Blogue de Jean-Philippe Monette

Oh que je commence à être tanné du niaisage sans fin avec les serveurs de courriels. J’en ai plusieurs dans la mire desquels je pourrais jacasser pendant des heures à un point tel que vous ressentiez probablement le même découragement par lequel je suis passé. Je vais faire un petit décompte de tous les commentaires que j’ai à faire sur ceux qui ont fait l’actualité et sur mon expérience personnelle (je vais m’efforcer de vulgariser et de rendre le contenu le moindrement drôle pour garder votre attention d'ici la fin du message qui s'avère être très long après maintes lectures).

Sarah Palin et son courriel privé sur Yahoo

L’adresse courriel privée de Sarah Palin chez Yahoo a été piratée : c’est ce que l’on peut lire depuis environ une semaine sur la Toile et dans les journaux référençant les nouvelles Américaines. Ses adresses courriel, gov.sarah@yahoo.com ainsi que gov.sarah@yahoo.com, possédaient toutes deux des questions secrètes complètement bidonnes : « Où ai-je rencontré mon mari? ». Au début, le petit « pirate » ne réalisait pas que c’était le courriel véritable de la Vice-Présidente à l’investiture américaine représentant le parti républicain, mais après avoir balancé des captures d’écrans, des photos de ses enfants dans des pièces jointes et plusieurs adresses courriel importantes de son carnet d’adresses sur 4chan et WikiLeaks, la presse et le parti républicain ont confirmé que c’était bel et bien le courriel de madame Palin.

Figure 1.0: Courriel de Sarah Palin chez Yahoo

Bien que ça semble totalement anodin (pas le piratage, mais le côté légal de la chose), il est illégal aux États-Unis de discuter des affaires gouvernementales à partir d’un autre courriel que ceux fournis par le gouvernement : ceux-ci gardent tous les courriels en archive par sécurité, en cas de conspiration ou de mauvaise pratique et son bien évidemment plus sécuritaires… Palin pourrait bien se retrouver avec une poursuite au cul, mais malheureusement, on en semble très loin de là pour le moment. Bien entendu, c’est plus important retrouver l’auteur de cet acte crapuleux qui semble apparemment être un étudiant du Tennessee qui se serait apparemment très mal protégé durant la manoeuvre. Le FBI a visité la résidence de David Kernell, principal suspect, fils du politicien démocrate Mike Kernell… Attendez un instant… UN DÉMOCRATE?!? Oh mon Dieu! On arrive relativement loin avec toute cette histoire. Bien entendu, c’est bien plus important retrouver un « pirate » très expérimenté et capable de faire une vulgaire recherche sur le Web afin de répondre à une question secrète que de retrouver l’information qui a été récemment supprimée du compte Yahoo de Palin (possiblement très sensible à la sécurité) et d’entreprendre des mesures disciplinaires strictes en lien avec la législation actuelle. C’est probablement encore une fois les républicains qui gèrent l’affaire et qui veulent éloigner l’attention du public du vrai sujet… Ils sont bons là-dedans et réussissent pratiquement toujours…

Les serveurs de courriels non sécurisés du gouvernement canadien

Une autre histoire totalement ridicule : un « pirate » aurait utilisé la liste de diffusion du gouvernement Harper pour envoyer aux signataires du bureau du premier ministre deux faux courriels, l’un affirmant que la reconnaissance du Kosovo en tant qu’État pourrait mener à la souveraineté du Québec et un autre annonçant le démantèlement du système de santé publique et la jonction du Canada aux États-Unis en tant que 51^e État (au point où on en est, j’aurais peut-être pigé à blague). La GRC et la CSTC sont sur l’affaire très sérieuse.

Figure 1.1: Représentation typique d'un « script kiddie »

Ce qu’il faut comprendre dans l’ironie que j’applique ici même, c’est que n’importe qui aurait pu effectuer un truc semblable : pas besoin des « skills » d’un valeureux pirate informatique expérimenté et dialoguant uniquement en 0 et 1 pour répliquer l’approche.

Brièvement, une liste de diffusion, c’est une adresse de courriel utilisée pour distribuer un message à plusieurs autres courriels. Si j’étais par exemple le propriétaire du site banane.com (fictif), je pourrais créer une liste de diffusion afin d’envoyer un courriel à tous les membres du site. Le fonctionnement : envoyer un courriel à une adresse qui renvoie le tout tel que liste@banane.com. Du coup, si les administrateurs du serveur sont pourris en sécurité et qu’une personne tierce balafrée, avec un œil manquant, une barbe touffue et un sabre décide de « pirater » le serveur courriel, elle n’aurait qu’à envoyer un message à liste@banane.com pour contacter tous les membres du site. Dans le cas où le serveur serait sécurisé, ça ne serait pas possible, sauf si c'est Monsieur Norris qui effectue la manoeuvre.

