Toulouse networks

Par Benjamin Terrasson - @BenTerrasson

La NSA, plus connue pour taire les failles pour pouvoir les exploiter à son propre profit, a dévoilé publiquement, le 14 janvier, une faille majeure affectant Windows 10, le système d’exploitation de Microsoft. La faille a été comblée le jour où elle a été dévoilée.

La faille ouvre toutes les portes pour un hacker un minimum sophistiqué

Le bug de Windows 10, vraisemblablement une erreur de code informatique dans le composant gérant les « fonctions de certificat et de messagerie cryptographique », aurait pu avoir des conséquences extrêmement graves. La fonction sert à vérifier l’authenticité d’un site visité par un utilisateur du système d’exploitation, la faille rendait cette vérification imparfaite.

Pour un pirate informatique doué, ou les groupes de hackers liés à des états, la faille aurait été du pain béni. Ils auraient pu développer une arme informatique pouvant rediriger les utilisateurs vers des sites malveillants, voler des fichiers, activer des micros, enregistrer les frappes sur les claviers, trouver tous les mots de passe, effacer des disques durs, placer des ransomware.

L’arsenal complet pour perturber ou espionner les utilisateurs du logiciel de Microsoft. Windows est utilisé par au moins 700 millions de PC dans le monde, 1,5 milliard fonctionnent sous des logiciels Microsoft en tout. Parmi eux les ordinateurs de l’armée française par exemple.

L’entreprise de Redmond et la NSA ont tenu à rassurer. Le correctif a été mis en place avant la révélation de la faille et aucune exploitation n’a été constatée. Jeff Jones, le directeur principal chez Microsoft a publié un communiqué, relayé par le Washington Post, pour rassurer, « Une mise à jour de sécurité a été publiée le 14 janvier 2020 et les clients qui ont déjà appliqué la mise à jour, ou qui ont activé les mises à jour automatiques, sont déjà protégés. Comme toujours, nous encourageons les clients à installer toutes les mises à jour de sécurité dès que possible ».

La NSA a des choses à se faire pardonner ?

Le plus surprenant dans cette histoire est le comportement de la NSA. La très puissante agence américaine n’a pas vraiment l’habitude de jouer les experts en cybersécurité. Au contraire elle a plutôt tendance à exploiter discrètement ce type de bug. La révélation de mardi semble être le symbole d’une nouvelle orientation de l’agence américaine : l’annonce est la première significative de la nouvelle direction de l’agence américaine.

« Il s’agit d’un changement d’approche de la NSA qui consiste à travailler pour partager, à se pencher en avant et à travailler ensuite pour partager réellement les données dans le cadre de l’établissement de la confiance », a déclaré Anne Neuberger, directrice de la Direction de la cybersécurité de la NSA, qui a été lancée en octobre. « Dès que nous avons appris la faille, nous l’avons transmise à Microsoft. »

Pour l’agence le but est aussi de laver l’affront Eternal Blue. Pendant 5 ans la NSA a exploité cette faille de Windows. En 2017 un groupe de hackers russes, « The Shadow Brokers » la repère en avril, c’est seulement à ce moment-là que l’agence choisit d’avertir Redmond. Un peu tard, en mai le ransomware WannaCry, peut-être venu de Corée du Nord, déferle sur les ordinateurs du monde entier. En juin c’est NotPetya, soupçonné d’être russe, qui affole de grandes entreprises mondiales.

Pour Richard Dickie George, un ancien de la NSA, interrogé par le Washington Post, « En ce moment Neuberger [chef de la direction de la cybersécurité de la NSA] essaie de reconstruire la réputation du rôle de la NSA dans la défense de la nation ». Vraisemblablement pas particulièrement fan de la révélation publique, a expliqué qu’en réalité, depuis 2000, la NSA prévient régulièrement et discrètement les entreprises, « nous avions donné 1500 bugs à Microsoft en 2 ans » explique-t-il.

