvementée et cela ressort bien.

La barbarie de la Révolution est omniprésente, que ce soit avec les radicaux violents ou par le biais de scènes comme les massacres de Septembre.

Idéologiquement mitigé

Il ne faut pas se leurrer, ce jeu reste un Assassin’s Creed, avec le message anarchiste que la série propage depuis le début. Le jeu se conclut par un message d’un athéisme déplorable, les missions moralement douteuses sont légion (voler des calices consacrés pour s’infiltrer dans le culte de Baphomet …). Le jeu est néanmoins assez délicat pour ne pas tirer sur l’Église, reconnaissant même qu’elle partageait la misère de ses fidèles.La fin du jeu prend même la forme d’un dialogue entre le Grand Maître des Templier parlant de « progrès inéluctable » et les assassins, prônant le libre arbitre face à un destin imposé d’avance. Serait-ce une représentation du la querelle du libre-arbitre et de la grâce ?La plus grande surprise de ce jeu est qu’il n’est pas frontalement anti-monarchique, même si il fait passer la monarchie comme dépassée par la « Liberté » selon les moments. Louis XVI est bien décrit comme victime d’un procès truqué, ses derniers mots où il espère que « son sang servira à cimenter le bonheur des français » ne sont pas oubliés. Les déclarations des Templiers sont même complètement inespérées : « Lorsque la mitre et la couronne tombent c’est l’or qui détermine qui a le pouvoir ».Les Templiers en eux-mêmes montrent les rouages qui ont amené à la révolution. Durant tout le jeu ils manipulent le peuple, jouent sur les cours du grain, paient des orateurs, incitent au massacre, assassinent les modérés … La Terreur est leur œuvre.

Conclusion

Techniquement c’est une réussite. On peut regretter le manque d’experts historiques sérieux (ils ont travaillé avec seulement 2 référents, dont un niant le génocide vendéen). Idéologiquement on peut trouver des points très positifs, même si Assassin’s Creed nous réchauffe la même soupe libertaire et anarchiste. Impossible de se positionner dans ce conflit autrement que pour la Liberté abstraite. Ce jeu est moins manichéen que ses prédécesseurs mais reste encore assez moyen sur ce plan.

Néanmoins, d’un point de vue personnel, je recommande ce jeu, très plaisant à jouer et moins mauvais que ses prédécesseurs sur bien des points.

Si je devais le noter, ce jeu aurait un 16/20.