Par Thierry Berthier.
La cybersécurité est un sujet suffisamment sensible pour qu’il mérite d’être traité par les journalistes avec rigueur et sérieux. En la matière, l’approximation et la sous-estimation de sa complexité conduisent inévitablement à des contre-vérités médiatiques et à des biais de représentation.
C’est précisément ce que l’émission de France 2 Cash Investigation Marchés publics : le grand dérapage nous a fourni le mardi 18 octobre à 20h55, tant les approximations et les contre-vérités se succédaient à grande vitesse tout au long du reportage sur le système d’exploitation des ordinateurs du Ministère de la Défense.
Je dois avouer qu’il en faut en général beaucoup pour me choquer mais que ce beaucoup a été très vite atteint par l’équipe de Cash Investigation ! Jamais réalité n’avait été à ce point tordue et déformée dans l’unique but d’entrer par le goulot étroit du format préfabriqué de la désinformation. En clair, on a voulu se payer les balourds du Ministère de la Défense et les militaires qui ont choisi le système d’exploitation Windows (Microsoft) pour équiper leurs machines…
Un piratage en trois clics ?
Pensez donc, Madame, en trois clics et deux failles de sécurité, Élise Lucet nous démontrait qu’elle pouvait prendre le contrôle des ordinateurs du Ministère de la Défense pour déclencher dans la foulée la troisième guerre mondiale…. Il est vrai qu’elle venait de pirater sans pression l’ordinateur de l’un de ses collègues, avec l’aide de deux experts en cybersécurité de l’ESIEA. Et comme chacun le sait, si l’opération fonctionne avec la machine Windows de madame Michu, ça marchera tout pareil avec les machines de la Grande Muette.
Dans le cadre d’un renouvellement de contrat, Microsoft a remporté en 2013 le marché public du Ministère de la Défense concernant l’équipement en systèmes d’exploitations du parc informatique des Armées. Windows est donc installé sur 200 000 ordinateurs de l’armée française.
Partant de cette réalité, Élise Lucet et son équipe en ont déduit que cela constituait un choix risqué en matière de cybersécurité & cyberdéfense tant ce système d’exploitation est truffé de vulnérabilités et de Back Doors (portes dérobées) installées par les méchants espions américains de la NSA.
Le « piège » de Microsoft
En conclusion, toujours selon Élise Lucet, les militaires français sont tombés dans le piège tendu par Microsoft qui dispose désormais de toutes les entrées possibles pour la prise de contrôle à distance des ordinateurs sensibles du Ministère et de leurs secrets Défense. La théorie du complot n’est pas très éloignée dans tout cela, surtout lorsque l’hypothèse d’Élise Lucet se trouve plus ou moins confirmée par les déclarations de l’expert cryptologue Éric Filiol, retraité des services de renseignement et actuellement directeur du centre de recherche en cybersécurité de l’ESIEA.
Ce que dit Éric Filiol durant ses courtes interventions n’est pas contestable : il effectue une démonstration de prise de contrôle à distance d’un ordinateur équipé du système Windows 7 à la suite d’un clic de l’utilisateur (la cible) sur un lien malveillant transmis par mail. La démonstration qu’il donne d’une prise de contrôle n’appelle aucune critique puisqu’elle est un classique du genre, connue de tous les étudiants préparant un Master en cybersécurité.
Quelle preuve des failles de sécurité ?
C’est l’usage qui en est fait qui devient très contestable : puisque la manipulation fonctionne sur l’ordinateur doté de Windows de mon collègue journaliste (qui, au demeurant, a le clic facile et l’antivirus laxiste), c’est qu’elle fonctionne également avec l’ensemble du parc informatique relevant du Ministère de la Défense (cqfd). Preuve est donc faite de l’incompétence des services de l’État, de services chargés de la cybersécurité des infrastructures militaires et de l’ensemble des experts, ingénieurs et chercheurs qui œuvrent chaque jour en France pour sécuriser les systèmes…
Le reportage pousse encore un peu plus loin sa courageuse investigation en allant interroger très brièvement l’Officier Général Cyberdéfense, le vice Amiral Coustillière. Ce dernier est interrogé entre deux portes sur le choix improbable d’installer Windows sur des machines qui font la guerre.
White Hat au grand cœur
N’écoutant que leur sagacité et leur expertise autoproclamée, nos journalistes hackers « White Hat » au grand cœur (donc toujours du bon côté de la Force) donnent pour finir une leçon de cyberstratégie à l’Amiral responsable de la sécurité des infrastructures numériques militaires, tout en le faisant passer pour un amateur déconnecté des réalités informatiques… C’est à ce point que l’on touche au paroxysme de la désinformation du spectateur que l’on considère comme un consommateur compulsif de dysfonctionnements et malversations étatiques…
Et bien non, Madame Lucet, non, le choix de Windows n’est pas plus ou moins défendable que celui d’un système open source. Linux et ses dérivés souffrent également de vulnérabilités, subissent des attaques et des correctifs. C’est le triste destin de tout système complexe que d’avoir été créé imparfait, ouvert aux agressions extérieures exploitées par des individus mal intentionnés ou en quête d’information.
On ne clique pas tous sur les malware
Non, Madame Lucet, ce n’est pas parce qu’un de vos collègues journalistes clique facilement sur un lien malveillant que tout le monde le fait. Ce n’est pas parce que son antivirus ne détecte pas un malware qu’aucun autre antivirus ne le détectera. Ce n’est pas parce que Windows possède des vulnérabilités que les autres systèmes d’exploitation n’en possèdent pas.
Ce n’est pas parce que Microsoft a pu transmettre ou vendre certaines données aux services gouvernementaux américains que cette firme cherche obsessionnellement à piéger l’armée française. Enfin, non chère Élise, l’armée française ne découvre pas les problématiques de sécurité numérique avec votre reportage et ne sous-estime pas les risques de vol de données sensibles. C’est quelque part faire injure aux spécialistes civils et militaires qui œuvrent quotidiennement à la défense des intérêts numériques de la nation.
