Heartbleed

Ça ne me tentait pas d’en parler, mais je vais le faire quand même: Heartbleed, une vulnérabilité plutôt déconcertante (pour ne pas dire catastrophique) qui affecte certaines versions d’OpenSSL. Ce logiciel est utilisé par un grand nombre de sites pour chiffrer les communications qu’ils effectuent avec leurs visiteurs, dans un contexte de commerce électronique par exemple. Donc, un outil plutôt important pour le fonctionnement d’Internet tel que nous le connaissons.

L’exploitation de Hearthbleed permet de lire aléatoirement des blocs de données présents en mémoire sur les ordinateurs utilisant une version d’OpenSSL comportant la vulnérabilité. En pratique, cela veut dire qu’un attaquant pourrait connaître, au bout d’un certain temps, la totalité des informations présentes en mémoire sur le serveur concerné, incluant des données de configuration, mots de passe des utilisateurs, etc. D’un point de vue de sécurité, c’est très grave.

Nous savons déjà que plusieurs sites internet sont affectés. Près de chez nous, il semble que l’Agence du Revenu du Canada soit au courant du problème.

Heureusement, on connaît déjà la solution: une nouvelle version d’OpenSSL, corrigeant le bogue menant à cette vulnérabilité, est déjà disponible. Mais la mise à jour de l’ensemble des serveurs touchés pourrait être longue. Comme un attaquant éventuel pourrait déjà avoir exploité cette vulnérabilité avant sa correction, les administrateurs de systèmes devront également changer leurs mots de passe et renouveler leurs clés privées, certificats et autres éléments nécessaires à la sécurité de leurs communications, ce qui représente un effort plus important que la simple mise à jour d’un logiciel.

Comme je le disais, je ne voulais pas en parler… pourquoi? Parce que ce n’est pas mon intention d’adresser sur ce blogue chaque nouvelle vulnérabilité logicielle découverte – et il y en a tous les jours. Ça finirait par devenir ennuyant pour la majorité des lecteurs cibles, et n’intéresserait qu’une poignée de gens plus techniques qui fréquentent déjà des sites plus spécialisés sur le sujet. J’ai décidé de faire une exception aujourd’hui pour Heartbleed à cause de l’importance de la découverte.

Pour le commun des mortels, le mot d’ordre reste le même: mettez à jour vos logiciels et appliquez-y les correctifs de sécurité disponibles. C’est important.

Advertisements
Marqué

À propos de Windows XP

Il n’y aura pas de « bogue » du 8 avril, date à laquelle Microsoft cesse d’offrir des mises à jour sur le système d’exploitation Windows XP, qui équipe encore beaucoup de PC à travers le monde. Si votre ordinateur utilise Windows XP, il continuera à fonctionner normalement demain.

Ces ordinateurs ne deviendront pas « plus vulnérable »; on devrait plutôt dire qu’ils ne bénéficieront plus d’une mesure de sécurité, soit la mise à jour du système d’exploitation suite à la découverte de nouvelles vulnérabilités logicielles.

À partir de demain, les chercheurs en vulnérabilités logicielles voudront peut-être concentrer leurs travaux sur Windows XP en sachant que toute nouvelle vulnérabilité découverte ne sera pas corrigée par Microsoft, et donc, sera exploitable pour une période plus longue.

La bonne nouvelle, c’est que Windows XP est un système d’exploitation qui a déjà un certain âge, et donc, que beaucoup de ses vulnérabilités ont déjà été découvertes et corrigées au fil des années. La mauvaise nouvelle, c’est qu’il en reste encore fort probablement.

Si vous êtes concernés, que devez-vous faire? Si vous utilisez votre ordinateur pour accéder à Internet, alors vous devriez fortement songer à migrer vers Windows 7 ou 8, ou même MacOS/Linux. S’il s’agit d’un système isolé (je pense entre autres à certains commerces, comme un restaurant, où l’ordinateur en question n’est pas impliqué dans les transactions de cartes de crédit), le risque à court terme est moins important.

