J’ai lu le dernier opus de la série Millénium en posant un œil un peu averti sur les questions de sécurité informatique sur lesquelles repose l’intrigue. Voici le résultat de cette lecture sous forme de Slurps.
Des intrusions peu détaillées mais des vecteurs d’attaque classiques
Comme toute la presse en a parlé, je ne dévoile aucun secret si je révèle que Lisbeth Salander s’introduit dans le système d’information de la NSA dès le premier quart du livre. Outre le fait que l’attaque, commencée en équipe avec l’aide de Plague et d’autres acolytes, se termine comme dans certains matches de foot par un exploit personnel de l’avant-centre suédoise Lisbeth Salander qui crochète, s’infiltre et marque. En fait non, même si elle réalise un coup de com pour mieux masquer son attaque principale : le vol de quelques fichiers compromettant pour la NSA.
Si l’on passe sur le caractère hautement improbable de ce raid solitaire au sein d’un des systèmes sans doute les mieux protégés au monde, il est intéressant de voir que l’auteur accorde une place très importante à l’ingénierie sociale. C’est en effet grâce à ces techniques qu’est repéré en amont le maillon faible permettant d’obtenir les informations exploitées pour pénétrer le système de défense de la NSA. Le procédé exact, je vous laisse le découvrir par vous-même.
D’autres cas d’ingénierie sociale sont cités dans le roman, mais je n’en dirai pas plus pour ne pas dévoiler l’intrigue.
Concernant les vecteurs d’attaque
Le livre reste finalement peu détaillé sur le sujet, mis à part la manipulation du directeur d’un centre d’accueil pour enfants handicapés. Après une phase de renseignement sur la cible, membre de deux organisations : « elle [Lisbeth] envoya deux faux mails très courtois émanant en apparence de ces organismes. Chacun contenait un fichier PDF contaminé par un virus espion sophistiqué qui s’exécuterait automatiquement dès que XXX ouvrirait les messages ». On retrouve enfin là une attaque plausible basée sur la combinaison de l’ingénierie sociale et l’utilisation d’un fichier infecté joint à un mail forgé.
On trouvera plus loin dans le roman d’autres exemples d’utilisation de faux emails exploitant les bonnes vieilles faiblesses du protocole SMTP et des serveurs en Open Relay. Bref, du classique mais malheureusement encore efficace.
L’importance de la protection des sources
C’est clairement dans ce domaine que l’auteur du dernier Millenium s’est le plus impliqué et documenté : la sécurisation des échanges entres journalistes, policiers et contacts fait l’objet de plusieurs passages.
On apprend en particulier que la SAPO (le service de la sureté de l’état suédois) utilise le Blackphone (dont la version 2 est prévue pour septembre 2015) pour communiquer avec un des personnages centraux du roman. Lisbeth Salander pour sa part a d’autres recommandations. Pour protéger les échanges entre elle et l’équipe de Millenium, elle impose à ses contacts d’utiliser les applications Threema et RedPhone téléchargeables sur les stores publics.
Threema, dont Hakim parlait déjà ici il y a plus d’un an, permet d’échanger des messages chiffrés de type SMS entre deux utilisateurs et peut remplacer WhatsApp par exemple pour sécuriser vos échanges qu’ils soient privés ou professionnels.
RedPhone est une application permettant de passer des appels chiffrés (en ZRTP) entre deux correspondants. L’architecture RedPhone utilise des serveurs dits « master » chargés de la signalisation des appels et de l’authentification des utilisateurs et des serveurs relais. Les serveurs relais se comportent comme des serveurs TURN qui relaient les paquets RTP chiffrés. Cette architecture, si elle permet de contourner les interdictions de nombreux opérateurs à communiquer directement en Peer to Peer, impose l’utilisation de serveurs appartenant à l’éditeur. Mais Whisper Systems, l’éditeur cette solution, appartient à Twitter depuis 2011, il semble donc difficile d’échapper ainsi à la surveillance de la NSA…
Il est également question, dans ce tome 4, de cryptographie (plus particulièrement de l’algorithme RSA) et de factorisation de nombres premiers. Mais je vous laisse découvrir tout cela dans la dernière partie du roman.
Alors réaliste Millénium ?
Je dirais partiellement, car les attaques citées sont souvent plausibles. De même, l’importance accordée à l’ingénierie sociale, la phase de renseignement sur les personnes ciblées précédant l’attaque reste crédible. En revanche, si les moyens de protection utilisés par les journalistes et Lisbeth Salander existent bel et bien, ils sont issus du monde officiel de la sécurité et non du Darknet comme on aurait pu le penser. S’ils sont suffisants pour protéger des sources dans un cadre journalistique, ils restent un peu « légers » pour résister à une investigation menée par un Etat…
On peut donc passer un bon moment à la lecture de Millenium, mais il ne faut pas s’attendre à une plongée profonde dans le monde de la cyber-sécurité.
Philippe
Pour aller plus loin :
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.