La cybersécurité est une science complexe qui croise les compétences techniques et la compréhension des mécanismes humains. L’art de la guerre numérique dépasse de très loin ce que ce triste reportage a tenté de montrer.
Oh mon dieu… Mais c est quoi cette analyse déplorable dépourvus d argumentation et surtout démontrant clairement que la personne qui a rédigé ça n’a pas du tout compris l émission. Bien sûr que tous les OS comportent des failles mais un OS sous système UNIX peut être mieux protéger car toute personne s y connaissant en informatique, on a accès à l ensemble des éléments du système et on peut donc travailler à les protéger spécifiquement. Il suffit de voir les OS sécurisé qui existent dans le monde comme le Tails. De plus Élise a clairement mis en evidence le système d optimisation fiscale qu applique Microsoft, payé pourtant par le contribuable pour une utilisation de ses services en France mais non, quasi pas d impôts en france… Inadmissible. Cette article n a aucun mérite vraiment alors par pitié n écrivez qu après avoir bien regardé les émissions que vous allez critiquer.
« peut être mieux protéger » : outre la faute d’orthographe qui en dit aussi long sur le commentateur que le commentaire, vous n’avez rien compris et ça se voit. Le propos de l’article est de dire que les « preuves » apportées par Lucet sont ridicules, et elles le sont effectivement. La cybersécurité, c’est bien plus qu’un OS.
Elise, c’est choux… On n’est plus dans le domaine d’une émission TV mais d’un procès à charge à chaque fois. Que l’on rende les médias Français financés par l’argent de con tribuables neutres ou fermer toute cette propagande étatiste.
Concernant madame Lucet, il ne faut pas oublier qu’en son temps elle était beaucoup plus « effronté » et fouineuse. Les années de disette/sanction qui ont suivit semble l’avoir recadré comme il le fallait et la voilà de retour sur le bon chemin.
Une sorte de Lancel Lannister…
@kirern « Peut être mieux protégé car toute personne s’y connaissant en informatique », expliquez moi la différence avec « on ne clique pas tous sur les malaxer ». Il me semble aussi que Tails a connu des failles de sécurité donc « OS sécurisé »?
Oups désolé malware à la place de malaxer
« on a accès à l ensemble des éléments du système »
Ca c’est ce que vous pensez. On commence a voir dans la nature des processeurs avec malware (ou plutot failles volontaires) integres par les fondeurs de puces (donc sans que le concepteur ne soit au courant).
Meme avec tout le code source disponible et le temps necessaire pour le lire, vous ne pouvez pas faire grand chose contre ca.
« payé pourtant par le contribuable pour une utilisation de ses services en France mais non, quasi pas d impôts en france… »
C’est marrant, quand c’est Total qui fait du benef en Cote d’Ivoire on considère qu’ils doivent payer l’impot sur leur bénéfice là bas en France et non en CIV……
Et un OS sous Linux n’est lié à aucune administration, gouvernementale ou non. Le choix de Microsoft est depuis longtemps critiqué, surtout depuis qu’on sait que les premiers informés de faille…. ne sont pas les clients!
Emission qui ne cherche que le buzz et manquant de serieuses investigations !
@ rebelle ( « rebebelle » ???????????)
Désolé: j’ai regardé, hier soir, l’intégralité de l’émission d’Élise Lucet sur l’affaire de « Bygmalion » (sous Youtube). Il y a longtemps que la télé française (ou la presse française, aussi) ne donne plus d’émission d’enquête « poussée » de ce genre, le « buzz » se créant par contre, tous les jours à coup de « chroniqueurs » étalant de façon privilégiée leurs convictions (tempérées par leur « audimat » – faut bien vivre! – pourtant sans autre valeur que leur voix si ils votent!
Dans le cas de Bygmalion, où avez-vous vu une recherche de faits précis aussi convaincants?
Sur 200 000 ordinateurs livrés à la défense, fonctionnant sous windows, qui peut croire qu’ils ne serviront que pour les taches de service? Et qui peut prétendre qu’un hacker (ou plusieurs dizaines) capable de franchir les barrières sécuritaires de l’armée française n’existe pas, avec ou sans complicité? Ce n’est évidemment qu’un doux rêve!
Par contre, pour illustrer sa thèse, ET pour qu’elle soit compréhensible pour tous les téléspectateurs, elle ne pouvait donner qu’un exemple simple. La tache pour la défense nationale sera évidemment plus complexe mais pas du tout impossible pour autant!
Donc, avant de condamner Élise Lucet (et ses très nombreux collaborateurs!) pour incompétence, j’attendrai de voir l’émission en différé; l’article ci-dessus n’apporte aucune preuve sérieuse ni de cette incompétence ni de l’inverse de sa thèse, simplement supposé, sur bon sens (?)! Une journaliste, douée pour mettre le doigt là où ça fait mal, et, en outre, capable d’assumer le fait de ne pas plaire à tout le monde, cette dame ne peut pas être être tout à fait mauvaise ni même aussi inintéressante que cet article vide de tout argument veuille le faire croire. Mais toutes les opinions doivent être respectées, y compris dans leur expression. Simplement, il ne m’a pas du tout convaincu!
Pendant ce temps-là, que grâce à la Roumanie, la Bulgarie et la région Wallonne de Belgique, l’Union Européenne risque de ne pas pouvoir signer l’accord sur le « C.E..T.A. » ne fait pas l’objet d’un article et d’un échange sur Contrepoints alors qu’il s’agit de « libre-échange » et du « néo- » ou « ultra- » Libéralisme me laisse coi! Même M. Valls veut venir convaincre les Wallons! (À n’y rien comprendre!).
Sur le traité UE-Canada suspendu au bon vouloir de la Belgique il y a déjà eu au moins 2 articles.
Sur Elise Lucet voir son émission mensongère sur les pesticides.
Imaginez une émission qui dise que tout va bien : ces gens là ne peuvent se permettre de faire une investigation et de ne pas en sortir du sensationnel même si pour cela il faut l’asseoir sur du vent : c’est ce qu’on appelle une enquête à charge.
