Séquence « clownesque » avec ACS:Law et HBGary

Le monde de la sécurité informatique n'a finalement rien à envier à celui de la com'. Il a son jargon, ses grosses ficelles marketing, ses mensonges, ses produits miracles qui protègent de tout et même du reste. Cependant, il arrive parfois que le mur de la réalité se déplace de manière fourbe pour se placer juste devant la course effrénée vers le succès d'une entreprise prometteuse. C'est le cas de HBGary Federal. ACS:Law en est un autre, mais pour des raisons différentes sur lesquelles nous reviendrons plus bas.

Essayons d'être brefs : il y a quelques jours,  le site de HBGary Federal se fait hacker. La société annonçait avoir "profilé" les membres du groupe Anonymous. Celui-ci, ou des hackers sympathisants, ont rendu la pareille à cette entreprise. Les mails des salariés ont été diffusés via les réseaux Peer to Peer. Evidemment, on y trouve quelques perles qui feront une publicité fantastiques à HBGary Federal.

Suivez ce lien pour voir toute la présentation du projet de HBGary Federal.

Dans les deux cas, le profilage des membres des Anonymous et le projet de destabilisation de Wikileaks, on nage dans la barbouzerie à deux francs, six sous, un peu comme un Imad Lahoud. Des gens qui aiment frayer avec le milieu du renseignement, mais qui n'en feront jamais partie. Pour s'en approcher au plus près, ils montent en épingle des sujets, promettent monts et merveilles auxdits membres officiels des services de renseignements.

Les salariés de HBGary Federal ont une intense communication épistolaire avec des gens du FBI, de la NSA, de l'Armée, de la CIA. Ils cherchent à faire fructifier leur réseau et à vendre autant de produits que possible. Dresser des profils des membres d'Anonymous ou de Wikileaks en se basant sur l'utilisation de leurs produits de "sécurité" est un levier marketing. A tel point que le profilage de personnes via leur activité sur les réseaux sociaux (la méthodologie retenue pur les membres des Anonymous) est transformée en fantastique powerpoint

La lecture des emails de HBGary Federal et des documents joints, comme ces présentations powerpoint, est affligeante. N'importe quel utilisateur averti du réseau sait comment réaliser ce type de recherches, de compilations d'informations et de croisements. Sans avoir besoin d'un logiciel vendu par HBGary Federal...

Les conseils pour se protéger des méfaits des réseaux sociaux sont du même tonneau.

Mais au delà de la supercherie maketing (dans un des mails, l'un des salariés est par exemple tout fier quand le FT le cite, lui et son entreprise, comme ayant participé au profilage d'un membre supposé des Anonymous) , quelques questions peuvent être posées.

1) les services de renseignement prennent-ils vraiment au sérieux toutes ces entreprises qui viennent leur vendre un supposé savoir faire, en sécurité informatique, en profilage d'utilisateurs d'Internet ?

2) Comment une société de sécurité informatique peut-elle concevoir de gérer ses emails en IMAP ? Si les utilisateurs avaient utilisé un compte POP avec effacement des emails une fois rapatriés, le contenu de leur correspondance ne se baladerait pas sur Internet. Pire, de confier la gestion de leur messagerie à Google ?

3) comment une société de sécurité informatique qui vient de se faire ridiculiser à ce point peut-elle se laisser aller à la gadgetophrase la plus stupide de tous les temps pour se dédouaner (et qui ne fait, finalement que l'enfoncer un peu plus dans les sables mouvants du ridicule) ? Dans une page d'accueil restée brièvement en ligne, HBGary Federal explique : "l'information disséminée n'est pas fiable parce que les auteurs de ce piratage (...) ont intentionnellement falsifié certaines données". Pour ceux qui ont téléchargé le torrent, il est évident que la supposée falsification des données est une piètre excuse. Il s'agit de milliers de mails, dans leur format brut (c'est à dire que tous les en-têtes sont consultables). Falsifier des milliers de mails de la sorte serait un travail herculéen.

4) HBGary est particulièrement faux-cul sur ce coup-là. D'une part il savaient qu'ils allaient être la cible des Anonymous ou de groupes qui voulaient les défendre (voir copie d'écran ci-dessous). D'autre part, HBGary se présente à coups d'artifices marketing à deux cents d'euro, auprès de ses interlocuteurs (armée, FBI, CIA, etc.)  comme un groupe de pros de la sécurité informatique. Vu ce qui est arrivé à leurs deux sites, je pense qu'ils peuvent aller se cacher pendant 5 générations au fond d'une grotte en Afghanistan.

Car même prévenus, ils n'ont pas su protéger leurs infrastructures. Pour des pros de la sécurité informatique, cela pose un petit problème. Espérons, mais n'y comptons pas, que leurs interlocuteurs du gouvernement américain, en tireront les conséquences.

Car avec cette diffusion des mails, des petits secrets pas très avouables se font jour. Et ils risquent d'impliquer les agences gouvernementales américaines.

Deux cyber-morts

HBGary est le deuxième cyber mort (pour l'instant, cyber-blessé) de la cyber-guérilla qui a cours en ce moment sur le Net. Le premier, date d'il y a quelques mois. Il s'agit d'un cabinet d'avocats, ACS:Law, qui s'était fait une spécialité d'envoyer des spams aux internautes sur la base d'une collecte de leur adresse IP par des majors de la vidéo ou de la musique (ça vous rappelle quelque chose ?). En échange d'une transaction financière, le cabinet promettait de ne pas porter l'affaire en justice.

Même punition, leurs mails internes s'étaient retrouvés sur les réseaux Peer to Peer. Et ils avaient, comme ceux de HBGary, révélé des petits secrets inavouables. A croire que toutes ces entreprises ont des comportements pas très éthiques. Ou alors, ils suivent leur propre éthique, qui n'est pas celle de tout le monde.

Du coup, le cabinet a fermé ses portes.

Les deux affaires ont un point commun. Ces deux entreprises ont laisser fuiter sur Internet des tonnes de données personnelles. Les adresses mails de membres des agences gouvernementales, leurs numéros de téléphone, leur adresse... ACS:Law avait constitué un fichier Excel de plus de 5000 noms, adresses, téléphones, etc de personnes ayant supposément téléchargé des vidéos (la plupart du temps des films expliquant comment les abeilles font le miel, et tout ça).

D'ici à ce qu'un sous-traitant de la chaîne HADOPI se retrouve dans la même situation, il n'y a qu'un pas...

Bref, ces deux entreprises sont donc, au regard de la législation françaises, délinquantes. PAs la peine, M. Sarkozy de monter sur vos grands chevaux habituels en nous dégainant un projet de loi répressif, les textes existent déjà :

la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 ) en son Article 34, précise que :« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »Et l'article Article 226-17 du Code Pénal expose les sanctions pour les contrevenants comme ACS:Law et HBGary:« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »Il ne reste qu'à faire appliquer une loi qui ne l'a jamais été. Et si les petits gars de HBGary se mettaient à faire leur travail, c'est à dire à sécuriser leurs sites, plutôt que de pondre des powerpoint marketing ridicules ? Cela éviterait peut-être à des personnes qui n'ont rien demandé de voir leurs informations personnelles se répandre sur le Net ?