Cash investigation : Linux VS Microsoft

Hier soir sur France 2, l’émission Cash Investigation se penchait sur les marchés publics de notre belle administration.
La seconde partie de l’émission évoquait le marché public du ministère de la Défense avec Microsoft.
Il s’agit d’un contrat unique pour équiper l’intégralité du parc informatique du ministère : poste de travail et serveurs.
L’émission aborde certains aspects, voici quelques commentaires.

linux-windows-logo

La vidéo de l’émission

L’émission est disponible en intégralité sur la chaîne Youtube Cash Investigation (ainsi que les précédentes).

  • La première partie concerne un marché public de la ville de Nice pour un stade.
  • La seconde partie le contrat de Microsoft avec le ministère de la Défense
  • La dernier partie, un marché privé avec pôle emploi.

La partie Microsoft commence à 42:17 avec une partie sur l’évasion fiscale.

Addiction à Microsoft

Microsoft est une muti-nationale … comme tout multi-nationale, le but est de vous faire utiliser ses produits le plus possible afin de maximiser les revenus.
La société met donc en place des stratégies.

Dans le cas de ce contrat, les experts parlent d’addiction et d’enfermement (à partir de 47:00).
Une fois le système informatique du ministère de la Défense passé entièrement sur Microsoft, ce dernier en devient dépendant :

  • Les utilisateurs ne sauront utiliser que des produits Microsoft. Les habitudes et automatismes s’acquièrent vite lorsque l’on utilise des logiciels. Qui n’a jamais ronchonné de voir son menu habituel déplacé ou changé après une mise à jour ou pire lorsque l’on utilise un autre logiciel ?
  • Il y a aussi les questions des formats de documents. Initialement, le format des documents Office de Microsoft était fermé, c’est à dire que le format n’était pas connu du point de vue technique. De ce fait, il était difficile de créer des logiciels capable d’ouvrir les documents Word. Cela permet donc d’éviter d’avoir des « concurrents ».. Avec l’arrivée d’OpenOffice, Microsoft a un peu changé de stratégies en créant un format ouvert (OpenDocument) depuis Office 2010.

Imaginez le nombre de documents produit par un ministère au bout de plusieurs années.
En cas de changement de système, cela peut devenir un vrai casse tête pour permettre de modifier des documents existants.

Il faut aussi former tous les utilisateurs avec les nouveaux systèmes et logiciel, cela induit un coût supplémentaire.
Migrer les données stockées pour chaque logiciels….. cela peut-être parfois difficile, voire impossible… En effet, la structure des données sont spécifiques aux logiciels utilisés, il faut que le nouveau logiciel puisse importer ses données vers sa structure à lui, pour garder une cohérence.
En clair, sortit de Microsoft va être très très très compliqué.

Pour arriver à ses fins, Microsoft a ouvert toutes les vannes avec des prix attractifs, une fois le système informatique mis en place. Le ministère de la Défense devient dépendant… Microsoft peut donc faire monter les prix.
Cette stratégie est aussi utilisée avec les étudiants et l’éducation en général, où Microsoft pratique des prix de licences très bas.
Des offres attractives sont souvent proposées, par exemple 79,00 €TTC pour quatre an au lieu de 69 euros par an
Pour les enseignants, c’est encore moins chers, on peut avoir des licences pour 11 euro.
Le but est simple, s’implanter dans les écoles et université, pour convertir les utilisateurs le plus tôt possible aux produits Microsoft… afin que plus tard, ces personnes continuent dans les entreprises et chez soi à les utiliser.

offre_microsoft_office365_etudiant

La sécurité Windows

L’émission aborde ensuite des aspects sécuritaires autour des systèmes Microsoft et plus particulièrement de Windows. (01:03:00)
Deux thèmes sont

  • L’espionnage industriel par la NSA depuis des entreprises américaines.
  • La faiblesse des systèmes Microsoft et de Windows.

NSA et Microsoft

Les liens sont établies depuis longtemps, pas mal d’articles sont disponibles depuis les révélations Snowden.
En 2013 : Microsoft aurait permis l’accès de la NSA à Outlook et Skype et Comment Microsoft s’est adapté pour répondre aux voeux de la NSA

Les aspects sont de défense, permettre plus facilement de suivre les terroristes etc, mais les USA sont aussi connus pour utiliser ces backdoors à des fins économiques.
Lors du scandale PRIM en Juin 2013, ces aspects ont été évoqués : L’autre enjeu du scandale de la NSA: derrière la lutte contre le terrorisme, l’espionnage industriel américain à grande échelle

Sur Wikipedia : https://fr.wikipedia.org/wiki/R%C3%A9v%C3%A9lations_d%27Edward_Snowden

Le , le New York Times dévoile les efforts NSA pour espionner massivement aussi bien les pays ou organisations ennemis que les alliés des États-Unis, en publiant plusieurs documents (liste 2007 des missions stratégiques et plan stratégique 2008-2013 de la NSA, typologie des sources d’informations en décembre 2009). La liste 2007 des missions stratégiques de la NSA (7 pages) illustre le large périmètre des activités de l’agence, comme la surveillance des groupes terroristes ou le programme nucléaire iranien, mais aussi l’espionnage de la diplomatie ou des politiques économiques de pays « amis ». Ce document montre aussi que la France est le pays européen le plus surveillé : espionnage industriel des technologiques émergentes françaises, politique étrangère de la France, capacités de cyber-espionnage français, capacités d’espionnage et de contre-espionnage français.

Echapper à la NSA est d’autant plus difficile, que pour une multi-nationale qui peut tenter de se passer de services internet américains…. les prestataires qui sont parfois très nombreux peuvent en utiliser, dès lors les informations échangées peuvent arriver aux oreilles des USA.