Sur Bigmillion, il faudrait déjà se poser la question du pourquoi de la limitation des donations et de la limitation des frais de campagne surtout quand on voit que d’une présidentielle à l’autre la durée de la limitation vient d’être réduite comme par hasard à 6 mois…
@ sam player
Merci de votre réponse!
– traité CETA: il n’y a manifestement pas que les Wallons à vouloir que l’U.E. ne signe pas « l’accord » (non définitif!) de traité! 80 Euro-députés ont approuvé l’attitude wallonne et ni la Bulgarie ni la Roumanie n’ont obtenu leur libre entrée, sans visa, sur le sol canadien: l’accord reste ce 22/10/2016 à 01H00, compromis!
http://www.rtbf.be/info/monde/detail_plus-de-80-eurodeputes-soutiennent-le-njet-wallon-au-ceta?id=9435830
– j’ai regardé l’émission sur les pesticides: les absences de réponse ne rachetaient sans doute pas une certaine pauvreté de témoins « autorisés » en faveur de sa thèse. Si il y a eu mensonge, je n’en connais pas l’argument, j’avoue. L’instruction à charge et à décharge est affaire de juge, mais si les faits rapportés ne sont pas faux, un reportage a bien le droit de faire des rapprochements et les concitoyens pourraient se montrer solidaires avec les concitoyens victimes, si le cas échet. Élise Lucet ne me semble pas compter sur des faux-semblants ou la facilité pour gravir les échelons dictés par son ambition. Mais certains éléments me sont sans doute inconnus!
– Bygmalion. L’exemple des U.S.A., actuellement, devrait vous dire pourquoi la fortune ne devrait pas forcer les citoyens à choisir entre Mrs H.Clinton et Mr D.Trump, choix d’ailleurs cruel mais rattrapable par les « Grands Électeurs », en régime démocratique. Que la loi électorale puisse varier dans le temps, comme pour le découpage électoral du territoire, pour « optimiser » le résultats des élections, ce sont des « tricheries » du pouvoir en place, auxquelles on a du mal à s’habituer mais qui restent légales, une fois votées par celles et ceux qui prétendent vous représenter. (Je ne suis ni Belge, ni Wallon, ni Français.)
Votre raisonnement est incohérent mais l’important c’est que la conclusion vous plaise:
https://fr.wikipedia.org/wiki/Biais_de_confirmation
En même temps, pas besoin de sortir de Saint Cyr que l’enquête sur l’affaire bygmalion est commanditée par l’actuel locataire d’un logement parisien bien situé
@Charles.w
Qu’il y ait eu un « commanditaire », je n’en ai aucune preuve ni pour ni contre. Parmi les multiples candidats à la succession présidentielle, y compris F.H., qui sait qui Élise Lucet voudrait favoriser tacitement ou clairement, si ce n’est, à tous les épisodes, elle-même (devenue « productrice », si mes souvenirs sont bons), alors que sa curiosité entêtée a mis « en pétard » son patron, M.Field!
N.Sarkozy, rejeté aux dernières élections, poursuivi par la justice, entre autres « casseroles », pour avoir « oublié » de suivre son montant de campagne ne peut trouver que dans son narcissisme, à peine pervers, l’audace et la nécessité de son ambition de se représenter: j’ose espérer qu’il n’est plus, depuis longtemps, « l’homme à abattre »: hors de France, sa réputation est faite depuis la crise grecque!
C’est un magasine de fomentés par des ultra-gauchistes des plus décervelés.
C’est pas de l’info c’est de la propagande. N’y cherchez aucune volonté d’informer mais uniquement une charge permanente sur le secteur marchand…
Le but était de critiquer Microsoft, c’est Américain. Donc forcement mauvais. La suite du reportage sur l stade de Nice était tout aussi absurde. Critiquer les PPP (partenariat public-privé) le privé pas beau…
Surtout ne pas déranger! 30 ans d’immobilisme, pourvu que cela dure.
Les trois critiques méritent au moins d’être exposées, au mieux une réflexion, peut être un changement de cap.
Finalement, la France a les politiciens et les élites qu’elle mérite! Même l’orthographe devient médiocre!
Cet article ne comprend rien à la cybersecurité…
Premièrement les risques liés à l’utilisation d’un OS windows non pas par peur des script kiddies (CF démon de hacking de l’ESIEA) mais bien de l’espionnage étatique.Le scandale prism et Snowden ont changé la dimension du hacking, personne ne peut certifier que certaines failles 0 day ne sont pas simplement un bug mais bien une porte dérobée afin de permettre à un état d’obtenir des informations. L’avantage d’un OS opensource est comme son nom l’indique libre, par conséquent, tout backdoor peut-être « facilement » détecter. Bien sûr ces OS ne sont pas exempt de défaut et de vulnérabilité mais si non prenons OpenBSD, ce système souffre seulement de deux failles depuis plus de 10 ans ! Le gouvernement Russe qui n’est pas un bleu en matière de cyber securité à pour but de bannir l’ensemble des OS windows. Même si derrière ce choix se cache des enjeux politique et économique, il y a aussi une réalité informatique.
Cet article ne dit pas que windows est un bon ou un mauvais choix. Mais que la démonstration faite par Elise Lucet est mauvaise.
Autrement dit, peut être que Windows était un mauvais choix, mais de n’est pas pour les raisons avancés par le documentaire.
Les failles sont facilement détectées peut être, mais aussi plus facilement trouvée (pas besoin de reverse ingé). Ne pas oublier que les failles s’achètent sur les sites spécialisés et que toutes les 0day ne font pas l’objet d’un patch. Donc que ce soit Windows, OSX ou autre Linux c’est pareil, on trouve de tout et à tous les prix. Pour un état, l’argent n’étant pas un problème, tel ou tel OS ne l’est pas non plus. C’est ça que l’article tente d’expliquer. Le gouvernement russe n’utilise pas Microsoft? Regardez donc sous quoi tournent leurs ATM…
« Les failles sont facilement détectées peut être, mais aussi plus facilement trouvée (pas besoin de reverse ingé). »
La sécurité par l’obscurité, un concept à bannir en informatique.
Non, la black-box a de sérieux avantages que l’open n’as pas dans bon nombre de cas.