Marqué

Par la porte d’en arrière

Il était une fois un nom bien connu dans le milieu de la sécurité, appelée RSA.

RSA, c’est en premier lieu un algorithme de chiffrement à clé publique, développé pour régler le problème classique de l’échange des clés, et qui a révolutionné la science du chiffrement.

RSA, c’est aussi une entreprise dont la réputation n’est pas à refaire, qui commercialise des implémentations de cet algorithme, et bien plus encore. Par exemple, cet elle derrière les SecurID, ces tokens d’authentification, petits « portes-clés » qui génèrent périodiquement des nombres aléatoires permettant de contrôler l’accès à certains systèmes plus critiques dans certaines entreprises, d’une façon bien plus sécuritaire qu’un simple mot de passe.

RSA, donc, jouissait d’un excellent pedigree comme peu d’autres entreprises dans ce marché plutôt spécialisé.

Vous remarquez que je parle à l’imparfait. C’est que voyez-vous, RSA a également été impliqué dans un paquet de petits scandales au cours des dernières années qui ont sérieusement terni sa réputation.

L’année dernière, dans la foulée de l’affaire Snowden, RSA s’est fait accuser d’être à la solde des autorités fédérales américaines. Ces dernières leur auraient versé plusieurs millions de dollars pour des raisons qui demeurent toujours imprécises jusqu’à maintenant, mais qui seraient en relation avec la volonté de la NSA d’introduire des « portes dérobées » (backdoors) dans certains produits de sécurité commerciaux, leur permettant de les outrepasser si nécessaire. La principale pièce à conviction: Dual_EC_DRBG, un algorithme de génération de nombres aléatoires, une pièce importante pour beaucoup de protocoles de chiffrement, et qui est soupçonnée depuis plusieurs années déjà d’avoir été spécialement conçu pour posséder une telle « porte dérobée », connue hypothétiquement par son concepteur.

Cette semaine, nouvelle tuile: un second protocole, « Extended Random », lui aussi publié par RSA dans certains de ses produits, exhibe des caractéristiques particulières et pourrait servir à accélérer l’exploitation de Dual_EC_DRBG. Un article de Reuters décrit bien l’historique de ce scandale.

Il va de soit que de telles révélations sont extrêmement dommageables pour une compagnie de la taille et de la réputation de RSA. Leur conférence annuelle, normalement très populaire, s’est vu boycottée plus tôt cet automne en guise de protestation.

De toutes les activités de la NSA révélées par l’affaire Snowden, l’ajout volontaire sur des produits commerciaux de vulnérabilités pouvant être exploitées comme « porte dérobée  » est peut-être celle qui a fait le plus sourciller les professionnels en sécurité de l’information. De telles vulnérabilités pourraient être découvertes et exploitées par une tierce partie. « Saboter » ainsi des technologies essentielles dans la sécurisation de l’infrastructure de communication semble contre-productif, même pour une organisation ayant le point de vue et la mission des agences de renseignements.

Il y a une troisième anecdote qui mérite d’être contée à propos de RSA. Cette dernière avait fait les manchettes il y a quelques années lors qu’elle avait avoué que des plans techniques de certaines de ses technologies de contrôle d’accès avaient été volés, peut-être par un gouvernement étranger. Quelques mois plus tard, ce sont des gros joueurs de l’industrie américaine qui avaient sonné l’alarme, en disant s’être fait infiltrer précisément via l’exploitation des produits de RSA. La nature exacte des informations volées chez RSA n’avait jamais été bien expliquée, mais se pourrait-il qu’il y ait un lien entre ce vol et la présence de portes dérobées dans leurs produits? Malheureusement pour RSA, j’ai de la difficulté à leur donner le bénéfice du doute, et j’aurais tendance à recommander à mes clients d’éviter leurs produits, mêmes si c’est parfois difficile à cause de leur grande popularité.

