Le Roi est nu ! un peu de lucidité sur l’offre Microsoft et sur Internet

Jean-Jacques URBAN-GALINDO  –  mars 2021

Un tsunami « cyber » en 2020

Si l’année 2020 restera dans les mémoires comme l’année de la pandémie « Covid », au même titre que les années après guerre et la grippe espagnole, elle pourrait aussi être la date de la révision, douloureuse, de la confiance que nous accordons à l’architecture numérique sur laquelle reposent désormais l’essentiel de nos activités.

Internet avec son « moteur » TCP/IP est-il robuste ? Les grands éditeurs GAFAMs maitrisent-ils l’architecture sur laquelle leurs offres sont construites ? On peut légitimement en douter !

La fin de l’année 2020 a été marquée par l’annonce de l’attaque « cyber » de multiples organisations US dont plusieurs, gouvernementales, critiques, dont on pouvait penser qu’elles étaient correctement préparées et protégées pour faire face à des attaques qui se rapprochent d’une cyber-guerre dont on parle de plus en plus.

Si les attaquants ne sont pas formellement identifiés, les Russes et les Chinois sont fortement soupçonnés et même désignés, notamment par les autorités américaines. La question est posée de savoir si l’édifice n’est pas en grand péril. Plusieurs « Executive Order » ont été révisés et/ou signés. On trouvera dans ce texte combien le doute s’est installé.

https://www.cisa.gov/securing-federal-networks

En France alors que nous disposons d’informations partielles les grands journaux s’inquiètent, le Figaro « La cybersécurité occidentale en pleine remise en cause »

https://www.lefigaro.fr/secteur/high-tech/avec-l-attaque-solarwinds-la-cybersecurite-occidentale-en-pleine-remise-en-cause-20201222

De fait le logiciel Orion utilisé par de nombreuses grandes entreprises pour gérer leurs réseaux, c’est-à-dire, en simplifiant, propager les mises à niveau nécessaires, entre autres pour corriger les failles de sécurité, a été lui-même modifié par des personnes mal intentionnées et a propagé des virus dans ces réseaux.

De logiciel de confiance cette application est devenue le vecteur de propagation de l’infection !

Le « hack » de SolarWinds est-il beaucoup plus grave que prévu ?

Il semble que ceci ait été possible par un accès au code le plus sensible de Microsoft, celui assurant le contrôle d’accès et la validation de la qualité d’auteur de confiance.

Les systèmes de messagerie de Microsoft s’appuyant sur les serveurs Exchange présentaient des failles qui ont ainsi été mises en lumière, des correctifs ont été publiés en urgence.

Pour donner une image des risques encourus avec ce genre de faiblesse de l’architecture, imaginez que de nombreuses voitures autonomes soient « pilotées » par un système de conduite et qu’une mise à jour du logiciel puisse être réalisée par un « faux site constructeur », qu’il installe un logiciel lequel, à une date future, fera que toutes les voitures feront au même moment un écart par exemple en braquant brutalement à gauche !

La complexité des logiciels Microsoft en cause

Selon un article récent le cœur de nos ordinateurs, l’OS Windows 10, pourrait être « planté » par certaines imprimantes :

https://www.zdnet.fr/actualites/microsoft-publie-en-urgence-un-correctif-contre-les-pannes-d-imprimante-sous-windows-10-39919519.htm

Avec cet article j’éprouve comme une confirmation de ma conviction intuitive que l’architecture des systèmes proposés par Microsoft a atteint un niveau de complexité qui excède la capacité de maitrise de ses équipes.

Que l’activation d’une fonction d’impression fasse “planter” le système est pour moi la preuve d’une architecture mal segmentée.

J’ai personnellement observé des fonctionnements, « basiques », très suspects ainsi, à plusieurs reprises, la “perte” inopinée de la souris, instrument « vital » de nos jours. A cet évènement pour le moins surprenant s’ajoute un problème que je trouve très inquiétant : le fait qu’un“simple” redémarrage, dans les règles (pas tout à fait facile sans la souris …) ne permet pas sa récupération. Seul un arrêt “brutal” permet de la retrouver !

Qu’il est loin le slogan des années 90 « Plug& Play » que beaucoup avaient déjà, habilement, détourné en « Plug & Pray » par le changement d’une seule lettre (comme dans les démonstrations de Gérard Berry Fig13 Bug à Manhattan p99 de son livre « L’hyperpuissance de l’informatique »

Aussi l’activation de ma caméra connectée en USB qui n’était reconnue qu’en étant en mode “administrateur”, impossible à retrouver comme utilisateur lambda ! Ce défaut est corrigé mais je ne sais si c’est durable …

J’avais aussi noté que, dans certaines conditions, l’utilisation de certaines polices de caractères pouvaient permettre de s’attribuer les privilèges “administrateur” !!! Où sont les « pare-feux » protégeant les fonctions vitales ?

