L’attaque WannaCry: le militarisme contre la cupidité

Le fait de pointer du doigt la récente attaque de ransomware WannaCry a commencé pour de bon, et cela ne manque pas aux coupables, bien que la Corée du Nord soit le principal objectif. Mais dans le jeu du blâme, d'autres candidats à la critique ont émergé - nul autre que la NSA et Microsoft.


Brad Smith, président de Microsoft, dirige le défilé des experts, des sondages et des dirigeants en jetant leur regard sur la NSA et ses semblables (comme vous pouvez vous y attendre, étant donné que ce sont les ordinateurs Windows qui ont été touchés dans l'attaque - plus à ce sujet plus tard).

L'offensive «collecter tout» de la NSA, alimentée par son appétit vorace pour les informations, l'a conduit à «stocker» des faiblesses logicielles. Il a ensuite perdu le contrôle de ses «armes», au grand dam de Smith et d'autres. Comparant la situation à la sécurité des armes militaires, qui est soigneusement gardée, Smith a exprimé l'opinion:

«C'est une tendance émergente en 2017. Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité volée à la NSA a affecté des clients du monde entier. À plusieurs reprises, les exploits entre les mains des gouvernements se sont infiltrés dans le domaine public et ont causé des dommages considérables. Un scénario équivalent avec des armes classiques serait que l'armée américaine se fasse voler certains de ses missiles Tomahawk. Et cette attaque la plus récente représente un lien complètement involontaire mais déconcertant entre les deux formes les plus graves de menaces de cybersécurité dans le monde aujourd'hui - l'action des États-nations et l'action criminelle organisée. »

Il fait un point, mais cela n'exonère pas Microsoft dans ce gâchis. À l'origine du problème se trouve le stockage secret de faiblesses dans les systèmes des entreprises par les agences gouvernementales, généralement sans alerter les entreprises en question sur ces failles. S'ils l'avaient fait, alors Microsoft (dans ce cas) aurait pu réécrire son logiciel pour corriger le problème.

Ce n'est pas par hasard, il faut le noter. Non, il s'agit d'un effort dévoué et concerté pour dissimuler des informations précieuses aux entreprises privées (et donc au public) au nom de la sécurité nationale. Cette initiative porte un nom - le Vulnerable Equity Process (VEP).

Le VEP est destiné à équilibrer les avantages obtenus en gardant secrète une vulnérabilité logicielle donnée, par rapport aux risques potentiels pour le monde dans son ensemble. Soit dit en passant, cela semble être une image miroir de programmes moins formels, par lesquels le gouvernement a refusé de poursuivre des condamnations - et de laisser les auteurs marcher - plutôt que de révéler les détails de ses transactions secrètes (notamment dans les affaires Stingray). Dans ces cas, le gouvernement ne divulguerait pas d'informations sur les systèmes, à la demande du fabricant, Harris Corporation.

Le VEP est plus dangereux et le problème plus répandu que dans le cas des procureurs de Stingray abandonnant les charges. Lorsque les agences amassent de tels trésors d'informations, elles tentent le destin. C'est comme une bombe à retardement avant que les informations ne fuient aux mauvais acteurs. Il semble que Washington regorge désormais de fuites - peut-être plus que jamais.

Cela peut expliquer l'attaque du ransomware WannaCry. Les gardiens de secrets de notre nation n'ont pas pu garder leurs armes à l'abri des goûts de Shadow Brokers et Wikileaks.

Le député californien Ted Lieu (D-CA), appelant à une législation pour remédier à la situation du VEP, a déclaré,

«L'attaque mondiale actuelle contre les ransomwares montre ce qui peut se produire lorsque la NSA ou la CIA écrivent des logiciels malveillants au lieu de divulguer la vulnérabilité au fabricant du logiciel.»

En effet, les outils des agences ont non seulement été violés et cooptés, mais ils ont été militarisés contre d'importantes institutions à l'échelle mondiale, notamment les hôpitaux, les universités et les entreprises..

Il y a assez de reproches à faire dans cette débâcle. La NSA est coupable d’avoir découvert des vulnérabilités dans différentes versions de Windows et d’écrire des programmes qui permettent aux espions américains de pénétrer dans les ordinateurs exécutant le système d’exploitation de Microsoft. Un tel programme, le code nommé ETERNALBLUE, a permis à WannaCry de se propager aussi rapidement et de manière incontrôlable que la semaine dernière. Non, la NSA n'a pas créé WannaCry, mais sa négligence lui a permis de percoler.

Ensuite, Microsoft est coupable d'avoir autorisé des millions d'utilisateurs à utiliser des logiciels obsolètes (certains pour une durée de 15 ans) et de ne pas avoir indiqué que ces utilisateurs d'anciens logiciels seraient vulnérables aux nouvelles réalités. Enfin, nous ne pouvons pas nous retrouver (propriétaires d'ordinateurs et administrateurs informatiques) sans reproche, pour ne pas garder les logiciels à jour.

Bien sûr, étant donné les systèmes d'exploitation de mauvaise qualité de Microsoft, son écriture de codes non sécurisés et sa suppression de la prise en charge des anciennes versions de Windows encore largement utilisées, notre négligence est compréhensible. Et ainsi va le jeu du blâme.

C'est presque une impasse, dans la mesure où les forces de l'ordre et les types d'espionnage veulent continuer à développer des armes dans l'ombre, et des entreprises comme Microsoft veulent vendre des produits, ce qui signifie en avant et en haut, sans prêter beaucoup d'attention à ce qui s'est passé auparavant. Appelez cela militarisme et maximisation des profits.

Qu'en penses-tu? Où en êtes-vous? Pensez-vous que la NSA accorde trop d'importance au développement de moyens pour dissuader les adversaires de protéger la vie privée et la sécurité du citoyen ordinaire? Ou pensez-vous que le pendule a trop poussé vers la sécurité nationale à tout prix? Une autre question importante à considérer: où en est le citoyen moyen dans ce qui semble être une course sans fin vers le bas?

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me