L’attaque à la clef anglaise

Deuxième volet d’une introduction à des principes fondamentaux. Dans mon billet précédent, je mettais l’emphase sur le poids de l’erreur humaine. La sécurisation technologique court-circuitée par la faiblesse de l’individu.

Et l’individu en question c’est très souvent nous-mêmes. Il est donc important de savoir de quoi il en retourne et de prendre (et garder) les bonnes habitudes dès le début.

Vulnérable là où ça fait mal

Penchons-nous sur un exemple qui illustre parfaitement la base des risques auxquels on est confronté.

Il s’agit de la désormais fameuse “$5 wrench attack”, l’attaque à la clef anglaise bon marché, illustrée par une bande dessinée du site xkcd qui en a immortalisé la simplicité.

Une des fausses idées reçues sur la sécurité informatique, c’est que plus une technologie est complexe, plus elle nous protégera infailliblement. En réalité, l’humain (faut-il encore le répéter?) est souvent son propre maillon faible de vulnérabilité. Quel que soit le degré de sécurité technologique derrière lequel il croit s’abriter.

Dans cette bande dessinée, un utilisateur se réjouit d’être bien en sécurité derrière un mot de passe très compliqué donc très sûr, qui nécessiterait des moyens immenses pour quiconque voudrait le forcer. En parallèle, on voit les voleurs envisager un moyen beaucoup plus radical de franchir ce mot de passe: frapper l’utilisateur avec une clef anglaise valant 5 dollars, jusqu’à ce que celui-ci leur révèle son mot de passe.

Source: xkcd.com

Derrière l’humour, on comprend aisément que les moyens mis en œuvre pour un tel plan sont en réalité proportionnels à la faiblesse de l’utilisateur détenant le mot de passe, plutôt qu’à la force du mot de passe lui-même.

Retour en arrière

Nous savons que nous ne sommes pas à l’abri d’un vol dans une ruelle sombre ou par un pickpocket dans une foule. C’est pourquoi nous avons appris à ne pas transporter sur nous des fortunes.

Le pickpocket n’a pas accès à nos économies, que nous gardons bien en sécurité derrière un mot de passe, sur notre compte en banque.

Ce tiers de confiance nous protège des voleurs directement et indirectement, ce qui réduit considérablement le risque de se faire attaquer. C’est parce que nos économies ne sont pas directement à notre portée, mais placés sous la protection de la banque et que nous n’y avons nous-mêmes accès qu’avec la permission de celle-ci.

Sécurité additionnelle contre une attaque frontale à la clef anglaise, il n’est pas non plus inhabituel qu’un service de e-banking nécessite des vérifications additionnelles pour tout nouveau destinataire non-identifié précédemment, ou pour un montant au dessus d’une certaine limite par exemple.

En réalité, ce n’est pas le mot de passe qui protège nos économies. C’est le manque de contrôle que nous avons sur elles. Les banques nous protègent de nous-mêmes.

Chat et souris

Les anciens modèles ont changé, et dans cette évolution même le mot de passe qui avait remplacé la clef physique commence lui aussi à devenir obsolète.

De nouvelles techniques et technologies sont à leur tour développées, et le cycle continue. Par exemple, pour beaucoup de sites web sensibles, le seul mot de passe ne suffit plus, et l’utilisateur doit désormais utiliser un logiciel externe qui génère une clef supplémentaire, limitée dans le temps, qui permet de l’identifier. Ou alors le site envoie cette clef par SMS sur le téléphone de l’utilisateur.

Ces manipulations supplémentaires compliquent nos habitudes, et paradoxalement, plus de complications a souvent pour effet de rajouter de nouvelles failles potentielles…

Aux États-Unis, de nombreux cas de vols ont eu lieu à cause de portages de numéro par des opérateurs téléphoniques peu consciencieux. Le voleur appelle l’opérateur en se faisant passer pour sa victime, prétend avoir perdu ou s’être fait volé son appareil téléphonique, et demande que le numéro soit transféré vers une nouvelle carte SIM en sa possession. L’opération est très rapide et permet ensuite au voleur de se faire passer pour sa victime, et vérifie via SMS l’accès aux comptes, mais aussi la réinitialisation des mots de passe de son choix.

