Que vous le croyez ou non, c'était la première fois que je regardais un bout de l’émission Cash-Investigation (#cashinvestigation). Il faut dire, Framasoft avait annoncé que pour une fois il fallait allumer la TV. Dans la même journée, sur Google+ (si si, ça existe encore), Jérôme Choain nous plaçait un lien du VinVinteur. Ce n'est pas l'habitude de commenter les émissions de TV mais pourquoi pas ?
Il est vrai que le sujet m'intéressait ? Je n'aurais pas fait l'effort d'allumer la TV si il n'y avait pas eu le Tweet de framasoft. J'ai donc regardé la partie consacrée à Windows et L'armée française (et un peu l'histoire du stade de Nice). Outre l'aspect économique, qui était le vrai sujet de ce magazine télévisuel, est l'aspect sécurité qui retient plus particulièrement mon attention.
C'est tout de même étonnant qu'un général (un vice Amiral) averti par un rapport que la moins bonne (peut-être pas la pire) des solutions est de choisir les menottes Microsoft ne s'en offusque pas plus que ça. Cela dit, ce général semble très très agacé des questions qu'on lui pose. En clair, on remet en cause ses choix.
Avant tout, je vais vous résumer une petite histoire qui va peut-être vous éclairer un tout petit peu. Il est possible que je l'eusse déjà racontée sur l'un de mes anciens blogs. Dans ma vie, j'ai croisé beaucoup de personnes et notamment un capitaine de l'armée française. Lors de ses missions, il a été amené à reprendre les appels d'offre d'un autre ancien capitaine. Un jour, il a eu la surprise de recevoir une enveloppe avec un belle somme. Il a refusé l'enveloppe (et oui les gens droit dans leurs bottes ça existe), car pour lui, le contrat avait été attribué à la régulière. Là, vous comprenez les dés sont peut-être pipés
Loin de moi l'idée de penser que ce Vice Amiral a été généreusement arrosé par Microsoft, mais le doute est toujours permis. Enfin, lui ou un de ses subordonnées un poil plus malin. Il est tout de même étrange de prendre une solution peu recommandée. Cela dit, à aucun moment, on nous parle de ce qui était recommandé. On peut donc conclure au choix par défaut.
Petit rappel tout de même. Microsoft s'est aperçu que l'armée française avait une multitude de contrats avec eux. Il paraissait logique et pertinent de tout rationaliser en un seul contrat "Open Bar". En clair, un seul contrat, donc moins de paperasses, et l'armée française peut prendre tout ce qu'elle veut chez Microsoft en location !!!. Contrat qui sera réévalué plus tard, sur la base de ce qu'utilise réellement l'armée. Voilà, le piège à couillon est tendu. Vous l'avez compris, si on ne renouvelle pas le contrat, l'armée est à poil !! Il sera bien difficile de se débarrasser des habitudes prisent avec les logiciels Microsoft. On devient donc dépendant de Microsoft drogue douce!!!
A un moment, le vice Amiral, ne voit pas pourquoi les Américains les espionneraient. Je peux lui donner quelques idées, remporter un marché de l'armement ? Vendre des F16 ? Savoir où en sont les français niveau armement technologique ? La mémoire est tout de même courte. Ce n'est pas la NSA qui écoutait Angela Mercel ?
Dans une deuxième partie, on nous présente l'école d'ingénieur informatique de Laval (esiea), comme l'école des corsaires français en informatique. Le professeur (ancien colonel) et son élève nous font une présentation de piratage simple et efficace d'un poste Windows configuré comme en 2013 (date du contrat entre l'armée et Microsoft). La technique utilisée est diablement efficace. Envoi d'un mail à la personne ciblé via usurpation d'identité et un petit lien vers un serveur relais. Une fois le lien cliqué par la cible, la prise de contrôle est totale et indolore et quasi invisible. On peut espérer, vu que l'armée française est cul et chemise avec Microsoft, elle est passé à Windows 10 qui est probablement plus sécurisé.
Cela dit, le reportage, ne nous dit pas ce que l'armée fait pour se prémunir de ce genre d'attaques. J'eusse espéré qu'elle possède des alternatives, des protections dignes de ce nom, des firewalls efficaces etc ... On crie un peu au loup pour peut-être pas grand chose, si ce n'est les 120 millions d'euro sur 4 ans filés à Microsoft. Microsoft qui fait de l'évasion fiscale. Il est tout de même à noter que l'armée américaine n'a pas fait évolué certain de ses systèmes hautement stratégique.
J'ai dit que l'armée était cul et chemise avec Microsoft, en fait pas toute. La gendarmerie est sous Ubuntu, une implémentation de Linux. Est-elle mieux protégée ? Laissez-moi avoir un doute. Ubuntu est aussi une société. Elle peut très bien être soumise à un régime de pressions d'un état pour placer des backdoor (porte dérobé), tout comme Microsoft doit l'être (supposition) pas l'être par les USA via la fameuse NSA. Cela dit, si elle veut changer de système, elle le peut !! Elle peut même créer sa propre distribution !!!
Si on veut une informatique sécurisée, on part d'un noyau que l'on a bien analysé. Je rappelle que Linux est entouré d'une communauté, un membre peut très bien placer un backdoor dans un driver graphique par exemple (vous savez le pilote pour que vous puissiez avoir quelques choses sur votre écran). Dans les dernières notes de Linux, on peut lire intégration du nouveau driver Intel et ATI (Intel est une entreprise américaine ).
Les failles viennent souvent des logiciels tiers. Exemple, Firefox ne fait plus partie de la session de hack (le Pwn2Own 2016) mondial car jugé trop facile à attaquer. Peut-être le fait d'avoir enlevé la messagerie Ello n'y est pas étrangère.
En conclusion rapide et de mon point de vue, la meilleure solution aurait été de partir d'une base saine et tout monter. Eviter l'utilisation d'un système massivement utilisé , connu et fermé. Cela demande de nombreuses compétences que ne possèdent peut-être pas l'armée. Etre dépendant d'un autre pays pour des données stratégiques est pour moi la pire des solutions. Pour ce qui est de l'émission Cash investigation, je pense que ce sujet de sécurité nationale mériterait un numéro complet.
Bref, place aux experts.
Comments powered by CComment