Quartier général des super-vilains, section informatique, salle de réunion, 10h30. The Spam, DDOS et le Faussaire débutent la réunion hebdomadaire. Quelles actions mener dans les prochaines semaines pour faire prospérer les affaires de la World Evil Company (WEC) ? Le Faussaire projette sa présentation sur l’écran. À l’ordre du jour :
- revue des protections anti-piratage,
- les règlements de protection des données,
- les failles 0-day à exploiter,
- le recrutement et la formation des ‘mignons’.
Le premier sujet est rapidement éludé car en réalité peu rémunérateur. Quel que soit le mécanisme de protection utilisé, pour les contenus audio et vidéo, il est toujours possible de récupérer l’image ou le son diffusé sur l’écran ou les enceintes. Dans certains cas, la qualité n’est pas terrible, mais leurs clients se moquent du flacon tant qu’ils ont l’ivresse.
L’évolution des mécanismes de cryptage et des DRM (Digital Right Management) auraient pû freiner la possibilité de copie, mais dès le moment que l’euvre est reproduite, elle est facilement capturable. Seuls les honnêtes gens subissent ces protections mises en place par la ‘ligue du bien’ (pour les propriétaires d’oeuvres).
Pour les contenus interactifs multimédia (les jeux vidéos) et les logciels, cela nécessite d’autres compétences. Si les techniques ‘As a Service’ et Cloud Gaming rendent le jeu plus compliqué pour des brutes comme The Spam et DDOS, le Faussaire trouvera toujours un moyen de contourner et de ‘libérer’ les programmes, à condition que ces mignons soient performants.
Pour la partie ‘exposition’ des contenus piratés, certes Gros Kim est sous les verrous, et sa plateforme de diffusion est fermée depuis 10 ans. Pour autant les méthodes se sont multipliées. Entre streaming et téléchargement depuis des serveurs dans des pays ‘aliés’ jusqu’à l’utilisation des services commerciaux (voir affaire Google Drive), il n’a jamais été aussi facile de diffuser des œuvres au nez et à la barbe des Hadopi …
Sujet suivant, le règlement général pour la protection des données (RGPD). Les 3 vilains rigolent. À cause de réglementations du commerce, les pays ne sont pas capables de se mettre d’accord sur un plan commun. Les plus grands groupes se moquent de ces règles. Inutile d’être du WEC pour tromper l’utilisateur final. Une popup énorme est le meilleur moyen de forcer l’utilisateur final à donner son accord.
Pour le WEC, le RGPD ne change rien. En pratique, ce règlement aurait dû forcer les sites à améliorer leur sécurité. Mais la raison économique est toujours plus forte que la raison sécuritaire. Pourquoi consacrer du temps dans la sécurité quand il faut sortir les services au plus tôt ? De nos jours, les commerciaux expliquent aux informaticiens comment programmer. Du pain béni pour le WEC qui en plus recrute les déçus de ce système.
Passons failles 0-day. C’est le trésor de notre trio. Il s’agit de failles, présentes dans les services Internet ou systèmes, qui n’ont pas encore étaient détectées, ni corrigées. Un mignon du Faussaire vient d’en détecter une sur les réfrigérateurs Samsung. DDOS propose immédiatement de l’utiliser pour noyer les sites institutionnels. Le Faussaire accepte de la lui laisser. Les frigos, ce n’est pas son domaine.
Le Faussaire préfère plutôt les failles systèmes. Celles qui permettent de passer outre les antivirus et autres murs de flammes pour voler les secrets industriels. Les attaques de masses, c’est bon pour les apprentis hacktivistes. Lui, ce qu’il cherche, c’est de bloquer un riche industriel pour le faire payer. Un ransomware chez le bon client et c’est de suite des milliers de bitcoins extorqués ou volés.
Dernier sujet de la réunion, le recrutement et la formation des mignons. Chaque super-vilain a ses mignons. Pour The Spam, il s’agit surtout d’ordinateurs esseulés avec peu de protection. Pour DDOS, la vague Anonymous est passée depuis bien longtemps. Il a depuis adopté une stratégie similaire au Spam. D’ailleurs, les mignons de l’un peuvent travailler pour l’autre.
Seul le Faussaire reste évasif sur la nature et les compétences de ses mignons. D’ailleurs, il n’emploie pas ce terme. Une chose est sûre, il est prêt à mettre le prix pour avoir des collaborateurs performants. D’ailleurs, certains de ses mignons ont été promus dans la hiérarchie en devenant des super-vilains à part.
Avec un diagramme à barres, The Spam présente l’augmentation de ces nouvelles recrues. Les nouvelles lampes connectées sont des recrues idéales. Produites en quantité importantes, faiblement sécurisées, Wifi et nécessitant un accès au serveur du fabricant pour être ‘configurées’, elles se révèlent efficaces une fois corrompues. Ne dit on pas ‘le nombre fait la force’.
12h. La réunion se termine. The Spam enverra le compte rendu de la réunion. DDOS est content. L’horaire a été respecté et il n’aime pas arriver en retard à la cantine. Et surtout, il ne veut pas que le bœuf bourguignon annoncé disparaisse au profit d’autres génies du mal. Le faussaire s’en va discrètement. Il a toujours était méfiant car il connaît la vraie nature de ses employeurs.