La vulnérabilité est ici l’employé (mal formé à la sécurité) voulant bien faire et croyant rendre service à un client, et sa direction qui n’a pas mis les bonnes procédures en place, pour des questions pratiques et de confort. La vérification par SMS n’est pas une sécurité supplémentaire pour l’utilisateur, mais plutôt déléguer sa sécurité existante à un tiers qui ne sait pas la protéger.

Tout se complique. Les failles se multiplient. Et pourtant on n’a toujours pas résolu le problème de la clef anglaise à 5 dollars.

Notre propre banque?

Depuis Bitcoin, la situation se complique même davantage. On redécouvre des transactions directes, sans tiers ni intermédiaire, similaires au cash. Et on prend conscience que cette liberté à un prix: notre responsabilité.

Nous sommes désormais conscients de notre souveraineté et du poids qui y est attaché. Nous revoilà dans la ruelle sombre, alors que nous étions encore en train d’essayer d’apprendre à gérer les avancées rapides de la numérisation de notre ancien monde. Maintenant, il nous faut en plus apprendre à protéger nos propres fonds.

Nous devons apprendre à concevoir Bitcoin et les cryptomonnaies non pas comme l’extension d’un compte en banque, mais plutôt comme un portefeuille contenant du cash. Et adapter nos comportements en conséquence.

Bien sûr, tout n’est pas cataclysmique, et des technologies très efficaces sont déjà développées ou en cours de l’être. Par exemple les fonctionnalités de multi-signatures qui empêche un utilisateur de faire un transfert seul, et oblige celui-ci à obtenir la confirmation d’un ou plusieurs acteurs alliés dont le nombre est prédéfini. Les possibilités sont diverses, et plusieurs prestataires offrent déjà ce genre de services.

Charité bien ordonnée

L’écosystème de technologies et de services va continuer à évoluer, grandir et se perfectionner. Mais la problématique fondamentale de l’attaque à la clef anglaise ne disparaîtra pas pour autant.

Il n’y a pas de miracle. Pas de panacée non plus. Nous devons réapprendre à être sur nos gardes vis-à-vis de nous-mêmes et de l’inconnu. Entraîner les bons réflexes, et nous poser les bonnes questions.

Par exemple: “Est-ce que je sais vraiment si cette app gratuite rigolote n’est pas un logiciel espion (spyware) servant à me dépouiller?”

Une fois que je l’ai installé sur mon smartphone, elle a accès au presse-papiers. “Est-ce alors vraiment une bonne idée de copier-coller mes clefs privées et mes mots de passe, si n’importe quelle app peut les intercepter?”

Elle m’a demandé accès à mes photos et mes contacts. “Est-ce prudent de prendre des photos de mes clefs privées et mes mots de passe, ou de les sauvegarder en clair dans mon carnet d’adresse?”

Plus généralement: “Devrais-je éviter d’installer des apps gadgets potentiellement dangereuses sur le même appareil que j’utilise pour mes informations sensibles?”

Vieux pots, meilleure soupe

Peut-être n’est-ce pas une mauvaise idée de revenir à des méthodes analogiques qui ont fait leur preuves, pour protéger et cloisonner nos données numériques. Préférer le papier pour des notes secrètes par exemple.

C’est ce que font les services secrets et le ministère de la Défense russes depuis quelques années, suite aux révélations d’Edward Snowden et scandales de WikiLeaks, en recommençant à utiliser des machines à écrire pour leurs documents secrets.

À titre individuel aussi, il vaut parfois mieux faire preuve de bon sens, et se reposer sur des anciennes recettes éprouvées. Ne pas se précipiter dans le “tout numérique” alors que l’on n’en maîtrise qu’une petite partie. Prendre un peu de recul afin d’appréhender sereinement et sainement, non seulement ces nouveaux mondes, mais également les anciennes réalités comme justement celle de la clef anglaise.

