Lorsque le célèbre Tsutomu Shimomura découvre un problème sur un modem ADSL d’Alcatel, la presse en fait trop. Surtout lorsque la médiatisation a été bien préparée...
Deux pages dans Libération du 10 avril 2001 vont faire le tour des rédactions et de quelques directions générales. Une belle histoire s’y étale. Elle met en scène un patchwork de hackers, de pirates, de portes dérobées, de multinationales et, pour lier le tout, le sulfureux fumet de l’intelligence économique. Nul doute que cela pourrait faire l’objet d’un roman de gare ou même, pourquoi pas, d’un bon blockbuster... Que nous apprennent les confrères ? Une histoire simple : un hacker américain, Tsutomu Shimomura, aurait découvert une backdoor dans des modems ADSL d’Alcatel. Selon lui, n’importe qui pourrait se connecter depuis Internet sur lesdits modems, contourner l’identification par login/mot de passe et, dès lors, accéder aux données stockées sur l’ordinateur. Cette fonctionnalité ne serait pas inscrite dans la notice technique d’Alcatel, ce qui fait dire à Tsutomu Shimomura et aux journalistes que la main invisible des services secrets français n’est pas loin... Quand on ne parle pas de cyberguerre, on parle d’intelligence économique. Un vrai bon "machin" invisible qui fait bien peur. Pourtant, l’histoire de Libération, qui a aussi fait l’objet d’une dépêche AFP alarmiste dans la journée de mardi, présente quelques zones d’ombre qui la discréditent totalement aux yeux des la communauté des hackers. Décryptage.
Un article en novembre... 2000
Première chose, Tsutomu Shimomura n’est pas à l’origine de cette trouvaille. Il la doit à Renaud Deraison. Un brillant hacker (dans le bon sens du terme) français. Renaud Deraison est l’auteur du scanner de vulnérabilités Nessus. Dans le cadre du développement permanent de son logiciel de sécurité informatique, Renaud Deraison a trouvé en novembre 2000 une "faille" sur les modems d’Alcatel. Il ne juge pas utile de documenter ce problème par une advisory (alerte de sécurité rendue publique) car il le trouve d’un intérêt relatif. Il ajoute néanmoins une fonctionnalité à son logiciel pour qu’il détecte le fait que ces modems sont installés par défaut sans mot de passe. Et puis il oublie... Un journaliste de vnunet.fr qui suit la publication des mises à jour de Nessus s’empare de l’affaire et en fait un article. En novembre 2000... Un détail totalement oublié par Libération.
Révélation soigneusement préparée
Pour sa part, Tsutomu Shimomura n’a visiblement pas manqué la découverte de Renaud Deraison. Tsutomu est un spécialiste de la méga médiatisation depuis sa prétendue aide volontaire à l’arrestation de Kevin Mitnick, associé au FBI et au journaliste du New-York Times John Markoff. Il a donc soigneusement préparé la révélation de sa trouvaille (le fait de pouvoir contourner sur ces modems l’éventuelle mise en place de mots de passe). Il a prévenu les journalistes de la prochaine diffusion d’une alerte de sécurité. Et en a même révélé le contenu à quelques happy few avant de prévenir le CERT (Computer Emergency Response Team). C’est ce que laisse entendre l’article de Libération. L’alerte a d’ailleurs été postée dans Bugtraq le 10 avril, dans l’après-midi.
Méthodes de pirates
Cette démarche est totalement contraire aux usages en matière de sécurité informatique. Il est généralement recommandé de prévenir en premier lieu le fabriquant de matériel, d’attendre qu’il publie un correctif et de publier, ensuite, une alerte de sécurité publique. Le fait de mettre dans la confidence quelques "amis" est une pratique que l’on retrouve plus communément chez les pirates. Ils peuvent ainsi, dans l’ombre, exploiter les failles qu’ils trouvent. Par ailleurs, la découverte est sujette à caution. Renaud Deraison lui-même, pourtant initiateur involontaire de cette recherche poussée sur le matériel d’Alcatel, temporise l’importance du problème. Il souligne que la connexion depuis Internet au modem est pratiquement impossible. Certains parlent même de "science fiction". Le modem dispose d’une adresse IP interne (non visible sur Internet) de type http://10.0.0.138. Il faudrait donc, pour s’y connecter, parvenir a spoofer l’adresse 10.0.0.138, "une classe qui est d’ailleurs filtrée par la plupart des fournisseurs d’accès", souligne Renaud Deraison. "L’adresse sert aux fournisseurs d’accès ou sur un réseau interne. C’est une adresse qui peut être utilisée pour l’administration. Par ailleurs, j’imagine qu’Alcatel se sert de cette fonctionnalité pour ne pas avoir à gérer tous les logins et les mots de passe dans le cadre des retours en usine", poursuit l’ingénieur français.
Et pendant ce temps là...
Tsutomu Shimomura a donc créé un événement médiatique avec une faille pratiquement non exploitable depuis l’extérieur d’un réseau interne en contrevenant à toutes les règles établies et la presse a suivi. Le fait qu’un hacker ou un pirate mette dans la confidence un journaliste sur des sujets chauds, voire brûlants, est déjà un sujet de réflexion en soi. Que ces problèmes techniques soient compris par des non-techniciens est hautement improbable. D’où les approximations et les risques de manipulation qui apportent chaque jour leur lot de F.U.D. (Fear, Uncertainty and Doubt). Pendant ce temps-là, des dizaines de hackers travaillent loin des sunlights et publient dans l’indifférence générale des alertes de sécurité à propos de failles bien plus exploitables. Sans tomber dans la parano, le réseau Internet et ceux des entreprises qui s’y sont connectées, ressemblent chaque jour un peu plus à une passoire. Inutile, donc, de se focaliser sur des détails.
Nessus:
http://www.nessus.org
L’article racontant la trouvaille de Renaud Deraison:
http://www.vnunet.fr/actu/article.h...
Le rôle controversé de Shimomura et Markoffdans l’arrestation de Kevin Mitnick:
http://www.sans.org/infosecFAQ/hack...
http://www.kevinmitnick.com/news-fbi.html
http://www.kevinmitnick.com/news-fb...
Le FUD expliqué aux newbies::
http://www.google.com/search?q=cach...
http://www.bugbrother.com/archives/fud.htm
http://www.bugbrother.com/archives/...
Comment publier une alerte de sécurité, la RFPolicy:
http://www.wiretrip.net/rfp/policy.html