

La vérité sur la démission des CyberTzar
Edition du 17/12/2004 - par
Marc Olanié
Cela faisait un moment que l'on se doutait de quelque chose. Les « Cyberczars », les patrons du Department of Homeland Security US ne cessaient de démissionner les uns après les autres, sans invoquer de motif franchement convainquant. Incompatibilité d'humeur avec « Junior » ? Que nenni ! Départ pour convenance personnelle ? Allons donc. Une paye de grand commis de l'Etat avec des chèques certifiés par la « Fed » de Monsieur Alan Greenspan, çà ne se refuse pas. Il y avait autre chose, et c'est l'ex cracker repenti, Kevin Poulsen, qui nous l'apprend : le réseau informatique du DHS est aussi poreux que la ligne Maginot , aussi fragile que le Sèvre de Tante Cunégonde.
Cinq mois durant, des hackers patentés ont « balayé » le système informatique de ceux qui prônent les « bonnes pratiques » de la sécurité, informatique y comprise. Et avec des outils on ne peut plus standard : le sniffer Internet Scanner d'ISS, le casseur de mots de passe L0phtCrack du « At Stake » et le « war dialer » PhoneSweep 4.0 de Sandstorm Enterprises. Comme on le devine, les résultats se sont avérés ca-tas-tro-phiques. Bien des serveurs RAS étaient dépourvus de mécanisme d'authentification, les mots de passe utilisés -lorsqu'ils étaient utilisés- étaient d'un bois dont ont fait les flûtiaux, quand aux déploiements de correctifs de sécurité... ah ! Quels déploiements, au fait ? Bien entendu, Steve Cooper, le CIO du DHS, minimise le résultat des tests... il est payé pour rassurer, ses propres troupes y comprises et le contribuable américains par la même occasion, donc il rassure.
Qu'une grande administration soit vulnérable n'est hélas pas du tout un mystère. Compte tenu de la complexité des réseaux, de l'importance du parc, de la découverte constante de nouvelles inconsistances, il est quasiment impossible de garantir l'absolue intégrité d'une infrastructure. Et ce n'est pas dénigrer le travail de leurs RSSI que d'estimer que les réseaux de France Telecom, de notre Ministère de l'Intérieur ou des Armées est « hackable ». Ce qui, en revanche, semble plus important, c'est d'une part la réactivité face à de nouvelles menaces -une bonne règle de firewall palie souvent les absences de déploiement de rustine- et d'autre part l'observance des méthodes, celles du Clusif ou une autre. Le problème des mots de passe du DHS est la preuve évidente que les méthodes ne sont pas appliquées sur l'ensemble du département. Or, une seule faille, une seule machine vulnérable, et ce peut être le début d'une réaction en chaîne inquiétante... surtout si aucune méthode complémentaire ne vient compartimenter les accès aux données.
Seulement voilà, il faut savoir convaincre. Amit Yoran, Howard Schmidt, Richard Clarke ont probablement tous quitté leur poste totalement enroués ou aphones, à force de répéter : « mélange des lettres, chiffres et ponctuations dans ton password... non, n'utilise pas « Monica » pour ouvrir ta messagerie ! .. Le SSID de ton point d'accès, c'est plus Tsunami, c'est DHS007. Et on n'oublie pas de valider le Wep... il fait froid dehors, met ta capuche et fermes bien ton mail avec un « chahouane », ton vieux DES a dépassé la date fraîcheur, il n'isole plus rien... Ne laisses pas ta console allumée quand tu rends visite à l'agent Mulder... Georges, dit à ton fils de cesser de jouer avec le firewall, à force de fermer tous les ports, il ne pourra plus parler à qui que ce soit ». A la longue, ça lasse, faut l'admettre.
L'ACTUALITÉ DU JOUR
Passeport d'urgence : les Etats-Unis n'acceptent que la version électronique
Depuis le 1er juillet dernier, les Etats-Unis n'acceptent les passeports d'urgence (...)
Facebook veut répondre aux critiques sur la protection de la vie privée
Le réseau social Facebook annonce le lancement d'une nouvelle fonction permettant (...)
The Pirate Bay vendu
''Oui, c'est vrai. The Pirate Bay devrait être racheté par Global gaming factory (...)
Le Barreau de Bruxelles élit ses représentants via le web
Pour la quatrième année consécutive, l'Ordre Français des Avocats du Barreau de Bruxelles (...)
La Chine renonce pour l'instant à censurer le Web via un filtrage sur les PC
Les défenseurs des libertés individuelles se frottent les mains, au moins provisoirement (...)
Un garde arrêté par le FBI pour avoir « hacké » les systèmes d'un hôpital au Texas
Un garde accusé d'avoir réalisé des intrusions dans les systèmes d'un hôpital, aurait (...)
Protéger une marque sur internet : l'Icann n'a toujours pas statué
La 35ème réunion publique de l'Icann n'a pas résolu le problème de la protection (...)