J'ai rendu visite il y a quelques jours à de la famille en Corrèze, terre de prédiléction de notre cher Président, et j'ai pu voir le superbe ordinateur portable que le Conseil Général de Corrèze a prêté à mon petit cousin dans le cadre de l'opération «Ordicollège 19». J'avais entendu parler de cette opération dans les médias, et j'étais donc content de pouvoir toucher à un des ordinateurs portables prêté à un élève. Les nouveaux collégiens corrèziens se voient ainsi tous dotés d'un ordinateur portable, enfin maintenant d'une tablette numérique iPad (depuis 2010).
Tâtons la bête
J'ai ainsi pu manipuler l'engin: un portable de marque Asus (c'est du solide), qui tourne sur Ubuntu. Je n'ai pas forcément pris le temps de regarder la version, mais de mémoire il me semble que c'était à jour. J'ai dans un premier temps tapé quelques commandes, histoire de voir ce qu'il y avait dessus, mais rien de bizarre:
Puis je me suis intéressé à une fonctionnalité typique d'Ubuntu: le sudo su. Mon cousin m'ayant dit que la configuration de l'ordinateur portable ne devait pas être modifiée, règle stipulée dans l'accord de prêt par ailleurs, je m'attendais à ce que cette commande échoue. Eh bien non, je me suis retrouvé administrateur de la machine, avec un bon vieux shell root. Bien sûr, il m'a fallu saisir le mot de passe du compte utilisateur, qui n'est autre que ordico. Mon cousin m'a par ailleurs fait remarquer que les élèves étaient autorisés à changer leurs mots de passe, mais que le système réclamait un mot de passe complexe, et donc que personne ne le changeait.
Par curiosité, j'ai récupéré le contenu du fichier /etc/shadow, histoire de trouver le mot de passe du compte d'administration root. Il m'a fallu peu de temps et une wordlist sur mesure pour arriver à le casser, ceci dit je n'ai pas été déçu. Le mot de passe du compte d'administration n'est autre que ... «ordicollege». Tadaaaa ! Donc bon, au lieu de faire un sudo su on pourrait tout aussi bien faire un su. Ce qui est révélateur dans le cas présent, c'est la contradiction entre la volonté d'empêcher les élèves de modifier le système et l'idée naïve qui consiste à mettre un mot de passe bateau. Difficile dans ce cas de limiter les modifications des systèmes.
Au vu de la progression de popularité des distributions orientées grand public comme Ubuntu, il semble probable qu'une faible proportion des élèves soient un brin connaisseurs ou asseaz curieux pour aller bidouiller le contenu de cet ordinateur mis à disposition, pour y installer des jeux, wine ou autres. J'ai d'ailleurs pu voir DeSmuME (logiciel d'émulation de jeux Nintendo DS) installé sur cet ordinateur portable ... Car oui, les dépôts utilisés sont ceux officiels, là encore je m'attendais au moins à des dépôts maison et centralisés au niveau du Conseil Régional, mais non. Décidémment, la tâche des bidouilleurs en herbe est très facilitée.
Quelques remarques techniques liés à l'opération «Ordicollège»
Une fois rentré, j'en ai profité pour me renseigner sur cette opération, après avoir récupéré l'avis d'un élève. L'opération a été lancée en 2008, et chaque élève de 6ème a reçu entre 2008 et 2010 un ordinateur portable. Elle a été continuée en 2011 et 2012, mais cette fois-ci ce sont des iPads qui ont été mis à disposition (version 1 pour les élèves arrivés en 2011, version 2 pour ceux arrivés en 2012). Un site officiel a été déployé, ainsi qu'une plateforme web de suivi et de maintenance. Pour le coup les informations présentes sur le site officiel de l'opération contiennent du poney en barre. Quelques extraits choisis:
Les premiers et second points peuvent se comprendre, mais peuvent dans la plupart des cas exposer des élèves à des vulnérabilités critiques, et donc exposer de même leurs données personnelles. Toutefois, si les iPads sont administrés comme le sont les ordinateurs portables, je ne pense pas que cela pose de gros problèmes: beaucoup de parents qui possèdent un iPad et qui l'ont jailbreaké peuvent le faire, et ceux qui s'y connaissent en Linux peuvent aussi altérer le contenu de l'ordinateur. Pour le retour à la plateforme, les opérations sont réversibles donc difficile pour un technicien de déterminer ce qui a été fait sur le matériel mis à disposition. Normal, ce ne sont pas des experts en inforensique.
