Selon Morgan Marquis-Boire, ingénieur chez Google, trois dissidents politiques du Bahrein auraient reçu par e-mail un cheval de Troie nommé FinSpy, édité par la compagnie allemande Gamma Group et distribué via sa filiale anglaise. Cette société est sous le feu des projecteurs depuis plus d’un an lorsque, pendant la révolution égyptienne, des activistes eurent mis à jour dans les locaux des services secrets une proposition commerciale de cette société. Cette affaire mit en lumière une pratique de plus en plus courante, le recours à des chevaux de Troie à des fins de sécurité intérieure.
L’affaire de FinSpy elle-même a fait couler suffisamment d’encre pour que nous ne revenions pas dessus, sauf à faire de la paraphrase. Ce qui m’interpelle, c’est la différence d’approches adoptées par les différents gouvernements du monde pour faire appel à ce type d’outil, qui est en passe de devenir incontournable, aussi bien à des fins de politique intérieure qu’extérieure.
FinSpy (ou « Finfisher », comme dénommé lors de la révolution égyptienne) est en effet un outil *très* onéreux, proposé pour $353,000 aux services de police d’Hosni Moubarak. Et ce pour une licence temporaire et limitée à seulement quelques infections. C’est une somme faramineuse pour un outil, peut-être de qualité (quoique, ça reste à voir…), mais qui subit une concurrence acharnée, des milliers de troyens similaires étant disponibles en libre service sur Internet. De tels prix doivent faire baver bon nombre de cybercriminels qui, il n’y a pas si longtemps, vendaient des kits de Zeus ou SpyEye pour seulement quelques dizaines de dollars (prix d’occasion — la dernière version se moyennant pour quelques milliers de dollars en fonction des options choisies). Cela nous renseigne sur un fait : le marché des chevaux de Troie gouvernementaux reste peu structuré, les acheteurs étant peu au fait du rapport qualité/prix qu’ils sont en droit d’attendre d’un tel produit.
A l’opposé, certains gouvernements plus pragmatiques (ou moins fortunés) se contentent d’outils gratuits : Poison Ivy, troyen en libre diffusion, a été utilisé dans de nombreuses attaques ciblées qui proviendraient de Chine (cf notamment l’analyse très intéressante de SecureWorks au sujet des attaques ciblées) ; DarkComet, autre RAT (« Remote Access Tool ») populaire, Blackshades, et Xtreme RAT, ont été repérés en Syrie (source, source). Ca peut sembler paradoxal mais ces logiciels se veulent, selon leurs auteurs, des outils d’administration à distance (un peu comme Back Orrifice en son temps, qui avait lancé la mode de ce type d’outil), et revendiquent leur différence avec les malwares couramment répandus et diffusés à des fins cybercriminelles ; de plus, leurs auteurs se considèrent davantage comme des chercheurs en sécurité que des criminels. Il faut cependant croire que la différence n’était que d’ordre linguistique puisque les RATs sont allègrement utilisés par des services gouvernementaux pour leur potentiel néfaste (saluons cependant l’auteur de DarkComet qui a cessé le développement de son logiciel après la révélation de l’aventure syrienne).
Il est désormais clair que le foisonnement de ce type d’outils, souvent gratuits, qu’ils soient développés à des fins de recherche ou de criminalité, nourrit un marché noir de l’armement informatique, il faut bien appeler ce phénomène en ces termes étant donné l’ampleur atteinte ces derniers mois. Pour autant, la recherche en sécurité, libre et ouverte, est une nécessité absolue, tant elle représente un contre-pouvoir indispensable, face à des discours commerciaux lénifiants des éditeurs de logiciels et matériels. Alors, quel est le juste équilibre, comment poursuivre la recherche sans nourrir l’ennemi ?
Nous ne trancherons certainement pas ce débat dans l’espace d’un article de blog, mais observons seulement ceci : en temps de guerre totale, l’économie d’un pays est entièrement subordonnée à la puissance militaire ; les fleurons industriels sont mis à contribution, de gré ou de force, pour soutenir l’effort de guerre. Or, nous sommes actuellement en train de vivre non pas « la » cyber-guerre, mais de multiples guerres informatiques, de plus ou moins grande ampleur, se substituant (ou se superposant) à des actions de guerre classiques. Et je crois qu’en conséquence, nous faisons face à une polarisation politique croissante du marché de la sécurité. Est-ce un hasard si Kaspersky, société anti-virus russe, fut la première à démanteler les serveurs de contrôle de Flame, malware extrêmement sophistiqué et soupçonné d’être l’oeuvre d’un service gouvernemental américain ? Ou si en son temps, ce fut une société biélorusse, VirusBlokAda, qui publia la découverte de StuxNet (suspecté d’avoir été conçu pour déstabiliser le programme nucléaire iranien) ?
Dans un certain pays que nous ne nommerons pas, une start-up prometteuse, que nous ne nommerons pas non plus, a été récemment mise au pas en quelques semaines par le service de renseignement extérieur, ses employés passés au crible du détecteur de mensonge et de l’analyse graphologique (sans leur donner la moindre explication), et le management placé sous la tutelle explicite d’un officier de renseignement. Aux Etats-Unis, les attaques de LulzSec avaient en leur temps permis d’établir que la société Unveillance travaillait avec le gouvernement américain à déstabiliser la Lybie de Khadafi en piratant des botnets. Et l’on voit pleuvoir depuis peu les offres d’emploi pour des jobs « top secret » dans des red teams et autres équipes de sécurité « offensive », pour écrire des exploits pour le compte de sociétés d’armement.
A l’origine de ce phénomène, l’on ne trouve pas que des motivations politiques : les modèles économiques de l’attaque, très rentable et facilement monétisable, sont désormais plus attractifs que les modèles économiques de la défense, laborieuse, ingrate, et souvent mise en défaut. Le fait que des sociétés de « pompiers » mettent un pied, voire les deux, dans le domaine de la pyromanie est particulièrement préoccupant, et réveille la question latente de notre souveraineté nationale en matière de sécurité IT — et du retard pris depuis 20 ans dans ce domaine.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));