Cyberespionnage : l’arroseur arrosé

Publié le 18 décembre 2020 | Temps de lecture : 6 minutes

Les États-Unis sont furieux; un pays étranger — probablement la Russie — épie tous les ministères américains importants depuis neuf mois et ils viennent seulement de l’apprendre.

L’histoire est classique. Profitant d’une vulnérabilité du système d’exploitation Windows, des pirates ont eu accès aux ordinateurs d’une firme texane (Solar Winds) dont le produit phare est un outil logiciel (Orion) extrêmement populaire pour le réseautage des ordinateurs.

Ce logiciel est utilisé par trente-trois-mille entreprises, dont la presque totalité des grandes compagnies internationales et une bonne partie des agences gouvernementales américaines.

Une fois introduits dans les ordinateurs de Solar Winds, les pirates ont d’abord créé les attestations numériques qui leur étaient nécessaires afin de pouvoir travailler sur Orion sans attirer l’attention.

Puis, en tant que programmeurs attestés de l’entreprise, ils ont inséré un cheval de Troie dans deux mises à niveau d’Orion offertes en mars et en juin derniers.

Sans le savoir, la firme a invité ses clients à télécharger la nouvelle version. Ce qu’environ 18 000 de ses clients se sont empressés de faire.

Dans l’autre moitié des utilisateurs d’Orion, les responsables du réseautage ont évité d’installer des mises à niveau offertes, non pas parce qu’ils se doutaient de quelque chose, mais parce que ces personnes hésitent souvent à installer des mises à niveau qui pourraient comporter des bogues susceptibles de déstabiliser leur réseau informatique. On préfère donc les vieux bogues connus à de nouveaux qui pourraient leur réserver des surprises encore pires.

Si les pirates russes ont choisi le logiciel Orion comme vecteur de leur cheval de Troie, ce n’est pas seulement en raison de sa popularité au sein des grandes entreprises, mais également parce que son éditeur, Solar Winds, avait pris l’habitude de conseiller à ses clients d’inactiver temporairement leur protection contre les programmes malveillants au moment des mises à niveau d’Orion.

Aux États-Unis, le virus informatique a contaminé les ordinateurs du FBI, d’une partie du Pentagone, des Départements d’État, du Commerce, et du Trésor, de même que les ordinateurs du Département de la Sécurité intérieure (dont le rôle est de protéger les États-Unis de ce genre de menace). Évidemment, Microsoft elle-même a été touchée.

Au moment où ces lignes sont écrites, les autorités américaines sont incapables de dire ce à quoi les pirates ont eu accès, les documents ultraconfidentiels qu’ils auraient pu consulter (ou copier), et les méfaits à retardement qu’ils auraient pu planifier.

C’est comme savoir qu’un malfaiteur s’est introduit dans votre maison sans savoir s’il est toujours là.

Aussi insultés qu’ils soient de voir leur réputation d’invulnérabilité atteinte, les États-Unis doivent se rappeler que depuis toujours, les pays s’espionnent. On espionne les pays ennemis, évidemment, mais également les alliés les plus fidèles.

Sans ses espions, les couloirs du Pentagone seraient déserts. Et on s’ennuierait royalement dans les ambassades.

Avant même les attentats de 2001, les gouvernements des pays anglo-saxons — les États-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande — avaient mis sur pied un vaste réseau d’espionnage qui filtrait tous les courriels, textes, et conversations téléphoniques de la planète.

C’est ce qu’a révélé Edward Snowden en 2013 après y avoir travaillé.

De plus, grâce au géolocaliseur des téléphones multifonctionnels, on est en mesure d’épier tous les déplacements de leurs propriétaires.

Pour donner une idée de l’ampleur de ce système d’espionnage, dans une seule journée de 2012, on a ramassé les données des carnets d’adresses électroniques de 22 881 comptes Gmail, 82 857 comptes Facebook, 105 068 comptes Hotmail et 444 742 comptes Yahoo.

Les États-Unis travaillaient sur des systèmes de reconnaissance faciale à des fins de surveillance de masse et avaient commencé à préparer les esprits à ce sujet lorsqu’ils ont appris que la Chine les avait devancés.

Au lieu du message ‘Si votre enfant était kidnappé, n’aimeriez-vous pas que la police le retrouve en quelques heures grâce à notre système de reconnaissance faciale’, le message américain est devenu ‘Voyez comment la Chine est un État totalitaire : n’êtes-vous pas heureux de vivre dans un pays où ce genre de chose ne se fait pas (ou du moins, ne se fait pas encore) ?