Vous êtes paranoïaque, il ne s’agit pas de détecter des backdoors mais des erreurs dans le code. J’avais lu un article qui disais que les développeurs de Microsoft n’avaient quasiment jamais l’occasion de relire et d’améliorer leur code.
« Le gouvernement Russe qui n’est pas un bleu en matière de cyber securité à pour but de bannir l’ensemble des OS windows. Même si derrière ce choix se cache des enjeux politique et économique, il y a aussi une réalité informatique. »
modprobe kgb.ko ? C’est ça la solution ?
Tu n’es pas du métier visiblement…
Plutôt que que payer cette somme à Microsoft (en passant par l’Irlande au passage…) , il serait plus rationnel de prendre un Linux ou BSD et payer de gros audits de code et durcir ces OS à l’usage de l’armée française.
On pourrait même – soyons fous ! – mutualiser cet effort pour généraliser progressivement à toutes les administrations un OS Linux durci et audité, et économiser sur le long terme pas mal d’argent public. Et même si on économise pas, mieux vaut dépenser pour développer une expertise française qu’envoyer cet argent public chez Microsoft.
PIB français, sécurité, économies de long terme : trop compliqué ou pas assez libéral ?
Allez voir ce qu’en pense le patron de l’ANSSI…
Si il y autant d’entreprises qui utilisent les produits MS au lieu de produits libres de droits c’est parce que ça leur reviens moins chers que d’utiliser des OS libre, le prix de la licence ne fait pas tout il y a aussi les couts d’utilisations.
Ca fait 20 ans que j’entends dire que MS c’est de la merde et pourtant il s’en vend toujours pour plusieurs G$ par an.
Arriver à un moment il faut quand même admettre que tous les utilisateurs de produits MS ne peuvent pas être dans l’erreur et que donc si ils arrivent à vendre leurs produits c’est qu’ils ont quelques qualités
Évidemment il y a toujours le même sophisme qui consiste à dire qu’acheter des produits étrangers c’est mal.
Acheter des produits français avec l’argent public plutôt qu’étranger on sait ce que cela donne (je présume que vous êtes un ardent défenseur des commandes de la SNCF à Alstom) dans l’informatique on nous a déjà fait le coup avec les MO5 (Olivetti), TO5 et TO7 (Thomson) le minitel, … quel succès mémorable.
Pour tout ce qui concerne l’infrastructure réseau je présume qu’il faut aussi d’engraisser HP et Cisco avec de l’argent public et on développe aussi une expertise française en la matière, je sens encore un succès digne de Quaero.
Je ne dis pas que les produits MS ne sont pas exempt de reproches, ni que cela constituait le bon choix pour le ministère de la défense, mais sans connaissance de l’architecture il est difficile d’émettre un choix avisé sur l’OS à utiliser.
Ca fait 20 ans que j’entends dire que MS c’est de la merde et pourtant il s’en vend toujours pour plusieurs G$ par an.
Arriver à un moment il faut quand même admettre que tous les utilisateurs de produits MS ne peuvent pas être dans l’erreur et que donc si ils arrivent à vendre leurs produits c’est qu’ils ont quelques qualités
Ca fait plus de 40 ans que les peuples des pays démocratiques choisissent des gouvernements de plus en plus socialistes. Si on suit votre raisonnement ils ne peuvent etre dans l’erreur.
Durcir l’OS c’est bien, mais pour conserver les intérêts de l’open source il faut poster ses améliorations upstream pour que les autres développeurs puissent les critiquer. Rester sur un fork fait par l’état français ne nous permettrait pas de profiter des fonctionnalités nouvellement apportées (sauf backport) ni de voir le travail fait par nous passer les étapes nécessaires pour être considéré comme mergeable.
C ‘est vrai que la démonstration à consterné toute personnes qui s ‘ intéresse un temps soit peux au domaine . Le problème est qu ‘ il faut simplifié au maximum pour le grand public , pas question de parlé de chiffrement, de privilège système etc etc , un comble pour une chaîne qui diffuse Mr Robot . Le grand public n ‘est pas informé sur ce qu ‘ est l ‘ informatique , nous en sommes resté aux « mots magique » , un comble pour une société peux ou prou numérique .
Mais Microsoft est tout sauf innocent dans cette affaire , comme l ‘ est tout autant voir plus les responsables de ce massacre .
Quand on fait un peu d’informatique on connait la mauvaise qualité de windows … tout découle de la …
Peut-être. Encore que ça reste à démontrer. J’ai « fais un peu d’informatique » depuis la sortie de MS/DOS 2.0. On peut critiquer Windows sur bien des points. Mais il est plus efficace et sérieux d’administrer 200.000 postes de travail sous un OS très largement répandu que sous un OS open source, fut-il tripoté par des experts du gouvernement’
En clair, on peut toujours administrer des réseaux, des droits, des déploiements contraints, des interdictions d’usage sur des postes Windows bien couplés aux bons serveurs, et on trouvera facilement une quantité peu limitée d’experts (issus du monde privé) pour le faire cite et bien.
Pour un OS tripoté c’est foutu : toute faille ou toute attaque sérieuse (car le risque est au final le facteur humain) ne sera pas identifié et sera mal géré, faute de compétences pérennes.
Oui, dans une École, dans un club, dans une entreprise on peut opter pour Linux à bon escient.
Mais passé une certaine exigence Windows reste un bon choix.
Autre avantage de Windows : puisque « tout le monde sait » que c’est une daube et une passoir, il est plus facile de contraindre les usagers à accepter des limitations d’usage coercitives.
« Mais il est plus efficace et sérieux d’administrer 200.000 postes de travail sous un OS très largement répandu que sous un OS open source »
Sûrement pour ça que la plupart des data-center sont sur Linux.
« En clair, on peut toujours administrer des réseaux, des droits, des déploiements contraints, des interdictions d’usage sur des postes Windows bien couplés aux bons serveurs »
Avec Linux aussi.
« et on trouvera facilement une quantité peu limitée d’experts »
Mais beaucoup plus médiocres car les barrières à l’entrée sont bien plus faibles.