Nouveau paradigme ou non, il n’y a guère d’espoir à avoir, la NSA continuera à espionner les ordinateurs du monde et exploiter discrètement les failles des Microsoft et consort.

Vous l’avez peut-être remarqué : depuis quelques heures, lorsque vous affichez dans un navigateur Internet sur ordinateur ou appareil mobile un article du Monde.fr, un petit cadenas apparaît à côté de l’adresse. Le site du Monde utilise en effet désormais la technologie dite « HTTPS » (HyperText Transfer Protocol Secure) pour sécuriser les connexions de ses visiteurs utilisant ses sites mobile et traditionnel. Le Monde.fr rejoint ainsi Ouest-France, Francetv Info, 20Minutes ou encore BFM-TV parmi les principaux sites d’actualité utilisant cette technologie.

Ce cadenas, les internautes y sont de plus en plus habitués. Initialement utilisé sur les sites des banques pour sécuriser les transactions, il s’est frayé un chemin sur un nombre croissant de sites. En avril 2013, Facebook l’a mis en place pour tous ses utilisateurs. En 2014, YouTube a commencé à lui emboîter le pas.

Aujourd’hui, la plupart des sites les plus visités utilisent ce HTTPS, et environ 70 % de toutes les pages Web sont chargées en l’utilisant, en augmentation constante depuis plusieurs années : elles étaient seulement 40 % en juillet 2015, selon des chiffres établis par Google.

Qu’est-ce que le HTTPS ?

Le HTTPS (le protocole HTTP auquel est adjoint TLS, de son nom technique, pour Transport Layer Security) permet deux choses : d’abord, être sûr que le site sur lequel on se connecte est bien celui dont l’adresse s’affiche dans la barre d’adresse de son navigateur ; ensuite, enrober les données échangées entre un navigateur et un site Web d’une couche de chiffrement, empêchant toute personne (fournisseur d’accès, espion...) de modifier ou de surveiller les données au cours de leur acheminement.

Lorsqu’une connexion HTTPS débute, le navigateur et le site échangent un certain nombre d’informations pour obtenir une clé cryptographique connue d’eux seuls. Ensuite, toutes les données échangées sont chiffrées et ne deviennent lisibles que du site et de l’internaute.

Cette adoption de plus en plus large a en partie été accélérée par les révélations d’Edward Snowden, en 2013, sur les capacités de surveillance de masse des Etats-Unis. La National Security Agency (NSA) est en effet en mesure d’aspirer une part faramineuse de l’activité des internautes sur le Web. Au sein des entreprises du numérique et malgré leur collaboration parfois étroite avec le renseignement américain, ces révélations ont suscité une prise de conscience.

Sous la pression de Google

Mais c’est surtout sous la pression de Google que se parachève l’adoption du HTTPS. Depuis 2015, le géant du Web pénalise de plus en plus les sites qui ne l’ont pas mis en place. Depuis août 2014, le géant de la recherche en ligne prend en compte le fait qu’un site est ou non en HTTPS pour le classer dans les résultats des recherches. A partir du mois de juillet, il va même indiquer dans son navigateur, Chrome, à propos des sites n’adoptant pas ce standard, que ceux-ci ne sont « pas sécurisés ».

L’adoption du HTTPS ne résout pas tous les problèmes : un site malveillant conçu pour se faire passer pour un autre (ma-banque-paiement.fr au lieu de ma-banque.fr) pourra toujours mettre en place les technologies nécessaires à l’établissement d’une connexion HTTPS. La clé de voûte du système, à savoir les certificats, sont très décriés et parfois abusés. De nombreux réseaux Wi-Fi publics (dans les transports, hôtels...) tentent de contourner ces précautions. Mais de l’avis de tous les experts, le développement du protocole HTTPS contribue au déploiement d’un Web plus sûr et plus respectueux des droits des internautes.