Marqué ,

Recours collectif contre le CSTC

Ça vient tout juste d’apparaître sur La Presse: un recours collectif démarré par l’Association des libertés civiles de la Colombie-Britanique contre les activités de surveillances domestiques du CSTC (Centre de la sécurité des communications du Canada, ou Communication Security Establishment ou CSE en anglais), qui est plus ou moins l’équivalent de la NSA au Canada.

À ce stade-ci, je n’ai pas grand-chose à ajouter – c’est un recours purement légal, et je ne connais pas suffisamment ni les lois en vigueur au Canada, ni les activités précises du CSTC. Cela dit, c’est définitivement un dossier qui sera intéressant de suivre dans les prochains mois.

Marqué , ,

#Snowdenisright

 

Je suis tombé sur ce vidéo produit par un groupe visiblement québécois, et diffusé à travers le blogue de Stéphane Berthomet sur le site internet du Journal de Montréal.

Je suis certain que le coeur des réalisateurs est à la bonne place. La scène est amusante et le tout adroitement édité. Malheureusement, je ne trouve pas que la métaphore est si pertinente, ni qu’elle explique bien les enjeux de vie privée reliés aux activités de surveillance domestiques pratiquées par la NSA ou, plus prêts de nous, par le Communication Security Establishment canadien. Les remarques de Stéphane Berthomet n’aident en rien: « pourquoi acceptons-nous cela de la part de certains gouvernements qui fouillent sans vergogne dans nos fichiers, surveillent nos mouvements ou collectent nos données ? » demande-t-il.

Il aurait été intéressant de demander aux participants involontaires de ce petit montage visuel ce qu’ils pensent des dizaines de caméras qui captent leurs allées et venues, à chaque fois qu’ils se retrouvent dans des endroits publics, et ce, même s’ils n’ont rien à se reprocher. Elles sont partout, ces caméras. Aujourd’hui, on les accepte et on les tolère, mais ce ne fut pas toujours le cas: non seulement leur présence est récente, mais leur installation a fait l’objet de tollés dans le passé, suivant des arguments semblables à ceux utilisés aujourd’hui. Et le risque était certainement réel: comment, par exemple, être certain que le garde de sécurité, responsable de gérer et d’entretenir toutes ces caméras, ne se décidera pas à utiliser cette information pour ses propres fins non légitimes, parce qu’il est trop curieux sur les déplacements d’une jolie demoiselle qu’il a à l’oeil, ou qu’il désire faire chanter son patron? Ce ne sont pas des scénarios si invraisemblables que ça.

Pourtant nous voici, des décennies plus tard, et la présence massive de caméras n’a pas entraîné les effets pervers prévus. Elles sont massivement utilisées post-facto, réquisitionnées par exemple par les forces policières pour investiguer un crime, et je crois que peu de gens prétendraient que cette utilisation est ultimement inacceptable pour la société. Je suis également certain que des abus – comme ceux mentionnés en exemple dans le paragraphe précédent – ont également eu lieu et auront lieu dans le futur.

C’est le propre des outils que d’être exploités, parfois avec de mauvaises intentions, mais il y a une différence entre reconnaître ce truisme – et prendre les mesures nécessaires pour mitiger ces risques – et crier au scandale en se disant espionné même-si-on-a-rien-fait-de-mal. 99% des gens enregistrés sur les caméras de surveillance sont techniquement « espionnés » et n’ont pourtant rien à se reprocher. Leurs images finiront dans des archives poussiéreuses, attendant d’avoir une quelconque utilité (ce qui n’arrive pratiquement jamais), et les bandes magnétiques finiront tout simplement par être recyclées.

