Du choix risqué du logiciel propriétaire et étranger pour sa défense nationale

Temps de lecture 3 min

image_pdfimage_print

Army.mil - CC byLe blog de Libération, animé par le spécialiste maison des questions militaires Jean-Dominique Merchet, nous informe aujourd’hui que nos armées ont été attaquées par un virus informatique.

En effet la Marine nationale, ayant son réseau sous Windows, a récemment été infectée par le ver informatique Conflicker (qui exploite une faille du serveur de ce système d’exploitation), jusqu’à, semble-t-il, empêcher certains avions Rafales de décoller[1].

Sachant que Microsoft avait identifié le problème et averti dès le mois d’octobre ses clients de la nécessité d’effectuer des mises à jour pour s’en prémunir, Jean-Dominique Merchet a raison de pointer là l’inquiétante négligence des services informatiques du Ministère.

Par contre il est passé complètement à côté de la question bien plus fondamentale de confier son informatique à un éditeur étranger de logiciels propriétaires. Qui plus est quand il s’agit de Windows dont on connait les problèmes de sécurité, qui plus est quand on travaille dans le domaine hautement sensible de la Défense nationale.

Heureusement certains commentaires sous son billet ne se sont pas privés de le lui rappeler, commentaires qui se trouvent être comme synthétisés par cette intervention lue sur LinuxFr et que je me suis permis de recopier ci-dessous  :

Un ver s’attaque à la Marine française

URL d’origine

Patrick_g – 5 février 2009 – LinuxFr (Journal)

Conficker est le nom d’un ver qui infecte les machines sous Microsoft Windows. Il s’attaque au processus SVCHOST.EXE et il permet d’exécuter du code à distance. Un truc sérieux donc mais, hélas, pas inhabituel dans le monde merveilleux de Windows.

Ce qui est plus inhabituel en revanche c’est qu’il semble que ce ver ait réussi a se propager au sein du réseau informatique de la Marine Nationale (Intramar). L’isolation du réseau a été décidée mais elle a été trop tardive et des ordinateurs de la base aérienne de Villacoublay et du 8ème régiment de transmissions ont été infectés par la bestiole.

Sur ce lien on peut même lire que le 15 et le 16 janvier les chasseurs Rafale de la Marine Nationale qui devaient exécuter une mission n’ont pas pu décoller car ils étaient dans l’incapacité de télécharger les données de leur vol  !

A priori Microsoft n’est pas coupable de négligence car un correctif pour la faille de SVCHOST.EXE avait été mis à disposition le 23 octobre 2008. Cette infection est donc entièrement la faute des administrateurs du réseau Intramar qui n’ont pas appliqué les correctifs et qui ont donc indirectement provoqué un gros "couac" dans la capacité de défense du pays.

Les questions qui se posent à la suite de cet épisode sont bien entendu les suivantes  :

  • Comment est-il possible qu’une fonction aussi critique que le réseau informatique de la Marine nationale dépende d’un système d’exploitation propriétaire fourni par une firme étrangère  ?
  • Comment est-il possible de choisir un système d’exploitation à la réputation sécuritaire plus que douteuse et dont il est impossible de relire le code source pour le vérifier ou l’améliorer  ?
  • Comment les administrateurs d’un réseau militaire sensible peuvent-ils laisser leurs serveurs non patchés pendant des mois alors que le danger a été signalé et le que le correctif a été mis à disposition  ?

Il y a quelque chose de pourri au royaume de la Royale…

Notes

[1] Crédit photo  : Army.mil (Creative Commons By)

14 Responses

  1. Maps

    Il y a également un autre point aberrant d’un point de vue sécurité : l’accès au net d’un ordinateur contenant des infos critiques. Comme le dit très bien Paxwax à la suite du billet de Jean-Dominique Merchet :

    « Et tertio, comme l’a déjà dit quelqu’un plus haut, comment se fait-il que les postes sur lesquels se trouvent des données aussi sensibles que les plans de vols des rafales soient connectés à internet?! Dans n’importe quelle entreprise sérieuse, une série de postes (service client, R&D, etc…) sont effectivement connectés à internet. Mais les systèmes sensibles ne le sont pas! J’ai bossé chez Rhodia : on ne peut même pas brancher une clef USB sur les PCs qui gèrent les machines, au cas où elle serait infectée! Alors, internet! Pourtant, Rhodia, c’est moins sensible qu’un système d’armes! Par où est arrivé ce virus?? »

    http://secretdefense.blogs.liberati

  2. Paul

    On n’a jamais licencié quelqu’un pour avoir choisi Windows, par contre, on attend au tournant le moindre échec avec des logiciels libres !
    Les militaires se font un devoir de vérifier l’identité et la moralité de ceux qui travaillent sur les bases sensibles . On multiplie les exercices d’urgence, les procédure de vérification, les outils d’analyse , de surveillance etc … Mais coté logiciel, on confie les choix du Système d’Information à une poignée de polytechniciens carriéristes de passage et à des juristes morts de trouille à l’idée d’avoir un avocat de Microsoft sur le dos ! Ajouter à tout ça quelques Généraux qui aiment voyager et des Politiques à qui on promet un centre de recherche dans
    leur Ville ou le support de quelques initiatives dans la région où ils sont Maire !