« Pour un OS tripoté c’est foutu : toute faille ou toute attaque sérieuse (car le risque est au final le facteur humain) ne sera pas identifié et sera mal géré, faute de compétences pérennes. »
C’est quoi un OS tripoté ? Il suffit de se servir des versions officielles et de reporter ses changements upstream pour continuer d’avoir le même système que les autres utilisateurs et ainsi profiter des mises à jour de sécurité.
« Oui, dans une École, dans un club, dans une entreprise on peut opter pour Linux à bon escient.
Mais passé une certaine exigence Windows reste un bon choix. »
C’est l’inverse qui est vrai, passé des utilisations triviales Linux est le meilleur choix.
« Autre avantage de Windows : puisque « tout le monde sait » que c’est une daube et une passoir, il est plus facile de contraindre les usagers à accepter des limitations d’usage coercitives. »
La gestion des droits est bien meilleure sur Linux, avec les permissions Unix, les ACL, cgroup, SELinux, apparmor, PAM… Cela mériterait que l’on remette tout ça à plat pour quelque-chose de cohérent, mais les fonctionnalités sont bien supérieures à Windows.
Oui, je suis bien d’accord sur tous ces points : le problème est bien celui de l’hégémonie de Windows.
En tant qu’OS tres (trop ?) largement répandu, il est de fait une cible permanente de tentatives d’attaques de tous bords, c’est normal.
Plus difficile sur un OS avec un noyau UNIX, c’est clair.
Mais la cybercriminalité n’est qu’un aspect de la criminalité. Si demain tous les postes de nos fonctions publiques, de nos banques, de nos entreprises sont sous une version blindée de Linux, que feront les criminels ?
C’est simple, ils feront ce qu’ils font partout : ils trouveront la faille humaine, imparable, simple à trouver.
Une copie des bases de données en provenance de Panama, de Suisse, du Luxembourg, d’Hillary Clinton ou des pontes du GIEC : tout ça n’a pas besoin de grandes compétences de hacker.
Et au final, il suffira de concevoir des logiciels/des sites ayant pignon sur rue, dont l’usage est répandu, mais dont la provenance peut être contaminée.
Bref, la securite numérique a des choix opportuns a faire (Linux, formations, infrastructure), mais à chaque protection en place son attaque. Le facteur humain demeurera : tant qu’il sera prééminent, Élise Lucet pourra continuer à raconter ce qu’elle veut, elle sera à côté du sujet… Comme à son habitude.
« C’est simple, ils feront ce qu’ils font partout : ils trouveront la faille humaine, imparable, simple à trouver »
Oui c’est évident, et c’est ce qui est en général mal comprit. Les logicielles et surtout les kernels (Linux, Windows NT, FreeBSD..) sont plutôt robustes, la plupart des attaques lient erreur humaine et erreur de configuration lors du déploiement.
Toutefois il y a des avantages à utiliser Linux, par exemple le fait que vous pouvez facilement empêcher l’utilisateur lambda de changer l’état du système, le fait qu’aucun fichier n’est exécutable par défaut, la capacité d’emprisonner les applications dans des containers…
Justement, non. Windows fait des softs de bonne qualité, le fait qu’il soit très attaqué n’est une histoire de ciblage.
@Tigzy
les kernels Unix prennent en compte dans leurs design les problématiques de securité pas Windows
selon le National Vulnerability Database (NVD): sur un an:
Linux kernel – 238 failles, dont 24 critiques et 74 médiums
Windows 7 – 72 failles, dont 25 critiques et 11 médiums
Vous vous appelez réellement « Kevin », ce n’est pas une blague ?
Unix en temps que tel , n ‘ existe plus depuis la fin des années 1990 , ne pas confondre le noyau GNU / Linux et IRIS , Solaris etc …
Madame Lucet-Jourdain a découvert qu’elle écrivait de la prose sur son propre ordinateur. Mais comment pourrait-il exister la moindre sécurité informatique tant que :
– les agences de hacking ont pignon sur rue et que l’on peut lancer des appels d’offre pour acheter des failles,
– que le hacking d’état envers les citoyens est lui même institutionnalisé : est-ce que le gouvernement passerait des lois pour s’autoriser le piratage s’il n’en possédait pas déjà les moyens techniques ?
– il n’y a pratiquement pas de répression des pirates et surtout pas quand ils sont mandatés par des gouvernements : on voit des guignols avec des masques parader tranquillement dans les rues et on proteste à peine quand des barbouzes US interceptent les communications du gouvernement,
– on privilégie systématiquement la fonctionnalité à la plus élémentaire des sécurités : comment lutter contre les « backdoors » quand on s’échange du code exécutable et que tout le monde (donc ce code téléchargé) peut ouvrir une connexion vers l’extérieur, et la crypter pour la rendre indétectable,
– on se perd dans le détail au lieu d’avoir une vision globale : la sécurité doit être un ensemble de barrières en couches successives pour ne pas être à la merci d’un point faible,
– on utilise des « firmware » dont on n’a ni les sources, ni la garantie du fournisseur sur quasiment tout le matériel,
– on installe des équipements douteux directement connectés à Internet sous prétexte de « révolution des objets connectés », qui sont systématiquement infectés pour devenir des robots de piratage.
« Cash investigation ne comprend rien à la cybersécurité »
Ni aux autres sujets, d’ailleurs!
Ce qu’on oublie de dire dans ce billet (très juste par ailleurs) c’est que l’outil utilisé (Metasploit) utilise des failles qui sont corrigées depuis belle lurette.
Windows pousse des correctifs très rapidement (contrairement à OSX ah!) et il y a de très fortes chance qu’aucun exploit disponible publiquement ne soit utilisable sur une machine full patch.