Le gouvernement américain goute maintenant à sa propre médecine. Il a versé des milliards à des firmes afin de développer aux États-Unis une expertise en matière de sécurité informatique. Et voilà qu’on apprend qu’on n’a rien vu d’un acte d’espionnage — et peut-être de piraterie — qui s’est poursuivi pendant neuf mois avant qu’on s’en aperçoive.

Les pirates russes entraient dans les ordinateurs du gouvernement américain comme le vent entre les planches des murs d’une vieille grange. Et ce, depuis des mois.

Pouvez-vous imaginer ce que vaut la protection de nos données personnelles à nous (dont nos numéros de cartes de crédit) enregistrées dans les bases de données des commerces dans lesquels nous faisons affaire ?

La morale de cette histoire : tout ce qui est accessible par l’internet peut être piraté.

En supposant que les pirates russes n’aient rien volé : si tel est le cas, c’est qu’ils ont choisi de ne rien prendre. Mais ce qu’ils ont prouvé, c’est que les États-Unis sont un colosse aux pieds d’argile.

Le gouvernement américain lui-même s’est fait prendre. Imaginez ce que vaut la protection sur laquelle repose la sécurité de nos données…

Références :
Clinton commits $1.46B to fight cyberterrorism
Edward Snowden
Etats-Unis : des pirates ont réussi à infiltrer les départements du Trésor et du commerce
La piraterie encouragée ou financée par l’État
L’informatique dématérialisée et l’espionnage industriel
Liste permanente de vols de données par l’internet
‘Russian cyber-thieves’ raid Pentagon computers during 1999
Russian government hackers are behind a broad espionage campaign that has compromised U.S. agencies, including Treasury and Commerce
Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit
SEC filings: SolarWinds says 18,000 customers were impacted by recent hack
Snowden: Washington a lancé 231 cyberattaques en 2011
SolarWinds

Parus depuis :
États-Unis et Danemark sommés de s’expliquer sur l’espionnage d’alliés européens (2021-06-01)
Le FBI espionne encore régulièrement les communications d’Américains (2023-05-19)
Protection de données : une amende de 1,75 milliards $ pour Meta, un record en Europe (2023-05-22)
Chine : les e-mails de l’ambassadeur américain piratés (2023-07-21)

Laissez un commentaire »

| Informatique, Sécurité, Sécurité nationale | Permalink
Écrit par Jean-Pierre Martel


La publicité trompeuse des épiceries Métro

Publié le 18 décembre 2020 | Temps de lecture : 3 minutes

Il y a une semaine, j’ai demandé et obtenu l’annulation d’une commande d’épicerie effectuée en réponse à une offre de livraison gratuite.

Dans cette réclame, un astérisque discret référait à une note de bas de page précisant que cette offre n’était valable qu’à l’achat de trois des produits en vedette.

Hier, j’ai reçu une nouvelle offre, cette fois encore plus trompeuse que la précédente.

À l’ouverture du courriel, c’est clair; Métro offre la livraison gratuite.

En faisant défiler vers le bas, c’est réitéré; l’offre est valable cette semaine. Mais cette fois-ci, pas de petit astérisque référant à une note en bas de page.

Toutefois, le consommateur curieux qui aurait l’idée de cliquer sur cette flèche au coin inférieur droit est référé à un page Web (ci-dessous) qui lui précise que la livraison gratuite n’est pas ‘disponible’ pour le service ‘mpriorité’ (sans expliquer ce que ce mot signifie).

En réalité, il faut aller à la fin de la réclame pour lire, en petits caractères gris sur fond blanc…

…une note qui précise que l’offre de livraison gratuite n’est valable que pour une commande supérieure à 50$ comprenant l’achat de trois produits en vedette.

En dépit d’une commande valant le double et de l’achat de quatre formats d’un des produits en vedette, c’est au moment de passer la commande qu’on voit que tout cela est faux; on doit payer quand même des frais de livraison de 8$.

De plus, on doit savoir qu’à l’occasion d’un achat antérieur, les épiceries Métro conservent en mémoire les numéros de carte de crédit.

Si le client présume qu’au moment de préciser son numéro de carte de crédit, il aura l’occasion de se prévaloir de l’offre de livraison gratuite, il se trompe. Dès qu’il clique le bouton qui finalise sa commande, c’est terminé; il vient de se faire avoir.

Il y a quelques minutes, je suis retourné sur le site de Mon épicerie en ligne métro.ca.

Contrairement à hier soir, les épiceries Métro disent explicitement ce matin que la livraison n’est gratuite qu’à l’achat de trois produits participants.

C’est beaucoup mieux. Mais pour combien de temps ?

Un commentaire

| Consommation | Permalink
Écrit par Jean-Pierre Martel