Cryptomonnaies: Pas de panique…

L’arrivée de nouvelles technologies apporte avec elles leurs lots de nouveaux dangers. Tout va trop vite, on s’y perd, on angoisse… La hi-tech fait souvent peur quand on ne la maîtrise pas. Certains profitent de la confusion.

En février 2016, des hackers ont braqué numériquement la Federal Reserve Bank de New York à travers le réseau interbancaire SWIFT. Ils y ont passé des instructions de transferts pour un total de près d’un milliard (!) de dollars US provenant du compte de la Banque Centrale du Bangladesh.

Par chance, une simple faute d’orthographe dans le nom d’un destinataire des fonds détournés permit à une des banques intermédiaires de repérer l’anomalie et d’interrompre l’attaque. En final, seuls 5 des 35 ordres furent exécutés et une partie des fonds a même pu être récupérée, mais les braqueurs ont finalement disparu avec US$ 63 millions.

Faiblesse humaine

Était-ce un problème dû à la technologie du dollar US ou du réseau informatique SWIFT utilisé par les plus grandes banques de la planète depuis les années 1970?

En réalité, c’était une erreur humaine. La Federal of New York n’avait pas de système de détection en direct des abus, et se reposait sur des vérifications ponctuelles opérées aléatoirement, après que les paiements aient eu lieu. Une mauvaise compréhension des risques et de la gestion du système.

Même sans être experts en cyber-sécurité bancaire, les lectrices et lecteurs de ce billet seront sans doute étonnés par un tel manque de préparation. C’est d’autant plus incompréhensible que cette incompétence vient d’un acteur majeur dont on attendrait une rigueur et une expertise irréprochable.

“L’erreur est humaine.” Mais à ce stade, c’est presque équivalent à un mot de passe écrit sur un Post-it collé à la vue de tous sur l’écran de l’ordinateur. Cette technologie n’est ni trop compliquée à comprendre ni trop difficile à implémenter. L’informatique n’est même pas en cause, car la faille de vulnérabilité, le maillon faible, c’est le manque de rigueur des humains en charge du système.

Les exemples de cas similaires ne manquent pas, et une règle basique qui s’applique un peu partout en informatiques, et à laquelle les cryptomonnaies n’échappent donc pas, c’est que ce ne sont que rarement des problèmes dus à la technologie.

Malheureusement, l’humain qui doit gérer ces technologies au quotidien c’est souvent vous et moi, à la fois attirés par leur merveilleuse utilité, mais effrayés par notre manque de connaissances qui pourrait nous rend vulnérable.

Et justement, parmi ces nouveaux mondes obscures dont les scandales et les excès nous captivent et font les gros titres, on retrouve régulièrement Bitcoin, la Blockchain, et les cryptomonnaies.

Bienvenue chez vous

Voici donc une nouvelle colonne pour traiter de la face sombre de l’univers des cryptoactifs en tout genre et de l’ambiance “Far West” dans laquelle évoluent toutes sortes d’individus qui ne vous veulent pas que du bien.

Dans cette rubrique, j’illustrerai avec des exemples concrets un panorama des différentes malhonnêtetés auxquelles on peut être confronté dans le petit monde des cryptomonnaies et de leurs blockchains, pour mieux démonter ces risques avec un peu de bon sens. Des arnaques monumentales aux petits mensonges, des ICO abracadabrantes aux montages financiers pseudo-miraculeux, en passant par les maladroites imprudences désastreuses et les risques inconsidérés, c’est un univers où on trouve un peu de tout et où il vaut donc mieux rester sur ses gardes.

Ou plutôt, pour commencer, réapprendre à être sur ses gardes.

Sécurité low-tech

Mais pas la peine de s’affoler, même avec les technologies les plus pointues, les bonnes vieilles habitudes permettent de se protéger efficacement dans la plupart des cas. Ces habitudes que notre mode de vie très (trop?) confortable nous a fait négliger, puis oublier.

En réalité, un peu de bon sens et de maturité suffisent à se protéger d’une grande partie de ces embûches qui ne sont pas technologiques, et finalement pas si nouvelles que ça. Une simple hygiène de vie quotidienne que je vous propose d’aborder ensemble ici. Tout en apprenant à mieux comprendre et appréhender la révolution de Bitcoin et des cryptomonnaies.