Ensuite, il y a tout le contexte « réseau entreprise ». L’armée dispose d’un routeur d’entrée muni de firewall qui j’espère sont configurés pour éviter la fuite d’information. Aussi, les documents secrets sont évidement conservés sur des machines déconnectées d’internet. Et là pour cliquer sur ton lien, tu peux te brosser.
en effet je n’y connais rien mais les machines connectées au net ne sont sans doute pas essentielles à la défense » non donc pirater des fiches de paies ou je ne sais quoi ok…autrement dit pourquoi pirater la bureaucratie de la défense? On ne va pas me faire croire que des informations tactiques ou stratégiques sont envoyées pas email! (hem cli,ton)…
alors à part me mot défense qui impressionne…
Je ne blamerai pas Elise malgés le ton infantilisant qu’elle utilise!
Linux, Mac OS > MS Windows pour la securité
MS a fait des choix de design initial qui ne prenait pas en compte les problématiques de securité basique (systéme de privilége, automatic execution, …). MS Windows est designé pour une utilisation grand public dans l’industrie nos serveurs et logiciels tournent sous Unix (fort heureusement).
corruptibilité d’un code open Source < corruptibilité d'une entreprise privé
Un choix au minimum étrange de l'armée … bureaucrates incompetent un peu partout au sommet de l'etat (cela ne devrais surprendre personne ici)!
« Un choix au minimum étrange de l’armée … »
Le problème c’est que pour faire du Linux, il faut embaucher des sysadmins Linux. Si les décideurs ne comprennent pas les avantages et que leur IT fait tout pour empêcher une migration car pour des raisons historiques c’est une équipe de sysadmin Windows, cela ne risque pas d’arriver.
Tout évolue…
Ms fait de plus en plus d’open source (avec .net core)
Et il y a 2 ou 3 version qu’on peut gérer les autorisation d’exécution facilement et les systèmes de droits évolue constamment.
Ms a fait de gros projet…
Et il est évident que l’armée a tout intérêt a avoir un partenariat avec le constructeurs pour qu’il l’aide a haker les nombreux français sous cette os sous le prétexte fallacieux d’avoir besoin de sécurisé le système dont il se serviront surement pour gérer les commandes de blanchisseries.
Mais tout le monde sait que le cœur du système doit être sous unix.
Si tel est le cas pourquoi Le Drain a fuit, pourquoi aucun personnage du ministère n’a voulu intervenir pour apporter la contradiction ?? C’est donc qu’ils n’avaient rien à dire et donc Cash Investigation a raison de montrer les balours de ce ministère le drian
Je ne suis pas sur qu’alimenter la polémique avec Cash Investigation soit une bonne stratégie. Ils ne passeront dans l’émission que ce qu’ils auront choisi et/ou pourront toujours rajouter de nouveaux éléments pour contredire (sans contre argumentation possible) la réponse du ministère. Aucun intérêt.
Il est tout à fait impossible de maîtriser sa communication dans ce style de débat où celui qui fait le montage final est partisan et ne retiendra que les 2 minutes qui lui vont bien sur un entretien d’une heure.
D’autre part mandater un expert dans ce style de débat rendrait celui-ci abscons : il faudrait connaître par avance les questions posées de manière limitative afin de synthétiser les réponses en s’aidant d’un support (image, film…) sinon on a vite fait de partir en live. Et sous le prétexte que c’est incompréhensible par le commun des téléspectateurs on dira que c’est pour noyer le poisson.
Un truc pas mal ce serait un droit de réponse sous la même forme que l’émission originale mais le jeu en vaut-il la chandelle pour ceux qui sont mis en cause ? Je ne le crois pas car d’une part on accuserait celui qui répond d’être à la botte des lobbies et d’autre part il est bien connu que celui qui se défend est forcément coupable… puisqu’il a été accusé. Sans compter qu’on ne peut avoir de preuve de quelque chose qui n’existe pas. (cf l’émission de CI sur les ondes… à se tordre de rire).
Conclusions : Monsanto, MS&Co ont raison de ne pas s’abaisser à entrer dans ces débats. Monsanto fournit sur son site des réponses aux points généralement soulevés dans les medias.
Faut bien que ça serve, de temps en temps, d’être « la Grande Muette »!
Qui a écrit le « cahier des charges » de cet appel d’offre?
L’État-Major et ses conseillers informatiques ou le cabinet du ministre?
Décision stratégique ou politique?
Système informatique « général » ou doublé d’un intranet confidentiel?
Sont-ce de mauvaises questions?
Il y a pourtant une solution simple au problème. Y’a ka créer notre propre distribution nationale de Linux (ce qui, au demeurant, a déjà été fait). Et, histoire de garder la distribution a jour, ses dépendances, et tout l’écosystème, ne serait-ce que bureautique, qui va avec, augmenter le budget de la défense de quelques centaines de millions d’euros, en tout cas largement pçus que ce coute la licence globale crosoft.
Si madame Lucet voylait dénoncer un scandale, elle aurait mieux fait de s’en prendre à la politique de licences d’Oracle ou de Sap.
Super ! Tous sur le même système et comme ça avec une seule faille vous mettez toute l’administration par terre : CHECK !
C’est le cas avec Microsoft…
Parceque vous pensez vraiment que TOUS les ordinateurs de l’armée tournent sous Windows ?
Non il y a sûrement des serveurs sur Linux. Mais voilà le problème, il suffit d’une porte d’entrée, d’une attaque sophistiquée (genre privilege escalation + remote code execution) sur le maillon le plus faible de la chaîne pour être sur le réseau intérieur. Vous êtes ensuite certes sur le réseau avec des droits limités puisque les système de réseau se « méfient » les uns des autres, mais vous avez fait le plus dure, s’infiltrer dans la forteresse. A partir de là vous pouvez écouter discrètement les communications (je ne veux pas dire type « man in the middle », mais les différents broadcast) et lancer quelques probes pour en déduire la topologie du réseau, chercher les erreurs de configurations dans les protocoles utilisés sur l’intranet…
Pourquoi Windows ? Pour la bureautique…
Pourquoi voulez vous que les militaires se fassent du souci sur la norme des formats de fichiers de bureautique ?
Si vous ne prenez pas Microsoft, vous devez penser a prévenir vos partenaires du format, des outils compatibles, de multiplier les formats, tenir compte des incompatibilités des imprimantes, etc…
Quid de l’accessibilité de vos données dans quelques années ? Les logiciels permettant de les lires existeront-ils encore ?
