Piratage en blouse blanche (épisode 2)

Bon, ben voilà, après quelques semaine d’attente, et malgré les multiples obstacles que j’ai du surmonter, voici le nouveau chapitre de mon polar geek, qui du coup, gagne un titre un peu moins générique que Polar Geek. Un remerciement tout spécial à ma chère et tendre qui a hérité du travail de relecture. Et au vu de ses remarques, parfois assassines, ce ne fut pas de tout repos….
Bonne Lecture

«Avec plaisir oui, sucré et avec un peu de lait s’il vous plaît».
Et en plus il sucre son café… Si vous voulez mon avis, on devrait torturer les gens qui gâchent le café en le sucrant.
«Vous me disiez que vous vous étiez fait pirater, expliquez-moi ça, et d’abord, qu’est-ce que vous vous êtes fait pirater ?».
«Oui vous avez raison, il faut que je vous explique. Mais… Tout d’abord, ce que je vous dirais restera bien confidentiel n’est-ce pas ? Comme avec les avocats ?».
Ne pas rire, ne pas rire, me répétais-je alors.
«En fait non, Monsieur, mais j’ai une certaine déontologie que je respecte et si vous le voulez nous pouvons signer un accord de confidentialité tout de suite, celui-ci m’empêchera légalement de divulguer vos problèmes».
«Ah oui alors, signons cela, j’aurais l’esprit plus tranquille».
Aussitôt dit, aussitôt fait. Et c’est ainsi que j’appris son nom : Arthur Carpendar, DG d’une société appelée LearnMore.
«Maintenant que vous vous êtes assuré de mon silence Monsieur Carpendar, je vous écoute».
Tandis qu’il rangeait précieusement sa copie de l’accord de confidentialité, il commença à parler : «LearnMore est une société qui propose des formations à distance reconnues par l’État. Nous formons nos étudiants à tout type de métiers, mais nous sommes avant tout présents dans le médical. Nous nous occupons aussi des plateformes d’apprentissage et d’examens d’une majorité des écoles d’infirmières du pays».
Pendant que mon client parlait, je prenais rapidement des notes sur l’un des petits carnets à spirale qui jonchaient mon bureau. Oui, je sais, le papier c’est dépassé. Mais écrire m’aide à réfléchir. Et j’aime la sensation de mon stylo qui glisse sur le papier, je trouve ça étrangement sensuel.
«Et depuis quelques temps, un de nos élèves a réussi à nous pirater. Des dizaines de notes ont été changées, plusieurs tests ont vu leurs questions modifiées et d’une façon qui nous a ridiculisés…».
«Ah bon, que voulez-vous dire par là ?».
«Que demander à des élèves infirmiers s’il est vrai que le code du travail leur interdit de porter des sous-vêtements sous leur blouse, cela nous ridiculise…».
Comment dans de telles situations, je réussis à ne pas rire, parfois je m’impressionne moi-même. Cette fois-ci encore je jugulais mon rire et me contentais d’un : «En effet, ce n’est pas du meilleur effet».
«Non et cela doit cesser. Il y a quelques mois, nous avons été rachetés par un grand groupe américain, le groupe Horizon. Il y a eu, du coup, un nombre important de remaniements dans nos équipes, si vous voyez ce que je veux dire. Si l’affaire s’ébruite, c’est ma tête qui va tomber».
«Oui, je vois. Je saurais faire preuve de la plus grande discrétion. Mais pourquoi pensez-vous que c’est un piratage ? Vous avez des indices ?».
«En fait, c’est ce que pense notre ingénieur réseau, chef de projet. Il y a presque deux ans, nous avons demandé à une société de services de faire des modifications profondes dans le code. Notre informaticien pense qu’ils ont fait un travail de mauvaise qualité et ouvert des failles qu’un de nos élèves a fini par trouver».

Taper sur les sociétés de services, c’est toujours si pratique. Enfin, il faut bien dire qu’elles le méritent assez souvent. Mais on ne peut pas vendre de la viande et en même temps avoir un engagement qualité haut de gamme. Ce n’est que mon avis, mais je ne supporte plus ces garagistes de l’informatique.

«Ce que je vous propose, si vous acceptez mes tarifs, c’est de venir le plus rapidement possible dans vos locaux pour commencer à auditer le code de votre applicatif ainsi que votre SI et trouver votre pirate».
Mon presque client me coupa avant que je puisse énoncer mon prix de journée : «Votre prix sera le mien. Cet après-midi c’est le mieux si vous êtes disponible, je préviendrais les informaticiens».
Je ravalais précipitamment le chiffre que j’allais énoncer et pleine d’aplomb, en croisant les doigts derrière mon écran, lui assenais le double.
«C’est parfait», lâcha-t-il sans même frémir.
J’envoyais une petite prière silencieuse au dieu des détectives et tentait un : «Et bien entendu, il me faudrait trois jours d’acompte».
«Bien, je m’en doutais. Casey Pollard m’avait prévenu».
C’est bizarre comme parfois, les mots nous prennent au dépourvu. Je fus heureuse d’être assise.
«Pollard vous a parlé de moi?», demandais-je comme si cela n’avait aucune importance.
«Oui, je le connais depuis des années, nous avons des amis communs. Il y a trois ou quatre jours, je lui ai dit que j’avais des problèmes informatiques que je voulais régler en toute discrétion. Il m’a tendu votre carte en me disant qu’elle serait la solution à tous mes problèmes. Il a rajouté que ça allait me coûter cher, mais que le travail serait parfait».