Côté Windows 10, les choses ne vont pas s’arranger pour l’utilisateur, puisque ce dernier fait un virage pour monétiser vos données, comme le fait Google depuis des années et des années : Windows 10 : keylogger, espionnage, mouchards etc

Vulnérabilités de Windows

A 1:08:00, Cash investigation évoque les vulnérabilités de Windows, et la facilité avec laquelle on peut pirater le système.
Dans l’émission le pirate utilise MetaSploit (j’en parlais là : MetaSploit test de pénétration).
Il s’agit d’un logiciel de Microsoft…. non c’est bon, je déconne, c’est un logiciel libre qui permet de tester des vulnérabilité.
Des modules sont constamment créés pour suivre les vulnérabilités publiées et permettre de les tester sur des systèmes.
cash_investigation_linux_microsoftLa victime a un système d’exploitation avec Windows 7 avec une vieille version d’Internet Explorer, moultes vulnérabilités ont été publiées depuis.
En clair son Windows n’est pas du tout à jour et vulnérables.

Dans l’article, le pirate va donc utiliser MetaSploit pour pirater le Windows de la victime.
Pour cela, il envoi un mail vérolé… avec un lien à visiter à la victime.
Dans le mail, le lien a l’air véridique puisque l’on a l’adresse du lenouvelobs.com… du moins, c’est ce qui est écrit.
Seulement, si on clic dessus, cela charge une autre adresse
On le voit très bien dans la vidéo d’ailleurs, le pirate a enregistré une adresse ddns.net

cash_investigation_linux_microsoft_2

En clair, la victime va se connecter à un serveur contrôlé par le pirate, qui va ensuite le rediriger vers la vrai page lenouvelobs.com pour ne pas éveiller les soupçons.

C’est assez rapide et relativement invisible si on ne regarde pas trop les connexions établies par le navigateur WEB en bas à gauche.
Cependant, cela est visible sur le mail si on passe la souris sur le lien, la victime aurait vu l’dresse en ddns.net qui n’a rien à voir avec lenouvelobs.com.
Ce sont des méthodes classiques utilisées dans les campagnes de mails malicieux : virus par email.

Le serveur pirate va exploiter une vulnérabilité connues d’Internet Explorer pour charger le code malicieux qui va permettre le contrôle de l’ordinateur avec MetaSploit (ouverture d’un shell probablement).
Si vous êtes fidèle lecteur de malekal.com – c’est exactement ce que je vous explique depuis 2011 et l’exposition des infections par des Web Exploit diffusées notamment par des publicités malicieux (malvertising) ou des campagnes de mails malicieux.

Ici la vulnérabilité se situe sur Internet Explorer mais des plugins comme Java ou Adobe Reader, Flash ou autres non à jour peuvent servir de porte d’entrée, d’où les recommandations habituelles que je vous donne : Logiciels pour maintenir ses programmes à jour

Le malware/virus implanté permet au pirate de faire tout ce qu’il veut avec l’ordinateur de la victime… contrôler la webcam, éteindre l’ordinateur, lire le contenu du disque etc.
Exactement comme font tous les malwares actuels, voir à ce propos : RAT (Remote Access Tool).

Je regrette vraiment que l’émission n’ait pas pendant 20s expliqué mieux cet aspect pour surtout conseiller de bien maintenir Windows mais surtout ses logiciels à jour.

Les logiciels libres

L’émission ensuite fait l’apologie des logiciels libres.

Quelques bémols :

En 2010, des développeurs d’OpenBSD (un système libre) avoue que le FBI a payé des développeurs pour ajouter une backdoor dans le système VPN : http://linuxfr.org/users/zezinho/journaux/backdoor-dans-openbsd
Si on est sûr que Microsoft a des collusions avec la NSA, le risque 0 n’est pas écarté.

d’autant que Linus’ father confirms NSA attempt at backdoor in Linux, en clair donc, les pressions sur les logiciels libres existent.

La seconde attaque envers Microsoft concerne le nombre de vulnérabilités et le délai pour les corrigés.
Ces reproches envers le géant de l’informatique ne sont pas nouvelles, d’ailleurs, ces discussions ont souvent lieu sur les forums informatique.

Lors des grosses attaques du vers Blaster, les reproches sur la sécurité de Windows XP avait fusé.
Obligeant à sortir un service pack 2… depuis Microsoft tente de suivre le monde des malwares, notamment à travers un laboratoire et Microsoft Security Essentials et Windows Defender.
Ces problématiques de sécurité, n’ont d’ailleurs pas touché que Microsoft, Oracle et Adobe, ont eu aussi beaucoup de reproche du temps où le Web ExploitKit BlackHole tapait fort : Exploit Java toujours aussi efficace.
Pour Adobe, cela a signé la mort de Flash.
Les prochains reproches iront probablement aux sociétés derrières les IoT (Internet des objets).

Ce raisonnement est à mon sens plutôt destiné aux grands publics…  et des attaques ciblées de groupes de cybercriminels.
Pour la cyberguerre, si un Etat veut y mettre les moyens, Linux ou Windows, ça ne changera probablement pas grand chose.
Le défi reste la formation des utilisateurs, car ça reste eux, que l’on soit sur Windows ou Linux qui clique.

Reste que les logiciels libres sont beaucoup plus métrisables.

Conclusion

Il n’en reste pas moins qu’ici, on a encore un bel exemple de tentatives de faire des économies rapidement, comme les politiques aiment à faire…
Sur le long terme, le ministère sera perdant, à coup sûr.

(Visité 188 fois, 1 visites ce jour)