Le dernier point m'a beaucoup étonné, car il est révélateur d'une pratique de la plateforme de maintenance: l'interdiction de création ou de modification du mot de passe de la tablette pour cause de coût de maintenance. Le site mentionne d'ailleurs les raisons de cette interdiction:
<quote>Pourquoi cette interdiction ? Depuis l'arrivée de la tablette dans le dispositif Ordicollège, la première cause d'intervention et d'immobilisation de ces matériels reste la création d'un code de verrouillage et son "oubli" par l'utilisateur. A chaque intervention de ce type, le matériel est immobilisé, les contenus stockés détruits, et cela pénalise à la fois l'utilisateur et la mise en oeuvre de ces outils par les enseignants. Cela engendre les opérations suivantes : prise en charge du matériel, effacement de la configuration, rechargement du système des applications, paramétrage, chargement des applications (valeur 30 €).</quote>
Ce dernier point est cependant très discutable car cela signifie que tout élève qui se fait emprunter sa tablette (ou même qui la prête en cours à un autre élève) ou qui se la fait voler par un autre élève peut voir ses informations personnelles compromises. Et cela peut aller jusqu'à la publication sur Facebook de messages ou photos malvenus, tels que les jeunes le font déjà. Alors oui, alléger les coûts c'est bien (surtout pour une opération ayant un budget de 1,5 M€) mais penser à la sécurité et la protection des informations personnelles de nos chères têtes blondes accros à Facebook et à Internet, c'est quand même vital (rappelez vous Luc Chatel et sa volonté de faire fermer les comptes Facebook des élèves harceleurs).
Ca faisait bien presque neuf mois que Mme virtu était enceinte, presque neuf mois de préparation, et à chaque fois je me disais que j'avais le temps, que ça arriverait plus tard. On avait fait pas mal d'aller-retours à la maternité, tout plein d'examens et un suivi complet, franchement c'était impeccable. J'ai aussi appris à hacker le système de monitoring, car bon, je n'ai pas pu m'en empêcher.
Kezako le monitoring ?
| alt: |
|---|
Selon le placement du capteur destiné à écouter les battements du cœur de bébé, l'appareil détecte plus ou moins bien et lève une alerte quand il ne détecte plus de battements. Cela peut être dû à des mouvements de bébé, ou à une mauvaise fixation du capteur. Dans mon cas, bébé bougeait pas mal et donc au bout de dix minutes on a eu droit au désagréables "bips" de la machine. Obligé d'appeler une sage-femme, qui appuie sur deux boutons et règle ça en deux temps trois mouvements. Mais cela a repris cinq minutes après, ce qui commençait à m'agacer.
Hacking de monitoring, à la main siouplait
Le gros avantage de cet appareil, c'est qu'il possède de bons haut-parleurs qui diffusent le son des battements du cœur de bébé, et donc que j'ai pu bien entendre le rythme de ce petit cœur (entre 135 et 145 bpm pour un petit bout dans le ventre de sa maman). Pour rappel, les ventricules du cœur subissent une systole (scindée en trois temps distincts) et une diastole, ce qui provoque ce rythme très particulier qu'est celui cœur. Pour plus d'information, Wikipedia pourra vous renseigner mieux que moi.
Pour m'amuser (car oui, pendant le monitoring on s'ennuie à mourir, même avec un smartphone dans les mains), j'ai essayé de reproduire à l'oreille le même rythme, en tapotant avec deux doigts sur le ventre de la maman et en essayant de retrouver le rythme des battements cardiaques. Le système étant basé que sur un capteur de son, il est facile de le tromper. J'y étais presque arrivé, le rythme s'étant de nouveau affiché à l'écran, mais mes premières tentatives n'ont pas forcément été fructueuses: le système détectait un battement de 77bpm, ce qui est loin de la normale. Et donc les alarmes ont recommencé (diable !). Ceci dit, je suis sûr qu'il y a moyen de reproduire fidèlement le bon battement avec un bon coup de main et un brin d'oreille musicale (et de sens du rythme). Pour le coup, ça a agacé la future maman qui n'a pas pu s'enpêcher de dire qu'il fallait que je touche à tout. Ce qui n'était pas faux.