    Mais Windows est une passoire et ça se sait ! En client comme en Serveur ! Du moins les 95 % de la population mondiale qui utilisent Windows tous les jours chez eux et au travail et qui passent leur temps dans les mises à jour, les anti virus et les ré-installations ! Quand c’est pour jouer , surfer ou même écrire une lettre à ses clients , on l’accepte car c’est pénible de changer ses habitudes et de contrarier son fournisseur avec des OS qu’il ne connaît pas .

    Mais le jour ou il arrivera quelque chose de grave avec Microsoft dans un domaine sensible comme la défense nationale , la sécurité intérieur, il faudra rechercher des coupables et des responsables et les punir pour leur incompétence.

    Cela fait des années que les "vrais" spécialistes de la sécurité clament qu’il est impensable de confier ses données et processus sensibles à des boites noires dont on ne sait rien : Ni comment elles fonctionnent, ni comment les dépanner et dont on sait pertinemment qu’elles sont défectueuses . La moindre des choses pour un système sensible, c’est d’avoir des experts à disposition de l’autorité qui les contrôle (et oui, de vrais fonctionnaires) qui connaissent son fonctionnement, savent le démonter, le dépanner, le réparer, l’isoler sans attendre l’hypothétique patche d’une société étrangère (avec quelques commerciaux bien payés en France ) fut elle américaine.

    Il nous faut en France un système d’exploitation moderne (Linux ou autre, public ou pas ) mais libre de contraintes commerciales ou techniques, parfaitement maîtrisé de bout en bout par des experts entièrement sous contrôles de l’administration qui les emploie.
    De nombreux pays ont compris ça, cela ne devrait pas être trop difficile à comprendre pour des polytechniciens si ils ont encore un peu le sens de la Patrie ?

  3. zoomzoom

    @ antistress

    Oui, enfin c’est pas ce qu’on appelle un exercice mais une opération de communication à la gloire des élus sans intérêt pour la mission même de l’armée.
    Laissons les militaires dans les casernes en temps de paix et sortons les pour les parades.
    Il y a suffisamment de films et de jeux vidéo pour montrer la vrai guerre à des enfants de trois ans sans être obligé de monter à la va vite une pièce de théâtre avec des "acteurs" en provenance d’une vrai scène de guerre …

  4. libre fan

    Tiens, la Gendarmerie pourrait donner de bons conseils eux qui passent sous GNU/Linux et ont des serveurs sous GNU/Linux depuis longtemps.

  5. Earered

    * Comment est-il possible qu’une fonction aussi critique que le réseau informatique de la Marine nationale dépende d’un système d’exploitation propriétaire fourni par une firme étrangère ?

    Carburant, électronique, etc… Il n’y a plus d’états pouvant construire l’ensemble de son armée avec les ressources exclusive de son pays (et une saine concurrence ne fait pas de mal pour éviter que certaines entreprises ne s’engraisse trop sur l’argent public, cf. les derniers contrats d’Airbus aux… États-Unis!)

    * Comment est-il possible de choisir un système d’exploitation à la réputation sécuritaire plus que douteuse et dont il est impossible de relire le code source pour le vérifier ou l’améliorer ?

    C’était le sujet du programme "shared source" de microsoft, non? Et on ne prend pas un AS/400 pour un poste bureautique, et/ou on tient compte du coût du personnel (compétent sur *nix ou Windows?). L’argent est le nerf de la guerre 😉

    * Comment les administrateurs d’un réseau militaire sensible peuvent-ils laisser leurs serveurs non patchés pendant des mois alors que le danger a été signalé et le que le correctif a été mis à disposition ?

    J’imagine parce que le réseau est censé être isolé (des vieilles machines non patché, qui ne sont jamais consultable en pull, mais systématiquement par un push de leur part sur un serveur, démarrer via un pull périodique sur un front intermédiaire: exemple serveur d’horodatage), mais ils ne l’étaient pas. Je crois que c’est là que se situe la faute (sur la conception ou non respect d’une procédure).