Revenons à la surveillance domestique pratiquée par les agences de renseignement. À bien des égards, elle est très semblable au modèle mentionné plus haut des caméras de surveillance. Une grande quantité d’information (par exemple, les métas-données des conversations téléphoniques) est enregistrée. La majorité
de cette information n’est pas traitée « en ligne », cet à dire au moment même où l’appel téléphonique est logé – plutôt, elle est conservée pendant un certain temps, dans le but de la consulter après les faits.

Tout comme les caméras de surveillance, la vaste majorité des données recueillies concerne des gens n’ayant absolument rien à se reprocher. Et tout comme les caméras, cette information sera très probablement ignorée, oubliée, et ultimement effacée.

Est-ce que ça veut dire qu’on doit faire aveuglément confiance aux agences de renseignements? Est-ce que ça veut dire que des changements dans leurs fonctionnements et leurs rôles ne peuvent pas être proposés, afin de les adapter aux attentes modernes en matière de respect de la vie privée, et aux changements drastiques que les technologies de l’information ont amenés au cours des dernières années? Bien sûr que non. Mais cela ne veut pas dire non plus qu’il est acceptable de tomber dans la démagogie. La NSA ne suit pas à la laisse des citoyens aléatoires et sans reproche, comme le laisse entendre le vidéo. Elle ne fouille pas « sans vergogne » dans « nos fichiers », ni surveille « nos mouvements ». Ce sont des abus de langage, tout comme il serait abus de langage d’utiliser ces termes pour la surveillance par caméra de sécurité.

Bien sûr, la NSA (et bien d’autres personnes et groupes) est capable de faire ça, et le fait pour certaines cibles étrangères. Mais c’est évidemment un autre sujet.

Marqué

Nos cousins français

Trouvé sur le site du Journal de Montréal, une nouvelle faite sur mesure pour attirer mon attention:

L’article est plutôt avare de détails. Dommage. Par contre, celui-ci publié par Le Monde et qu’on m’a fait parvenir est beaucoup plus complet.

On y apprend que la source de cette nouvelle n’est nulle autre que notre ami Snowden, ce qui en fait la énième divulgation de ce dernier n’ayant strictement aucun rapport avec le programme de surveillance domestique américain. Mais bon, on commence à s’y faire, et cette fois, c’est le Canada qui peut jouer à la vierge offensée, ce qui fait changement du casting qu’on nous avait habitué.

Cette histoire est une nouvelle démonstration de l’utilisation de techniques de cybersécurité chez les gouvernements d’autres pays que les États-Unis. Pas que ça soit particulièrement surprenant, mais pour ceux qui en doutaient encore…

Marqué ,

C’est un départ

Bon, voilà. C’est fait. J’ai ouvert le compte, compris l’interface. Du moins, je crois… Ceci en sera le premier billet, parce qu’il faut bien commencer quelque part. Ça fait quelque temps déjà que je songe à créer un blogue sur la sécurité de l’information et sur la géopolitique, en français bien entendu, et il semblerait que c’est maintenant que ça se passe.

Pourquoi donc ces sujets?

1)      Parce que la sécurité de l’information est mon métier, depuis près de 13 ans déjà; c’est un métier passionnant, et que j’aime partager.

2)      Parce que je m’intéresse énormément à la géopolitique, et donc par ricochet, aux événements internationaux qui impliquent la sécurité de l’information – un phénomène en pleine croissance.

3)      Pour recenser – et partager! – les bons articles que je lis sur le sujet. C’est beaucoup plus simple de le faire à un seul endroit, au lieu de butiner à droite et à gauche sur des forums de discussions anglophones et francophones, comme je fais présentement.

4)      Parce qu’à ma connaissance, des blogues portant sur ces sujets au Québec, il n’y en a pas vraiment. C’est donc pour moi l’occasion de présenter des enjeux et d’entamer des discussions qui reçoivent souvent peu de place dans les médias québécois, même s’ils nous concernent tout autant.

Merci encore et bonne lecture.

Ian Lamothe Brassard