Microsoft, c’est la solution de facilite.
Il est possible de répondre a ces questions, mais cela veut dire qu’il faut faire un choix stratégique long et couteux.
A moins d’avoir une bonne raison et surtout une bonne motivation, il est impossible d’aller contre le choix de Microsoft qui est l’équivalent de l’environnement naturel dans la théorie de l’évolution : Une pression.
Lucet ne s’attaque pas a la source du problème. Pour elle, c’est comme le communisme, ce sont les communistes le problème, pas l’idéologie.
« Si vous ne prenez pas Microsoft, vous devez penser a prévenir vos partenaires du format, des outils compatibles, de multiplier les formats, tenir compte des incompatibilités des imprimantes, etc… »
Le format ODF est aussi développé que le format Word et les protocoles pour communiquer avec les imprimantes sont standardisés… On est plus dans les années 90… Certaines administrations sont déjà passée à LibreOffice et/ou Ubuntu.
« Quid de l’accessibilité de vos données dans quelques années ? Les logiciels permettant de les lires existeront-ils encore ? »
Mais oui, ou voulez vous que soit passé le code source ?
« mais cela veut dire qu’il faut faire un choix stratégique long et couteux. »
Si vous n’êtes pas un power user bureautique, Libreoffice est très semblable à la suite Microsoft.
Je suis en désaccord avec cet article. Oui, Microsoft est un partenaire informatique comme un autre. Oui il y a tout autant de failles dans les logiciels libres. Oui, aucun logiciel n’est sûr à 100%. Oui, Microsoft réagit rapidement en corrigeant les failles détectées comme la plupart des gros acteurs informatique.
Deux choses cependant, on sait avec certitude que Microsoft est une des 1ères entreprises à collaborer avec la NSA. Même si rien ne prouve que Microsoft a sciemment cacher des portes dérobées (backdoors) dans ses logiciels, il est aussi très simple de communiquer les nouvelles failles trouvées en priorité au gouvernement américain. Cela laisserait facilement une avance constante au gouvernement américain. Cette piste semble très probable.
Deuxième chose : que le Ministère de l’Intérieur signe directement avec Microsoft Irlande sur le papier et que Bercy vienne pleurer en même temps comme quoi « l’optimisation fiscale c’est légal mais pas bien du tout… bouuuh les vilaines entreprises qui font ça ! », c’est clairement la honte et l’hypocrisie totale. Qu’ils ferment leur gueule !
Mouais, trop simple de se limiter à MS et ses outils phares Windows PC, serveurs et office. Etant donné que les moteurs de bases de données les plus courantes sont également américains, que les routeurs, pare-feux, sondes etc… majoritairement américains et maintenant chinois sont également nécessaires, ainsi que les antivirus et autres navigateurs et clients de messagerie, le débat est infini. Alcatel, dans ses belles années où il avait encore des usines en France, ne se gênait pas trop pour laisser quelques « ouvertures » dans son code. Et se rappeler l’entreprise qui vendait à Kadhafi des renifleurs de messagerie et internet. Bref, tous les outils nécessaires à faire communiquer des personnes par informatique sont pourris ou pourrissables. En sachant que l’attaque a toujours un temps d’avance sur la défense. Le moins mauvais est de bétonner avec un strict respect des règles (pas gagné même à la Défense) et une palanquée d’ingénieurs/techniciens pour suivre tout cela, de préférence correctement payés. Et là, notre Administration est très à la rue (voir les propositions de poste sur les sites d’emploi ou par réseau concernant la cybersécurité ou la cryptographie), ce qui évidemment ne peut qu’amener la double peine de trous permettant des fuites et de piou-piou avec des cuillères à café pour écoper. C’est là le drame…
« les antivirus »
La partie la plus hideuse de Windows. Les antivirus Windows sont littéralement un deuxième système d’exploitation sur votre ordinateur, ils s’ingèrent dans presque tout accès aux ressources de l’ordinateur…
Vous avez complètement raison. Limiter la cybersécurité à un simple débat Windows vs Linux, c’est oublier tout le reste d’une infrastructure. Les routeurs Cisco, Juniper, etc ne fonctionnent pas sous MS ou Linux!
La cybersécurité ce n’est pas qu’un Operating System!
C’est comme si vous disiez que la sécurité routière c’est juste le feu d’un passage piéton.
ou des radars… /me flies away 😀
je ne savais pas qu’il y avait encore autant de monde pour regarder la Tv et croire un instant que ce qui s’y dit a de l’intérêt !
Bonne conclusion.
Il y a un animateur TV dont le slogan est : « Et n’oubliez pas, la télé ce n’est que de la télé » … Bizarrement il ne s’est pas fait que des amis parmi les journalistes ou les bienpensants …
bah oui effectivement c’est effectivement pas du tout prudent ni malin de de la part de l’armée d’utiliser windows.
Il y à des gens payés à plein temps pour essayer d’avoir 5-6 failles d’avances sur cet OS là en priorités, en plus il est propriétaire donc on peut moins bien se prémunir. c’est vraiment pas l’idéale pour une armée.
On peut critiquer la partialité de l’équipe Lucet concernant ses thèmes, mais on ne peut pas dire qu’elle ignore son propre potentiel de dérangement. Les vagues d’indignation collective qu’elle soulève sont presqu’à chaque fois des monstres. Peu d’émissions jouent aussi terriblement du populisme et mettent aussi précisément l’objectif là ou le peuple a mal. Ceci n’a évidemment rien à voir avec la justice. Plutôt la religion. Elle aurait pu dire que l’armée a choisit Ford pour ses véhicules tout terrains ou que la police ne commande plus ses nuisettes chez Armor lux … mais elle choisit de parler de ce virus amerloque qui envahit la retraite la plus sacrée de Superdupont… le pecnot de base a sûrement ce même OS Windows qui tourne dans son salon d’ailleurs (et souffre quelques dizaines de virus non identifiés récupérés au hasard des clics). Etant sur la télé publique elle peut quand même pas parler du gibier de potence qui assaille la police dans sa voiture et répond à des patronymes aux consonances pas bien française – comme dirait Alexandre Zemmour… Mais les gens qui regardent, ils comprennent quand même: ça les indigne par projection. Faut aussi arrêter le complotisme: même si officiellement elle est de gauche, une telle puissance médiatique ne se laisse pas complètement réduire à l’affiliation politique. Avant de parler de la déchéance de nationalité (thème de gauche) l’odieuse Elise se réjouit toujours de pouvoir nous mettre le nez dans notre propre …volonté de défendre ce que nous sommes. Français? Européens? Occidentaux? Ecolos-socialistes? Devant tous ces vagues concept intellectuels, c’est l’indignation qui nous réunira toujours le plus efficacement. Cash Investigation ont encore des beaux jours devant eux.
