Liste arts de la rue

Archives de la liste Aide


[rue] Les mails des eurodéputés ont été piratés par un hacker


Chronologique Discussions 
  • From: claude giordano < >
  • To: Liste Rue < >
  • Subject: [rue] Les mails des eurodéputés ont été piratés par un hacker
  • Date: Fri, 22 Nov 2013 05:00:13 +0100

Ce n'est pas une surprise, mais ce sujet qu'est la scurit numrique, devrait tre au centre des dbats. 

Et les unes des mdias nous occupent en commentant dans le vide un fait d'"hivers"…


Les mails des eurodputs ont t pirats par un hacker

|  Par Jrme Hourdeaux

Des dizaines de milliers de mails et de donnes personnelles : un hacker a pntr les messageries des dputs europens pour faire la dmonstration des immenses failles dans la scurit informatique de l'institution. Il met en cause le choix de Microsoft qui quipe le Parlement et les  comportements catastrophiques  des lus. Malgr le scandale de la NSA, bon nombre d'institutions restent des passoires.

Des dizaines de milliers de mails, des documents confidentiels, des carnets d'adresses, des agendas, des correspondances professionnelles mais aussi prives... Le Parlement europen va devoir changer radicalement son systme de scurisation des messageries de l’ensemble des dputs europens. Car la dmonstration vient d'tre faite, par un hacker, de la fragilit de la scurit des serveurs de mails au sein du Parlement.

Mediapart a ainsi pu constater que ce hacker a eu accs, ces derniers mois et de manire rgulire,  l’ensemble des mails reus par les 14 dputs, assistants parlementaires et employs europens qu'il avait slectionns de manire alatoire pour les besoins de sa dmonstration, aprs avoir russi entrer dans le logiciel de messagerie Microsoft Exchange utilis par le Parlement. Il s'agit des dputs :
Markus Pieper (Allemagne, PPE/CDU),
Jean-Jacob Bicep (France, Verts),
Maurice Ponga (France, UMP),
Constance Le Grip (France, UMP),
Ana Gomes (Portugal, Socialiste),
Aldo Patriciello (Italie, Le Peuple de la libert).

Les assistants parlementaires sont :
Sonia La Rouahbi et Melanie Vogel (Jean-Jacob Bicep)
Ivan Forte (Aldo Patriciello),
Alexandra Carreira (Ana Gomes),
Perrine Orosco (Mauric Ponga).

La collaboratrice d'un groupe politique est : 
Cline Bayer (Socialistes et dmocrates).

Enfin, les deux employs du Parlement travaillant pour les services informatiques et scurit sont :
Dimitrios Symeondis,
Antonio Inclan.

 C’tait un jeu d’enfant , affirme Mediapart l’intress.  Avec un ordinateur portable bas de gamme quip du wifi et quelques connaissances que tout le monde est capable de trouver sur internet, n’importe qui est capable de faire la mme chose.  Le  pirate  n’a eu qu’ s’installer dans un lieu public proche du parlement de Strasbourg, porte des dputs, puis lancer sa machine. Seule partie un peu technique,  il faut ensuite s’arranger pour que les tlphones portables des gens se trouvant porte passent par le wifi de mon ordinateur pour se connecter internet .

 partir de l, la rcupration des donnes est d’une simplicit dconcertante. Une bonne partie des smartphones de nos lus europens sont en effet quips d’une application de Microsoft dnomm  Active Sync  qui, rgulirement, se connecte aux serveurs mails du Parlement pour vrifier si l’utilisateur a reu de nouveaux messages. Or, dans cette application, sont enregistrs ses identifiants et mots de passe. En cas de problme, et notamment de tentative d’intrusion, le tlphone affiche alors un message abscons,  sur lequel la plupart des gens appuient sur OK sans mme l’avoir lu , explique le hacker.  Ce qui permet l’ordinateur portable qui est au milieu de dchiffrer les communications son niveau, avant de les re-chiffrer et de les envoyer au vrai serveur. 

Concrtement, en s’interposant entre le tlphone portable et le serveur de Microsoft Exchange, l’attaquant rcupre les identifiants et mots de passe de toutes les personnes vises, lui offrant ainsi l’accs l’ensemble de leur compte, c’est--dire l’ensemble des mails reus et envoys, les agendas personnels et,  avec un peu d’effort , les fichiers ventuellement stocks sur des comptes personnels au sein du rseau du parlement europen.