Je bouillais de rage. Il avait même mes cartes de visite… Pensait-il que je n’étais pas capable de me débrouiller seule qu’il me faisait l’aumône des clients ? Je me rendis compte que je venais d’égorger violemment une Lucky Strike à coup d’ongles rageurs. Et que j’avais loupé les derniers mots de mon client.

«… le connaissez ?».
«Ah… C’est une longue histoire, disons que nous avons eu l’occasion de travailler ensemble. Par contre, si vous voulez bien me pardonner, je dois préparer l’entretien de cet après-midi avec votre équipe». Se rendit-il compte que je le jetais presque dehors ? Me prit-il pour une autiste d’une impolitesse crasse ? Je dois bien dire que sur le moment, cela m’importait peu. Je voulais juste être seule et me vider la tête avec une bonne session de Team Fortress.

L’après-midi était, comme il se doit pour un lundi après-midi d’hiver, gris et glacial. Après une vraie croisade à travers les transports publics suivie d’une petite marche que l’on pourrait qualifier de revigorante mais que je décrirais plutôt comme frigorifiante, je finis par enfin me retrouver devant les locaux de LearnMore. Pour que vous vous fassiez une idée, comparé à l’immeuble qui me faisait face, les tunnels du métro ressemblaient au pays joyeux de l’île aux enfants. Je me serais cru dans un mauvais polar. Vous savez ceux où les immeubles sont toujours gris et lugubres, perdus au fond d’une zone industrielle où les seules femmes que l’on croise sont celles qui attendent sur le bord de la route en faisant tourner leur petit sac à main. Un vrai cliché.

«Bonjour, Alana Oscar, Monsieur Carpendar m’attend», annonçais-je à la standardiste en soufflant sur le bout de mes doigts pour les réchauffer. J’ai le bout des doigts très sensibles, je ne supporte pas les gants, je ne peux donc porter que des mitaines. Et de toute façon, cela peut être très sexy les mitaines. En voyant que la standardiste me regardait avec des yeux aussi gros que des assiettes à pizza italienne, je me rendis compte que j’avais oublié d’enlever mon bonnet. C’est un cadeau de ma petite nièce. Elle a eu droit à un atelier couture pendant ses dernières vacances. J’ai donc gagné un gros bonnet en laine, comment dire, arc en ciel. Mais il tient chaud et ça lui fait plaisir que je le porte. Et puis en y réfléchissant, il nuit moins à ma vie sociale que mon vieux bonnet Domo Kun.
«C’est la nouvelle tendance de l’hiver, si vous m’appelez Monsieur Carpendar tout de suite, je vous dirais où vous pouvez l’avoir à tout petit prix». Elle ne daigna même pas me répondre…

«Vous avez raison Mademoiselle, il est ennuyeux qu’il n’y ait pas de logs sur les connexions du VPN, mais ce n’est pas très grave dans l’affaire qui vous occupe vu que ce n’est pas par ce biais que se connectent les élèves». Cela faisait moins d’une heure que j’étais là et j’avais déjà envie de courir à travers les couloirs en hurlant avant d’assommer le responsable réseau à coup de clavier, voire de l’écarteler avec des RJ45. Et le fait que ses notions d’anatomie humaine lui fasse croire que les yeux des femmes étaient à hauteur de poitrine, n’aidait pas vraiment non plus.

«Laissez-moi juge de ce qui est grave ou pas, Monsieur Tave». Je remontais mes lunettes d’une petite pichenette avant de continuer. Je ne devrais pas vous le dire, mais ce sont des verres blancs. Une femme informaticienne c’est déjà suffisamment dérangeant, si je ne portais pas de lunettes, je pense que certains de mes interlocuteurs refuseraient de croire que j’existe et me classeraient dans la catégorie créature mythique et fantasmée.

«Si je récapitule, votre applicatif est accessible à vos élèves, par le web, ce qui est normal. C’est la même chose pour les professeurs qui ne sont pas des salariés LearnMore. Mais aucun log n’est fait de leur activité, on sait juste quand ils se connectent et combien de temps. L’accès administrateur de ce même applicatif n’est possible que de votre réseau d’entreprise, cette limitation étant mise en place par de la restriction IP. Mais permettez-moi de vous dire que LearnMore n’a jamais été et ne sera jamais un password sécurisé. Pour que le tout soit un peu plus piquant, il existe un VPN qui donne accès à votre réseau d’entreprise, pour vos salariés mobiles. Bien entendu, à partir de ce VPN on peut se connecter sur votre application, y compris en accès administrateur, mais ça, apparemment, ça ne gène personne. Et, histoire d’être sûr de remporter le Darwin Awards des réseaux informatiques, il n’y a pas de logs de connexions concernant ce VPN. Rien, nada, nichego, le VPN le plus aveugle que je connaisse. Est-ce que j’oublie quelque chose ?»