Ça ne veut rien dire, si tu racontes n’importe quoi les vagues d’indignation sont tout aussi importantes.
La plupart des libéraux ici ont très bien compris le rasoir d’Hanlon « Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »
Je crois pour ma part aux balanciers, assaillis par des messages anxiogènes et des vagues d’indignations toute la journée, la jeunesse réagis de moins en moins et devient de plus en plus cynique si ce n’est critique.
L’auteur Thierry Berthier avance une fausse démonstration (cqfd) qui n’est pas faite dans l’émission puis utilise sa fausse démonstration qu’il attribue aux auteurs du reportage pour critiquer l’émission. Le procédé est … comment dire … quelque peu malhonnête.
« puisque la manipulation fonctionne sur l’ordinateur doté de Windows de mon collègue journaliste (qui, au demeurant, a le clic facile et l’antivirus laxiste), c’est qu’elle fonctionne également avec l’ensemble du parc informatique relevant du Ministère de la Défense (cqfd) »
Des experts, les armées françaises sont capables d’en former; les mécaniciens sur aéronefs sont un bon exemple.
Une formation à l’informatique aussi sérieuse et approfondie que ses autres spécialités pourrait permettre de s’ouvrir à un domaine qu’elle délègue à une entreprise américaine.
La solution évoquée dans le reportage, trouvée par notre gendarmerie nationale sous ubuntu, est une alternative qui permet d’éviter le prix des licences Windows et l’aide de la communauté Gnu/Linux.
Le reportage évoque une facture énorme et un manque évident de sécurisation, un comble pour nos armées, qui ont longtemps assuré leurs communications chiffrées avec rigueur afin d’en avoir le contrôle et qui maintenant donnent l’impression de faire le contraire alors qu’un rapport interne déconseillait de choisir Microsoft …
Pour planter le dernier clou dans le couvercle du cercueil ?
Avalanche de Kevin-Linux évidemment 🙂
-Linux n’est pas utilisé par le grand public (1,93%), il y a beaucoup moins de Lucette & Robert qui cliquent sur n’importe quoi.
-Les serveurs Linux sont administrés, la plupart du temps, par des gens qui s’y connaissent (j’en ai eu pendant 7 ans)
-83% des failles viennent des applications. Sur un serveur il n’y a pas de navigateur/media, pas de jeux, pas de bureautique, pas de flash player etc.
Malgré cela le nombre de failles de l’OS est aussi important selon le National Vulnerability Database (NVD): sur un an:
Linux kernel – 238 failles, dont 24 critiques et 74 médiums
Windows 7 – 72 failles, dont 25 critiques et 11 médiums
OS X – 294 failles, dont 64 critiques et 67 médiums
SophosLabs a reporté une moyenne de 16’000 à 24’000 serveurs Linux compromis par jour.
Bref…
Le reportage était effectivement une grosse bouse faite par de parfaits
journalistesignorants qui n’ont pas cru utile de faire la moindre recherche ni de faire appel à des spécialistes avant de raconter n’importe quoi. Même le meilleurs système du monde aura une sécurité lamentable s’il est géré par des incompétents.Les bonnes questions étaient: sur quelles données travaillent ces posts avec quelles applications/limitations comment sont formés les utilisateurs, comment sont géré leurs accréditations, comment sont sécurisées les entrées/sorties (réseaux, hardware, périphériques) etc., etc.
Autant d’occasions manquées d’être pertinent pour une fois « …trop comment qu’ils utilisent windaube de micro$$oft »
Pour moi tu t’es totalement hors sujet. L’idée du reportage n’était pas de démontrer que windows était le pire OS du monde mais plutôt de faire prendre conscience que certaines failles ont volontairement laissé dans le système afin qu’un Etat puisse les utiliser en cas de besoin.
Certes linux est bugué et selon moi difficilement administrable en workstation ( donc contraire a la notion de sécurité info ) mais il a le mérite d’être open-source.
Pas d’avalanche de Kevin-Linux ni d’acharnement sur « M$ » dans le reportage ?
Certes, ce violon ne tient plus l’accord mais il a l’avantage d’être en bois !??
Bon, après avoir bien dormi j’ai l’esprit plus clair.
J’admet que windows est un système dangereux pour nos administrations, sans le comparer à Gnu/Linux, mais juste intrinsèquement.
Je déteste Linux et ses utilisateurs, ces barbus qui croient s’en être sortis grace à ce système.
J’aime tellement Windows que je m’enflamme bêtement dès qu’on ose y toucher …
Usurpation très amusante, mais tout à fait révélatrice de la maturité qui règne dans cette communauté 🙂
C’est la configuration et tout l’environnement autour d’un OS qui font la sécurité gamin.
On a de la barbe à ton âge ?
Je déteste surtout les ignorants qui racontent n’importe quoi.
Pourquoi détestez vous les linuxiens ? vous avez étez mordu plus jeune par un terminal bash plus jeune ? Nous sommes sommes pas sortis du » système » , nous sommes le » système » , la période rebellz est passé depuis longtemps ,il n y a plus que les fanzouse qui découvres les systèmes libre gratuits et ouvert via Ubutnu qui » pense » encore comme cela . Vous aimez Microsoft Windows , grand bien vous fasse , mais limitez vos apriori ridicule à souhait au bistrot que vous fréquentez
Les commentaires sont fermés.