Figure 1.2: Chuck Norris, le mec qui peut compter jusqu'à infini

Il est également très important de savoir qu’il est possible et très facile d’envoyer des courriels à partir de n’importe quelle adresse du Web (ou du moins, de se faire passer pour quelqu’un d’autre). Rien de plus simple que de programmer un petit code qui fait le travail d’envoyer un courriel avec l’adresse que l’on souhaite, ou même encore, plusieurs outils sur le Web existent (ou existaient) pour faire la job. La majorité des services ont fermé avec le temps, car des gens brillants s’en servaient pour envoyer des menaces ou des trucs similaires et c’était les propriétaires des services qui étaient automatiquement liés aux messages (l’adresse du serveur en question figure dans les messages) et qui mangeaient la merde. Une somptueuse recherche sur Google semble prometteuse. Encore une fois, on cherche le coupable de cet acte considéré frauduleux. Tout ce que j’en sais, c’est que n’importe qui aurait pu faire un truc similaire (ou même envoyer un courriel à cette adresse par accident). Faut-il vraiment chercher le coupable ou sécuriser la liste de diffusion du gouvernement? Si c’est ça la sécurité, c’est bien plus facile retrouver le coupable et laisser la faille de San Andreas en place…

Le serveur de courriels non sécurisé du cégep du Vieux Montréal

Voici un exemple similaire au précédent, mais réalisable avec les listes de diffusion du cégep du Vieux Montréal. Quand j’y étais étudiant, j’analysais toujours leur système informatique et j’ai toujours souhaité tester la sécurité de leurs listes de diffusion, mais je ne souhaitais pas avoir de représailles de la direction par la suite après avoir effectué un test bidon (si on peut mettre le FBI ou la GRC au cul de vulgaires « script kiddies » pour une pratique aussi anodine, j’aurais très bien pu être renvoyé du Vieux…).

Figure 1.3: Résultat du test de la liste de diffusion du cégep du Vieux Montréal

Étant maintenant un grand garçon à l’Université, j’ai décidé de me lancer les yeux fermés dans l’aventure en produisant un courriel de test et en l’envoyant à tous les étudiants du Vieux Montréal (environ 6000 étudiants). Résultat? Environ 300 réponses en moins de 24 heures dans ma boîte à courriels. Non seulement le cégep utilise une liste de diffusion et cette même adresse s’affiche dans toutes les boîtes des étudiants, mais elle n’est pas sécurisée du tout.

Où veux-je en venir?

C’est du niaisage, point final.

Dans le cas de Sarah Palin, elle aurait pu discuter d’informations très sensibles avec d’autres membres du gouvernement et le moindre gosse se tournant les pouces devant son ordi aurait pu arriver à mettre les mains sur de l’information sensible (ou une personne vraiment mal attentionnée). De plus, elle contourne complètement la loi en agissant de la sorte (et plusieurs autres membres du parti républicain utilisent des courriels privés, mais la justice semble fermer les yeux). La personne fautive selon moi, c'est elle et uniquement elle. Des milliers de comptes courriels gratuits se font soit disant pirater chaque jour, et entreprendre des mesures pour retrouver un coupable d'un crime aussi banal demeure complètement con, sauf si on a quelque chose à cacher...

Figure 1.4: Photo d'une carte de crédit avec style

Dans les deux autres cas, c’est très dangereux de laisser des listes de diffusion non protégées, autant pour la stature de l’organisation qui possède les listes que pour les membres des listes. Une personne mal attentionnée pourrait très bien envoyer un courriel demandant des informations de compte bancaire avec comme objet le paiement de frais de scolarité en cachant son identité avec un courriel officiel de l’organisation et en ajoutant une adresse de « reply-to » totalement différente (la boîte courriel du fraudeur par exemple). Il y en a probablement des gens qui vont me dire « Si c’est possible d’envoyer des courriels anonymes, à quoi bon sécuriser les listes de diffusion? ». Le simple fait d’avoir la possibilité de contacter tous les membres d’une organisation à l’aide d’une information non sécurisée est ultra-sensible (je commence à abuser du terme =D). Quelqu’un pourrait très bien envoyer des courriels anonymes à des étudiants ciblés afin de les frauder, mais cette personne aurait peut-être une réponse positive sur 20 courriels. Dans le cas où le fraudeur possède un accès direct aux 6000 (la liste de diffusion des professeurs est également très accessible), il aurait peut-être dans ses 6000 membres ciblés 2% des gens qui répondraient avec une réponse favorable en fournissant leurs informations bancaires. 2% de 6000, c'est énorme! 120 numéros de carte de crédit dans les mains d’un fraudeur, ça fait mal.

Je ne souhaite en aucun cas inciter un lecteur à effectuer la manœuvre qui demeure très simple dans son ensemble. Je croise tout simplement les doigts pour qu’un administrateur des serveurs en question sécurise le moindrement les serveurs ou qu’un membre de l’AGECVM se charge d’aller manifester devant la porte principale. Après tout, c’est le lien de confiance entre l’organisation et ses membres qui est utilisé pour frauder, et ce sont les deux partis qui y perdent. À quoi bon laisser la porte ouverte? Si vous cherchez la technique pour vous protéger, bah il n’y en a pas. C’est le Farwest sur Internet et ça le restera probablement toujours avec du calibre comme on en a derrière les serveurs dits « sécurisés » =)!