La nuit la plus longue
Après cette drôle tentative de hack de système médical, les choses se sont accélérées et la maman est entrée en salle de travail. C'en était parti pour une dizaine d'heures d'attente et d'angoisse, à la rassurer et à essayer de dormir un peu. A ce moment, je me disais encore que j'avais un peu de répit, jusqu'à ce que la sage-femme entre en trombe dans la pièce en disant que c'était le moment, qu'il fallait y aller. Et le petit bout arriva. Quoiqu'on en dise, c'est un des rares moments où l'on sent que l'on ne maîtrise rien, mais la magie opère. La petite geekette était là, déjà toute curieuse avec ses yeux presque ouverts.
De longues heures d'attente pour un résultat somme toute époustouflant. On ne sait pas vraiment ce que c'est avant que ça arrive, et c'est çe qui fait en partie la magie du moment.
L'après
Comme vous vous en doutez, cette naissance aura un impact sur les écrits de ce site, et d'autant plus sur leur fréquence. Cela a déjà commencé avec ce post qui s'éloigne un peu du hack (quoique ...), mais bon, cela doit être du au fait qu'en tant que nouveau père je suis fier de ma geekette, et souhaite le dire au monde entier. Il faut avouer tout demême qu'Internet est un super moyen pour cela ! Promis, je vous épargnerai les posts personnels par la suite.
La philosophie du hacking implique une curiosité constante, et donc le fait que l'on mette notre nez un peu partout. C'est grâce à cela que des problèmes voire même des vulnérabilités sont identifiés, et résolus. Le problème, car il y a problème, réside dans la difficile communication et le fait que l'on fasse une très bonne cible en faisant part d'une trouvaille.
La curiosité est un vilain défaut
Tout le monde le sait. C'est pas bien. Mais il est des personnes qui ne peuvent s'empêcher de se poser des questions, légitimes ou non. Ce n'est pas (encore) une maladie, mais c'est ce qui motive certaines personnes. Dont moi. Et je dois avouer que la plupart du temps, c'est assez payant. Cette curiosité est le moteur essentiel de ce blog, de mes outils, etc ... Tout vient de questions que n'importe qui (enfin, je suppose que n'importe qui se les pose) pourrait se poser, et de la réflexion qui s'ensuit.
Malheureusement (sic), cette curiosité pousse des fois à tester ou vérifier des faits, à la limite de la légalité. Ce qui permet de cerner correctement un problème et de le reporter ou d'alerter. Et c'est lorsqu'on alerte, que l'on prévient, que les choses se corsent. Car dans certains cas de figure, la question d'où part une analyse ou une réflexion peut être considérée comme inopportune voire comme une action offensive. Alors qu'il s'agissait de pure curiosité, sans animosité aucune. Mais certaines personnes ne voient pas cela d'un bon œil, car le fait d'alerter ou de reporter peut nuire à leur image (ou celle de leur entreprise, ou administration) et je comprends tout à fait le besoin de se couvrir. Il est vrai qu'en France on a cette aversion naturelle contre les hackers (favorisée par les médias), et d'autant plus pour ceux qui publient des choses qui fâchent ou ennuient.
La nécessité de transparence ?
Il est évident que la publication, la diffusion, le fait d'alerter sur une vulnérabilité ou un problème identifié ne doit pas être fait n'importe comment. Certains préfèrent l'anonymat, et dévoilent à coup de pastebin des fuites d'informations, ou des vulnérabilités originales. S'ensuit généralement une tentative d'identification de la source, qui des fois aboutit après de fastidieuses recherches. Mais le fait de publier sous couvert d'anonymat vous place directement dans la mauvaise catégorie: pourquoi vous cachez-vous, si vous n'avez rien à vous reprocher ?