Adopter les bons comportements pour éviter les mauvaises surprises, à l’échelle humaine, la plus facile à gérer pour des non-experts.

Des gestes simples

Se déconnecter de son compte e-mail lorsqu’on quitte un ordinateur partagé dans un café Internet, ne pas envoyer tout son argent à un “prince en exil”, ne pas cliquer sur un lien ou un fichier attaché suspect dans un email, ne pas donner son mot de passe à un inconnu, vérifier l’adresse et le petit cadenas vert quand on se connecte à son e-banking… Nos habitudes ont rapidement évolué ces dernières années car nous avons été forcés de nous adapter à de nouvelles réalités. Nos nouveaux réflexes paraîtraient extra-terrestres à nos grands-parents.

Mais la contrepartie, c’est qu’il n’a jamais été aussi facile d’obtenir de l’aide en cas de boulette. À tout numériser, nous nous sommes graduellement retrouvés à la merci d’un “gardien” symbolique qui prend soin de nous et gère nos problèmes et nos difficultés à notre place. Alors on se repose facilement sur ce confort et on oublie d’être prudent.

L’utilisateur aux commandes

Le réveil est parfois brutal. On a tous entendu une histoire tragique à propos d’une remarque scandaleuse ou d’une photo compromettante sur les réseaux sociaux par exemple.

Et justement, un des nouveaux paradigmes apportés par Bitcoin, c’est un retour à la souveraineté individuelle. On le sait, avec Bitcoin, plus besoin d’intermédiaire pour faire une transaction de pair à pair. C’est révolutionnaire, mais ça veut aussi dire qu’une transaction est irréversible (N.B. il y a des exceptions, mais ce n’est pas le sujet ici). Comme avec du cash, pas moyen de faire opposition auprès d’un organisme de gestion en cas d’abus ou d’erreur, par exemple. C’est pourquoi un des “adages” régulièrement rappelé par les adeptes de Bitcoin est: “Don’t trust. Verify.”

Ne faites pas confiance. Vérifiez.

Cela fait référence au mécanisme de la Blockchain, le grand livre de comptes regroupant toutes les transactions depuis l’origine de Bitcoin, distribuée et répliquée à l’identique chez n’importe quel utilisateur qui peut à tout moment vérifier l’intégrité de ses fonds. Mais par extension, ça s’applique à un mode de pensée qui va évidemment plus loin que la seule Blockchain, et qui remet en question notre habitude de déléguer la confiance et la responsabilité à un tiers.

Ne pas faire confiance aveuglément, c’est déjà une règle que la plupart d’entre nous appliquons généralement dans la vraie vie. Pourtant, une fois en ligne, beaucoup oublient leurs bonnes habitudes et se laissent berner par des promesses plus que fantaisistes.

Il nous faut nous souvenir d’appliquer à notre monde numérique les mêmes logiques que nous suivons dans le monde physique, que ce qui est logique et sensé pour nos finances “réelles” l’est également pour nos investissements et transactions numériques, qui sont finalement tout autant réelles. Et cette logique s’applique également à tous les autres aspects de notre vie en dehors de la finance.

Un peu de bon sens

Si les responsables de la sécurité de la Fed de New York avaient eu ce réflexe, ils auraient dans doute installé un système d’alarme vérifiant constamment et en temps réel les mouvements, comme c’est le cas dans toutes les banques physiques, et comme on le fait pour protéger nos maisons ou surveiller bébé quand il dort…

Vous l’aurez compris, s’il fallait ne retenir qu’un principe de base, ce serait d’appliquer sur Internet les mêmes règles et la même rigueur qu’on s’impose dans le monde physique. Si ça n’a pas de sens dans la vraie vie, alors on se doute qu’il y a peu de chances que ça fonctionnera en ligne. C’est un principe qui reviendra régulièrement dans cette colonne.

En attendant le prochain billet, je vous encourage vivement à poster ci-dessous vos commentaires, questions, requêtes pour des sujets à aborder etc. et entamer une conversation utile à toutes et tous.