Grce cette mthode, ce sont donc un ensemble de donnes particulirement sensibles qui se retrouvent la porte de  presque n’importe qui … L’un des aspects les plus inquitants de ce piratage vient peut-tre, outre sa simplicit, du fait qu’il s’attaque aux tlphones portables des personnes utilisant un point d’accs wifi. Il peut donc s’oprer depuis n’importe o. Que les dputs soient Strasbourg, en Chine o Washington, il suffit de s’installer proximit avec un ordinateur, d’attendre que certains commettent l’imprudence de cliquer sur  OK  lorsque le message s’affiche, et l’intrus accde toutes leurs donnes.

Mediapart a constat que le hacker s’est limit aux dossiers  messages reus  de 14 dputs, assistants parlementaires et employs du parlement europen. Il n’a copi aucun des autres dossiers et informations personnelles. Son intention tait avant tout de dlivrer, par l’exemple, un message politique en faisant de la question de la scurit informatique un enjeu central des futures lections europennes.

 D’un ct, il y a les citoyens qui, aujourd’hui, ne savent quasiment rien de ce qui se passe dans les coulisses de ces institutions, des liens entre le monde politique et conomique... Et de l’autre, nous avons des agences de renseignements quasiment omniscientes qui, grce leur espionnage, peuvent dcider de l’avenir d’un homme politique ou influer sur des dcisions , explique-t-il.  Si, avec du matriel aussi ridicule, il est possible de s’immiscer dans le rseau de communication de responsables politiques chargs de dcider de la politique europenne, que faut-il penser de notre processus dmocratique ? Ce sont ses bases mmes qui sont remises en cause. 

Malgr la multiplication des rvlations sur l’espionnage mondial pratiqu par les tats-Unis, nos responsables politiques n’auraient pas encore pris conscience de l’ampleur du problme.  J’ai l’impression de voir des pantins , affirme le hacker qui explique avoir voulu  les secouer un peu  pour  amliorer la prise de conscience  et,  qui sait, amliorer les choses pour le prochain mandat . Outre les  comportements catastrophiques  en matire de scurit de certains lus, il dnonce galement le choix de Microsoft comme sous-traitant, qui rend  quasi impossible le chiffrement des messages en raison d’un systme propritaire excluant les logiciels standard .


Services multiples et sans protection

La rvlation de ce piratage tombe un moment particulirement sensible pour le parlement europen qui, depuis plusieurs semaines, multiplie les auditions dans le cadre de son enqute  sur la surveillance de masse de la NSA , et la complicit des entreprises amricaines, dvoiles par Edward Snowden.

Ainsi, lundi 11 novembre, le comit LIBE (Liberts civiles, justice et affaires intrieures) auditionnait des reprsentants de Google, Facebook et Microsoft pour entendre leurs explications sur, notamment, de nouveaux documents publis par l’ex-employ de la NSA. Le 30 octobre dernier, le Washington Post a en effet rvl l’existence d’un programme de la NSA baptis MUSCULAR lui permettant d’intercepter les informations circulant entre les  data centers , ces entrepts hbergeant les serveurs o sont stockes les donnes des utilisateurs, de Google et de Yahoo. Ce systme de collecte permet l’agence d’accder directement, chaque jour, plusieurs millions de donnes de toutes sortes.

Reuters

Lors de ces auditions, le dput europen Claude Moraes a voulu interroger Dorothee Belz, vice-prsidente de Microsoft charge des affaires juridiques, sur les mesures de scurit mises en place par le gant du logiciel pour protger les donnes stockes sur ses serveurs.  Ce que je peux dire aujourd’hui, c’est que le transport de serveur serveur n’est gnralement pas chiffr , a admis Dorothee Belz.  C’est pourquoi nous sommes actuellement en train de revoir notre systme de scurit.  En thorie, ce sont ainsi les donnes changes entre n’importe lequel des multiples services proposs par Microsoft, de Outlook Hotmail en passant par le Xbox Live, qui circulent sans protection.

Ce n’est pas la premire fois que la scurit des produits du gant amricain et leur utilisation par des institutions publiques sont remises en cause. Cela fait mme de nombreuses annes qu’associations et experts s’insurgent contre le manque de vigilance des responsables politiques vis--vis de Microsoft, entreprise rgulirement accuse de laisser dans ses logiciels des  backdoors , c’est--dire des vulnrabilits pouvant offrir un accs cach.

