Cyber FBI...aïe aïe aïe !

(https://twitter.com/FBI/status/815584098676674560)

Si la critique est facile, il convient dans certains cas d'en saluer la nécessité salutaire de la prononcer. Autant pour permettre à celui ou à celle qui en est la victime de prendre conscience de ses possibles limites. Mais aussi, d'une certaine manière, pour pourfendre donneurs de leçons et gardiens de la morale pour qui le devoir d'exemplarité s'applique surtout aux autres. Prenons par exemple le FBI, cette légendaire agence fédérale étasunienne qui traque les criminels et qui eut à sa tête durant près de 37 ans un directeur qui fit trembler tout le système politique de son époque. Y compris jusqu'à la Maison Blanche. Mais soyons indulgent et, du passé, faisons table rase. Pour arriver à ces derniers jours où deux faits ridicules, et sans doute anodins pour le commun des mortels, se révèlent tout simplement affligeants.

Le premier d'entre eux est directement lié au "vrai-faux" piratage du "grizzly dans la steppe" c'est à dire la géniale incroyable lâche cyberattaque orchestrée par les services secrets russes qui aurait permis à Donald Trump de s'installer dans le fauteuil de président des USA pour les quatre prochaines années. L'enquête magistrale et éclair [1] effectuée par le DHS et le FBI a permis de produire un rapport totalement abracadabrantesque qui, soyons franc, provoquent de nombreux fous rires dans une partie de la communauté cyber, plutôt réputée pour sa discrétion et une prudence de sioux. A l'inverse d'une autre partie, mais je me comprends. [2]

Le second fait, sans lien apparent avec le premier, concerne l'exploitation d'une vulnérabilité 0day sur l'un des sites du FBI. "Manque de chance" pourrait-on penser, cela peut arriver aux (presque) meilleurs qui en seront quitte d'une belle frayeur s'ils ont bien pensé à respecter l'alpha de la cybersécurité c'est à dire la défense en profondeur [3]. Là où l'affaire se corse, c'est que l'attaquant, par ailleurs connu pour d'autres exploits  [4] a fait savoir qu'il avait p0wné l'un des sites du FBI dont l'administrateur est un inconscient incompétent paresseux. Et il a parfaitement raison ! Pour en juger, voici ce que Cyberzeist a trouvé : des fichiers de sauvegardes (en clair) sur le dossier racine du site et, probablement plus grave, "155 identités, mails, mots de passe chiffrés (SHA1, sel SHA1) d’agents du FBI." [5]

Devant tant de bêtise d'une part et d'amateurisme de l'autre, il est évidemment tentant de suggérer quelques axes de réflexion au FBI. Des choses toutes simples et frappées au coin du bon sens comme, par exemple, s'appuyer sur les experts et spécialistes du domaine [6]. Ou encore s'inspirer de sept principes en cybersécurité à garder à l'esprit en 2017. Voire d'un huitième qui commence par un "a" et finit par "ttribution". [7]

[1] http://dailycaller.com/2017/01/02/tech-company-casts-doubt-on-dhsfbi-russian-hacking-report/

[2] http://si-vis.blogspot.fr/2016/03/cyberattaques-les-papillons-de-nuit-les.html

[3] http://si-vis.blogspot.fr/2012/05/fondamentaux-de-la-securite-et-defense.html

[4] http://www.silicon.fr/le-site-du-fbi-victime-dune-faille-zero-day-166326.html

[5] https://www.zataz.com/lo4fer-fbi/

[6] http://si-vis.blogspot.fr/2011/09/entreprises-les-conseils-dun-ex-hacker_13.html

[7] "l'attribution les gars, l'attribution !" (piège à ... ?)