Edition du 17/12/2004 - par Marc Olanié

Cela faisait un moment que l'on se doutait de quelque chose. Les « Cyberczars », les patrons du Department of Homeland Security US ne cessaient de démissionner les uns après les autres, sans invoquer de motif franchement convainquant. Incompatibilité d'humeur avec « Junior » ? Que nenni ! Départ pour convenance personnelle ? Allons donc. Une paye de grand commis de l'Etat avec des chèques certifiés par la « Fed » de Monsieur Alan Greenspan, çà ne se refuse pas. Il y avait autre chose, et c'est l'ex cracker repenti, Kevin Poulsen, qui nous l'apprend : le réseau informatique du DHS est aussi poreux que la ligne Maginot , aussi fragile que le Sèvre de Tante Cunégonde.

Cinq mois durant, des hackers patentés ont « balayé » le système informatique de ceux qui prônent les « bonnes pratiques » de la sécurité, informatique y comprise. Et avec des outils on ne peut plus standard : le sniffer Internet Scanner d'ISS, le casseur de mots de passe L0phtCrack du « At Stake » et le « war dialer » PhoneSweep 4.0 de Sandstorm Enterprises. Comme on le devine, les résultats se sont avérés ca-tas-tro-phiques. Bien des serveurs RAS étaient dépourvus de mécanisme d'authentification, les mots de passe utilisés -lorsqu'ils étaient utilisés- étaient d'un bois dont ont fait les flûtiaux, quand aux déploiements de correctifs de sécurité... ah ! Quels déploiements, au fait ? Bien entendu, Steve Cooper, le CIO du DHS, minimise le résultat des tests... il est payé pour rassurer, ses propres troupes y comprises et le contribuable américains par la même occasion, donc il rassure.

Qu'une grande administration soit vulnérable n'est hélas pas du tout un mystère. Compte tenu de la complexité des réseaux, de l'importance du parc, de la découverte constante de nouvelles inconsistances, il est quasiment impossible de garantir l'absolue intégrité d'une infrastructure. Et ce n'est pas dénigrer le travail de leurs RSSI que d'estimer que les réseaux de France Telecom, de notre Ministère de l'Intérieur ou des Armées est « hackable ». Ce qui, en revanche, semble plus important, c'est d'une part la réactivité face à de nouvelles menaces -une bonne règle de firewall palie souvent les absences de déploiement de rustine- et d'autre part l'observance des méthodes, celles du Clusif ou une autre. Le problème des mots de passe du DHS est la preuve évidente que les méthodes ne sont pas appliquées sur l'ensemble du département. Or, une seule faille, une seule machine vulnérable, et ce peut être le début d'une réaction en chaîne inquiétante... surtout si aucune méthode complémentaire ne vient compartimenter les accès aux données.

Seulement voilà, il faut savoir convaincre. Amit Yoran, Howard Schmidt, Richard Clarke ont probablement tous quitté leur poste totalement enroués ou aphones, à force de répéter : « mélange des lettres, chiffres et ponctuations dans ton password... non, n'utilise pas « Monica » pour ouvrir ta messagerie ! .. Le SSID de ton point d'accès, c'est plus Tsunami, c'est DHS007. Et on n'oublie pas de valider le Wep... il fait froid dehors, met ta capuche et fermes bien ton mail avec un « chahouane », ton vieux DES a dépassé la date fraîcheur, il n'isole plus rien... Ne laisses pas ta console allumée quand tu rends visite à l'agent Mulder... Georges, dit à ton fils de cesser de jouer avec le firewall, à force de fermer tous les ports, il ne pourra plus parler à qui que ce soit ». A la longue, ça lasse, faut l'admettre.