 Choisir Microsoft, cela revient tout simplement offrir les clefs aux Amricains , assne ric Filiol, expert en scurit informatique et ancien cryptanalyste au sein de la DGSE.  En plein scandale Prism, nous ne pouvons pas nous offusquer de ce que les Amricains nous espionnent tout en utilisant les outils de l’ennemi , explique-t-il.  Si par exemple vous prenez Skype, qui appartient Microsoft, vous le faites de France. Mais leurs serveurs, eux, sont bass aux tats-Unis. Donc si la NSA veut avoir accs telle ou telle conversation, il leur suffit d’en faire la demande et Microsoft, en vertu du Patriot Act, a l’obligation de leur fournir les clefs. De plus, on sait que techniquement, il y a des choses caches. Ce sont des botes noires, et en plus des botes noires lgales. 

Il existe toute une littrature ancienne sur ces fameux  backdoors  que les autorits amricaines imposeraient leurs entreprises nationales afin de s’assurer un accs sur les produits vendus l’tranger. Le parlement franais s’tait lui-mme pench sur la question ds 2001, l’occasion d’un rapport d’information de la commission de la dfense sur  Echelon , un autre programme de surveillance mondiale de la NSA ayant lui aussi fait scandale la fin des annes 1990. Le rapporteur, Arthur Paecht, y explique notamment que des  spcialistes de la DGA (ndlr - Direction gnrale des armes) qui travaillent au centre lectronique de l’armement (CELAR) Rennes  lui  ont fait la dmonstration (…) de l’existence de failles ou de fonctions caches dans certains logiciels .

 Depuis de nombreuses annes, ces failles technologiques sont dnonces par des chercheurs ou des spcialistes , crivait le rapporteur.  Elles sont d’autant plus redoutables qu’elles manent de produits d’origine amricaine qui reprsentent prs de 80 % du march mondial.  Face aux dmentis de Microsoft, Arthur Paecht affirme que  leur existence aurait cependant t confirme au gouvernement franais dans un rapport "Scurit des systmes d’information : dpendance et vulnrabilit ", de l’amiral Jean Marguin command par la Dlgation aux affaires stratgiques (DAS) du ministre de la dfense et remis dbut fvrier 2000 .

Avec de tels avertissements, on peut s’tonner que les administrations publiques, qu’elles soient franaises ou europennes, aient depuis continu, rgulirement, choisir Microsoft. Surtout lorsque l’on sait que parmi les membres de la commission de la dfense ayant enqut sur le scandale Echelon, figuraient Jean-Yves Le Drian, Jean-Marc Ayrault et Franois Hollande, respectivement actuels ministre de la dfense, premier ministre et prsident de la Rpublique.


Plusieurs ministres franais

Le parlement europen est loin d’tre la seule administration avoir dcid de faire confiance Microsoft. La Commission europenne, qui s’tait pourtant engage favoriser les logiciels libres, c’est--dire ouverts et ne dpendant d’aucune entreprise, est elle aussi quipe de logiciels de la socit fonde par Bill Gates, et ce depuis 1993. Ce contrat, portant sur 36 000 postes, a t encore renouvel au mois de septembre 2011, sans appel d’offres ni mise en concurrence.

Et la France n’est pas en reste. Rgulirement, des institutions, souvent parmi les plus sensibles, dcident encore de confier tout ou partie de leur parc informatique Microsoft. L’exemple le plus marquant est sans doute celui du ministre de la dfense.

En 2008, le site PC INpact rvlait ainsi que la socit avait propos au moins deux ministres franais un contrat dit  open bar , c’est--dire dans le cadre duquel un droit d’usage portant sur une srie de logiciels est accord pour une dure de quatre ans un certain nombre d’ordinateurs en change d’un montant forfaitaire de 100 euros hors taxes par poste. Le contrat, que Mediapart a pu consulter (voir ci-contre), a t sign par le ministre de la dfense en Irlande le 24 fvrier 2009, sans qu’aucun appel d’offres n’ait t pass. Il concerne au total 188 500 postes de travail, soit un montant total de prs de 19 millions d’euros.