A contrario, beaucoup d'entre-nous pensent que la transparence est le meilleur atout. Nous nous permettons de publier des alertes, de reporter des problèmes ou des erreurs en toute bonne foi, sans nous cacher forcément derrière un pseudonyme (bien qu'on puisse en avoir un) et revendiquer la trouvaille. Si jamais quelqu'un est froissé, ou ennuyé par une publication, l'auteur de celle-ci est identifiable et joignable. De fait, annoncer sur Twitter ou par email sans masquer son identité est gage de sérieux, ou de grande folie. Malheureusement, lorsque les choses se gâtent, la seconde option est préférée.
Heuu ... à quand une prise de conscience ?
De suite, on tape sur la personne qui a identifié le problème. Vous annoncez sur Twitter que vous avez identifié une vulnérabilité dans un produit sans donner trop de détails ? Vous dévoilez un fichier planqué au fin fond du web et contenant des informations critiques ? Vous avez identifié un problème ou une anomalie et communiquez dessus au monde entier ? You're doing it wrong. Et même si l'envie vous prend de le transmettre par email, l'issue est globalement la même: l'annonceur est fautif. Victime de sa curiosité. Et peut-être de sa volonté d'alerter et de faire connaître sa trouvaille. On tire sur le messager, meme si je dois avouer que dans certains cas il n'est pas forcément tout blanc.
La problématique est ancienne: comment dévoiler une vulnérabilité/anomalie/faille en toute bonne foi, sans se cacher, et sans risquer les foudres des personnes concernées ? Quid du responsible disclosure ? C'est un débat qui dure, bien qu'en France il soit déjà plié, j'en ai bien peur. Par expérience, j'ai tendance à dire que lorsque l'on tente de dévoiler ou d'alerter, on devient une cible (que cela soit justifié ou non, là n'est pas la question). Certes, nous pronons le hacking "éthique", et cette volonté de transparence et de communication fait partie de cette éthique. Mais sincèrement, il est plus risqué de communiquer sur une vulnérabilité que de se taire et de la garder pour soi. Beaucoup en ont fait l'expérience: Guillermito [1], Damien Bancal [2] par exemple.
Alors, comment dévoiler/communiquer ?
Le constat est triste: soit on dévoile et on risque les sanctions prévues aux différents articles de la loi française (pour rappel, les articles 323-1 à 323-7 [3], avec des peines allant de 2 ans d'emprisonnement et 30 000€ d'amende à 5 ans d'emprisonnement et 75 000€ d'amende), bien que de bonne foi, soit on se tait et les choses ne bougent pas. J'avoue que cette vision est pessimiste, mais sincèrement je ne vois pas comment on pourrait éviter cela. Triste constat, disais-je.
Allons-nous devoir attendre que les responsables sécurité arrêtent de faire la sourde oreille et tentent de sauver leur place sans assumer les problèmes qui se posent ? Faut-il encore diaboliser Internet, l'informatique et le hacking en général, ainsi que les personnes compétentes en France ? L'ANSSI a ouvert la voie (du moins on ose le croire), en faisant appel à la culture hacker (il n'y a qu'à voir leur wallpaper `4]), en recrutant massivement et en le faisant savoir à différentes conférences sécurité prisées des hackers (non, pas de troll sur l'AN^W^WSSTIC). A qui le tour ?
Références
[1] [L'affaire Guillermito <http://guillermito2.net/archives/2004_12_28.html>`_
`2] [Damien Bancal (Zataz) vs le FTP anonyme <http://www.pcinpact.com/news/48753-zataz-faille-securite-trou-signalement.htm>`_
`3] [Code pénal, Livre III, Titre III, Chapitre III: Des atteintes aux systèmes de traitement automatisés de données <http://www.legifrance.gouv.fr/affichCode.do;jsessionid=DBA449F582FD48DF11068D44A409B79B.tpdjo07v_3?idSectionTA=LEGISCTA000006149839&cidTexte=LEGITEXT000006070719&dateTexte=20120510>`_
`4] [Wallpaper ANSSI <http://www.ssi.gouv.fr/IMG/png/wallpaper-anssi-2560x1920.png>`_