«C’est que… Je… Je n’étais que développeur PHP jusqu’il y a peu de temps. Ce n’est que depuis la restructuration que je dois m’occuper du réseau aussi. J’ai tout laissé comme c’était avant que l’on vire le responsable».

«J’ai bien compris monsieur Tave…», faire un jeu de mot en lui disant qu’il était un pauvre gus me démangeait depuis qu’il s’était présenté, surtout qu’il avait le physique de l’emploi. «… que vous n’étiez pas qualifié pour gérer l’infrastructure réseau, et que vous n’êtes pas le seul à blâmer… Mais tout de même. Vous pensez vraiment que ce n’est pas grave qu’il n’y ait aucun log nulle part ? Vous pensez vraiment qu’il n’est pas important de logguer quand et d’où se connectent ceux qui ont les privilèges administrateurs ? Au vu de ce que vous venez de me montrer, les modifications dans vos bases pourraient venir de n’importe où et l’hypothèse que vous imaginez, celle de l’élève pirate informatique, me semble clairement la moins plausible».

C’est le moment que choisit Carpendar pour intervenir. «Monsieur Tave pensait pourtant que cela ne pouvait provenir que des élèves, que c’était, comme je vous l’ai dit ce matin, dû à une faille qu’aurait laissé la société de services qui a travaillé sur notre applicatif. Comment pouvez-vous affirmer le contraire sans avoir vu le code source. Et, si ce n’est pas cela, qui a donc piraté nos bases ?».
«Je parle en terme de plausibilité. Vu la qualité de votre sécurité informatique, je pense que c’est là que ce trouve le point faible. A mon avis, c’est tout simplement un sabotage interne. Quelqu’un qui par exemple n’a pas apprécié le rachat de votre société et qui se connecte soit directement de vos locaux, soit à travers le VPN».

Je vis alors clairement que mon hypothèse les choquait. L’admin réseau surtout, avait l’air catastrophé. Le pauvre, il devait se dire que tout allait lui retomber dessus. «Je vais tout de même auditer le code de votre application, au cas où. Mais pendant que je ferrais cela, vous monsieur Tave, vous allez changer les mots de passe de tous vos salariés en prétextant que le groupe Horizon vous oblige à mettre en place une politique de changement de mots de passe forcé tous les trimestres. Vous allez également faire en sorte que chaque action faite sur l’applicatif de cours soit loguées. Et enfin vous allez activer tous les logs possibles sur le VPN. Et surtout, surtout, vous allez changer le mot de passe du compte admin de votre applicatif. Et c’est moi qui vous donnerait le nouveau mot de passe. Des questions ?».
«Non Mademoiselle, je vais m’y mettre tout de suite et je vous tiendrais au courant».
«Non, avant cela, nous allons voir la configuration de votre VPN et définir des zones d’accès en fonction des fonctions des salariés. Monsieur Carpendar, nul besoin que vous restiez plus longtemps, cela va devenir technique, je viendrais vous voir pour faire un rapide debriefing avant de repartir, pourriez-vous simplement faire en sorte que je puisse rentrer en taxi après notre réunion ?».

Le bureau de Carpendar criait que celui-ci avait plus d’égo qu’un jeune diplômé de l’ENA. Des reproductions de tableaux que je trouvais moches à souhait, mais qui devaient être la dernière mode côtoyait des photos de lui lors de grandes occasions. Au centre, trônait un lourd bureau très Renaissance, un bureau de Président, tout à fait la sorte de bureau qui vous dit quand vous le voyez ”celui qui s’assoit ici est important, pour de vrai, tu devrais être heureuse de simplement avoir le droit de pouvoir lui adresser la parole”. Tout cela me fit sourire. Les DG, décidément, tous les mêmes.

«Je ne vous cacherais pas que votre politique de sécurité est déplorable. Je suis presque étonnée que vous n’ayez pas eu de problèmes plus tôt. Nous avons, avec Monsieur Tave, mis en place, une configuration un peu plus étoffée du VPN, en limitant autant que possible les accès. Avec les logs que l’on a rajouté un peu partout, nous devrions pouvoir y voir plus clair. Le risque principal, maintenant, c’est que votre pirate, si c’est un salarié interne prenne peur du fait du changement de mot de passe et arrête tout. De mon coté je vais auditer le code de votre application et je reviens vous voir dans une semaine, plus tôt si vous détectez une activité suspecte».