La rvlation de cet accord cadre avait provoqu la colre des associations de promotion du logiciel libre. En 2010, l’Aful (Association francophone des utilisateurs de logiciels libres) avait crit aux parlementaires pour faire part de ses inquitudes.  Est-il stratgiquement sage de donner une socit trangre la main sur l’intgralit des systmes d’information du ministre de la dfense, indispensables l’exercice de ses missions ?  s’interrogeait notamment l’association.

De son ct, l’April (Association pour la promotion et la recherche en informatique libre) avait dpos une demande de communication de documents administratifs auprs de la Cada (Commission d’accs aux documents administratifs) qui a finalement abouti au mois d’octobre dernier. L’association a obtenu trois documents retraant le processus ayant conduit la signature du contrat. Or ceux-ci montrent que le choix de Microsoft tait loin de faire consensus au sein de l’arme franaise.

Ainsi, dans un rapport de 2008, un groupe d’experts estimait que  compte tenu des risques levs et du surcot par rapport la situation actuelle, le groupe de travail dconseille la contractualisation sous forme de contrat global sauf la limiter au primtre de la bureautique . Selon l’April,  ces documents montrent que le choix d’un contrat open bar fait bien suite une dcision politique qui a visiblement t prise en amont des tudes sur la faisabilit et les risques .

 Quand j’ai appris l’existence de ce contrat, en tant qu’ancien militaire, j’ai bondi , raconte ric Filiol.  Comme je l’ai crit ce moment-l : il y a plusieurs faons de trahir son pays, en voil une. Il n’y a mme plus besoin d’espionner, mme plus besoin de Prism : nous leur offrons nos donnes. Aux tats-Unis par exemple, il est interdit pour les administrations d’utiliser des technologies qui ne soient pas amricaines. 

Reste savoir pourquoi, dans ces conditions, les responsables politiques continuent placer des rseaux aussi sensibles entre les mains d’une socit aussi conteste.  Il y a tout d’abord le poids norme des lobbys , tmoigne Isabelle Attard, dpute EELV l’Assemble nationale, particulirement mobilise pour la dfense du logiciel libre. Microsoft est en effet connu pour organiser de nombreux petits-djeuners et prsentations l’intention d’lus et de dcideurs politiques.  Au dbut de ce mandat, j’ai moi-mme t invite par Microsoft, dans l’un de leurs "show-rooms" , raconte Isabelle Attard.

Ensuite, poursuit l’lue,  il y a une totale mconnaissance de ces problmatiques par les dcideurs politiques .  Quand nous voquons ces sujets, la plupart de nos collgues ne nous prennent pas au srieux, ou n'en voient pas l’intrt. On me dit "Isabelle, tu exagres…", voire "Tu es parano", mme sur les bancs socialistes. Nous avons rcemment essay de recenser les lus qui se sentaient concerns, et nous n’avons trouv que 10-12 dputs, tous bords confondus. 

En France, pourtant, le premier ministre Jean-Marc Ayrault a sign, le 19 septembre 2012, une circulaire fixant des  orientations pour l’usage des logiciels libres dans l’administration . Au mois de mai dernier, Isabelle Attard a dpos au total 37 questions crites, une pour chaque ministre du gouvernement, afin de savoir comment ces consignes taient appliques.  ce jour, seuls 11 ont rpondu.  Malheureusement, peu d’entre eux semblent avoir compris l’importance de ce choix pour la scurit , regrette Isabelle Attard.

 Aujourd’hui, beaucoup d’administrations sont dpendantes d’une entreprise , poursuit la dpute,  alors que le logiciel libre, c’est l’indpendance, la durabilit et la scurit .  Les pouvoirs publics sont financs par nos impts et le logiciel libre devrait tre un des aspects du service public , insiste de son ct Frdric Couchet, dlgu gnral de l’April.  J’espre que ce sera un des thmes des lections europennes. Mais malheureusement, le numrique n’est pas vu comme un enjeu de socit. On a l’impression que, malgr tout ce qui est rvl, ils s’en foutent… 

Contact par Mediapart, le service de presse du parlement europen n'a pas souhait ragir dans l'immdiat, prfrant attendre la publication de notre article.



  • [rue] Les mails des eurodéputés ont été piratés par un hacker, claude giordano, 22/11/2013

Archives gérées par MHonArc 2.6.19+.

Top of page