  6. Waw

    La faute n’est pas forcément à l’OS mais aussi à ceux qui l’utilisent. Dans ce cas, il n’ont respecté aucune règle de sécurité… Même chez moi mon ordinateur est mieux protégé. Je ne fais pas n’importe quoi sur Internet, j’ai un antivirus… bref les règles de base.

    Pourquoi par exemple les gens se mettent en administrateur tout le temps? Un compte limité ne suffit pas pour de la bureautique ou Internet peut être? Sous GNU/Linux on a un compte limité par défaut, mais un utilisateur qui est tout le temps en root est aussi exposé à des menaces. Il y a des mises à jour à faire tout le temps aussi, et parmi ces mises à jour, des nombreuses mises à jour de sécurité, preuve que des failles existent bel et bien sous GNU/Linux. Et bizarrement, quand une faille touche GNU/Linux, personne n’en parle et certains essayent même de minimiser l’affaire (par honte de s’avouer vaincu?). A méditer.

  7. Guy

    "Pourquoi par exemple les gens se mettent en administrateur tout le temps? "
    Parceque sous windows , 90 % des progiciels en entreprise ne fonctionnent pas correctement en dehors du mode administrateur ( émulateurs Mainframe qui n’accèdent pas à leur fichiers de config, développements spécifiques pas correctements testés etc …)
    Windows n’oppose aucune résistance à ce qu’on puisse travailler en mode admin ce qui n’incite pas les mauvais développeurs à corriger ces bugs .
    Sous Linux, le mode administrateur est correctement géré par 95 % des développeurs et 99,99 % par les centaines (milliers) de logiciels fournis dans une distribution donnée .
    Il devient même pénible d’effectuer des tâche de bureautique sou ce mode (Vlc de fonctionne pas, KDE propose un rouge criard avec un menu limité etc …)
    Bref, ce n’est pas la faute de Windows mais un peu quand même et peu de développeurs d’interfaces "client lourds" Windows ou eu l’ habitude de développeurs pour un OS multi-utilisateurs comme le faisaient les dev Unix depuis longtemps …

  8. jsb

    Je veux bien que les systèmes windows ont beaucoup de failles, mais tous les systèmes en ont : Linux compris.

    Ce qui est inquiétant ce que personne n’a passé le patch ! peut être qu’il n’y a pas de vrai admin réseau dans la marine ?

  9. lde

    Au delà des conflits de chapelles Windows/Linux, je suis surpris que la Marine Nationale équipe ses serveurs et machines sensibles d’un OS d’un pays allié certes, mais étranger, sans avoir accès au code. Qu’en est-il de l’indépendance nationale dans ces conditions ?

  10. bernard

    Je trouve cette information intéressante, néanmoins il serait nécessaire
    de vérifier l’origine de l’information ….

    Il est plus facile de faire de l’intox que de donner une
    information véritable et sourcée ….

    La seule chose qu’il faut en retenir, c’est que chaque système
    d’exploitation est vulnérable à plus ou moins brève échéance ….

  11. zebulon

    Beaucoup de suppositions…
    Pour information :
    – Earered suppose très bien.
    – Les principaux dysfonctionnements (rafales) viennent du fait que les différents réseaux ont été déconnectés entre eux par principe de précaution.
    – La messagerie marine tourne sous postfix avec un annuaire Openldap.
    Pour finir, une chaine SSI brouillon, beaucoup de restructuration, un peu le bordel quoi…

  12. trop fort

    Nos armées…
    pas trop le temps mais :
    ils ne se sont pas aperçu que depuis plus de trente ans tout a changé…
    Ils doivent découvrir Internet mais le confondent sans doute encore avec le minitel…
    Ils doivent à peine savoir ce que sont la NSA et du réseau échelon…
    Juste pour se faire une idée des enjeux… Ils ne sont même pas au courant que le Nasdaq, séparé du NYSE et qui comprend les valeurs des nouvelles technologies (pour faire simple) est supérieur à lui seul à n’importe quelle autre capitalisation boursière individuelle du monde, qui elles comprennent l’ensemble des valeurs de l’ancienne et de la nouvelle économie…
    Ils ne parcourent pas non plus le Web, par exemple pour y lire ceci :
    "Entre février 2001 et mars 2002, Gary McKinnon a piraté des dizaines d’ordinateurs de l’US Army, de l’US Navy et de l’US Air Force ainsi que de la Nasa, sans jamais quitter sa chambre du nord de Londres."
    «J’ai découvert que les militaires américains utilisaient Windows, raconte l’ancien administrateur de réseaux informatiques, et j’ai cherché à voir si certains ordinateurs étaient mal protégés.»
    http://www.lefigaro.fr/internationa
    Depuis l’armée américaine passe sous Mac avant de se tourner en partie vers Linux (du moins pour les données stratégiques)…
    http://www.lepoint.fr/actualites-te