Les déboires des serveurs de messagerie Exchange font l’actualité, on ne sait jusqu’où la vague de l’infection, comme celle du Covid, va se propager.

Dès lors je me permets d’affirmer Le Roi est nu !

Mes conclusions à ce stade, de mon point d’observation forcément limité :

1- la course aux fonctionnalités supplémentaires (dont l’intérêt réel pour le bien de l’humanité est douteux) qui abusent d’une connectivité sans contrôle devait être mieux réfléchie : j’en ai assez de voir privilégier la forme sur le fond

2- il faut repenser à la résilience qui passe, qu’on le veille ou pas, par une segmentation bien pensée (cf le Titanic). Je développais cet argumentaire en 2014 : les OS doivent être repensés, 2 niveaux pour isoler dans un PC l’OS et les “applications » n’est pas suffisant.

https://www.linkedin.com/pulse/objets-connect%C3%A9s-la-france-est-elle-condamn%C3%A9e-%C3%A0-urban-galindo/

Internet atteint ses limites :

Le problème général de l’architecture dans laquelle nous avons, en gros, mis toute notre confiance est qu’elle repose désormais fondamentalement sur Internet et plus précisément sur TCP/IP qui, levier de pouvoir poussé par les organisations US, a établi sa suprématie.

Louis Pouzin, un des pères d’Internet affirme depuis longtemps que :
« Internet est construit sur un marécage ».

Il peut porter ce jugement sévère pour avoir dirigé, au début des années 70 à l’IRIA (ancêtre de l’INRIA), le projet novateur Cyclades, dont Vincent Cerf et Bob Kahn se sont inspirés pour définir TCP/IP. Ils ont en effet repris l’une de ses avancées en rupture, la première implémentation opérationnelle du concept révolutionnaire du datagramme (le nom sera donné plus tard par un collègue norvégien je crois). En permettant aux différents paquets d’un message de suivre des routes différentes, il faisait la différence décisive d’approche avec les réseaux virtuels, soutenus par les ingénieurs des télécommunications, qui prolongeaient le modèle des circuits commutés.

Mais plusieurs autres avancées ont été ignorées et TCP/IP a été conçu sans prendre en compte dans ses objectifs quatre dimensions qui s’avèrent aujourd’hui essentielles dans un monde qui n’est pas uniquement peuplé de Bisounours : sécurité, confidentialité, qualité de service et l’itinérance, fondamentale pour les smartphones et les IOT.

Ces faiblesses congénitales sont connues des spécialistes et de nombreuses études veulent préparer un Internet du futur, la version v6 qui veut remplacer la version v4 répond partiellement à certaines mais a beaucoup de mal à se diffuser.

En 2008 John Day, un ancien d’Arpanet, a repris les fondamentaux des protocoles de réseau et a publié un ouvrage et il a proposé une architecture novatrice RINA (Recursive Inter Network Architecture ) qui répond aux exigences ci-avant. Louis Pouzin est depuis son promoteur et tente de faire comprendre à la France et à l’Europe que cette voie est celle de l’avenir et de la souveraineté.

Louis Pouzin (89 ans) porte ce message dans de nombreuses conférences, l’une des dernières le 10 novembre 2020 dans le cadre de l’AEGE, le réseau d’experts en intelligence économique. Pour les gens pressés la description de RINA commence à 28mn45sec de cette vidéo :

https://youtu.be/s8c7VodYUWE

Pour ceux qui veulent en savoir un petit peu plus je me permets de renvoyer sur mon article « RINA pour les nuls » publié en fin 2019 qui est cité.

Ce texte a été qualifié dans une autre conférence par Louis Pouzin lui-même de « très bien fait, très lisible » je pense donc que vous pouvez le lire « en confiance »

https://www.linkedin.com/pulse/rina-recursive-inter-network-architecture-pour-les-un-urban-galindo/

Forum ATENA a, dès 2010, soutenu ce projet RINA en organisant plusieurs évènements.

Avec la tempête qui secoue le monde du numérique le temps de la lucidité est venu !

Espérons que cette fois nos « décideurs » sauront écouter Louis Pouzin, il en va de notre souveraineté numérique, pièce maitresse désormais de notre souveraineté tout court !

« La perfection des moyens et la confusion des buts semblent caractériser notre époque »

Albert Einstein