Imad Lahoud, l'informaticien de l'affaire Clearstream (2) n'en est pas un
update du 12 juin: le nouveau livre (lu hier) de Denis Robert, « Clearstream, l'enquête » confirme ce qui est écrit dans cet article. Denis Robert a vécu l'affaire Clearstream (2) de l'intérieur. Il est probablement l'observateur le mieux renseigné et le plus neutre qui puisse s'exprimer sur cette histoire. Il donne dans son livre quelques détails que nous n'avions pas pu vous donner. Selon Denis Robert, Jean-Louis Gergorin lui aurait dit que Imad Lahoud et son équipe auraient piraté Clearstream. Cette thèse, nous n'y croyons pas. Pas plus que Denis Robert d'ailleurs.
« En sécurité informatique, c'est une bille » assènent plusieurs experts du domaine qui ont eu l'occasion de croiser Imad Lahoud ou de se pencher sur les déclarations du général Rondot à propos du supposé piratage de Clearstream.
Imad Lahoud est pourtant présenté par (pratiquement) toute la presse comme un « hacker de génie, roi du décryptage informatique, un Mozart de l'informatique comme on en rencontre peu »... C'était aussi l'avis de Jean-Louis Gergorin qui voyait en lui un dieu des mathématiques et un expert pouvant -ce n'est pas rien- résoudre ses problèmes d'ordinateur au bureau.
S'il a pu faire croire à Jean-Louis Gergorin, au général Philippe Rondot ou encore à Alain Juillet, qu'il était capable de pirater le système Clearstream, c'est probablement parce que, et pour reprendre ses propres mots, ces derniers ne font « pas la différence entre un portable et un fer à repasser » (ledit fer à repasser étant, par ailleurs, l'endroit où Rondot avait cachée la clef du coffre fort que les juges d'Huy et Pons ont dû fracturer lorsqu'ils l'ont perquisitionné, faute de l'avoir trouvée).
Son kung-fu (autre qu'informatique), comme disent les hackers, est pourtant très puissant. En effet, il est parvenu a bouleverser les règles de « traitement » d'une source au sein des services de renseignements. Il est mis en relations avec trois personnes très haut placées dans la hiérarchie des services secrets au cours d'un dîner évoqué par la presse sur la foi des déclarations des intéressés à de nombreuses reprises. Il les mystifie. Ce qui est somme toute une belle réussite, ces gens-là étant supposés ne pas se laisser impressionner par la première source venue. Il mystifiera de nombreux interlocuteurs, et toute la presse, sur sa capacité à hacker des systèmes informatiques alors que tous ses proches collaborateurs passés et plus contemporains savent et disent qu'il en est totalement incapable.
Embauché à EADS comme consultant au service de Jean-Louis Gergorin, en avril 2003, il est propulsé, en juin 2004 et au grand dam de plusieurs cadres d'EADS, effarés par son incompétence en la matière, directeur d'un centre de recherches spécialisé dans la sécurité informatique.
Lorsqu'il était simple consultant, avec le soutien marqué de Jean-Louis Gergorin, mais sur sa proposition, Imad Lahoud se voit en effet rapidement confier la responsabilité de créer une « dream team » de hackers éthiques, c'est à dire des informaticiens spécialisés en sécurité informatique qui utilisent leurs compétences pour déjouer les manoeuvres des pirates.
... et fascination malsaine des acteurs du drame pour lesdits services
Imad Lahoud, tel Bosley dans Drôles de dames, va alors sortir l'un des employés d'EADS de la business unit, où il n'est pas très heureux, pour l'intégrer dans son équipe. La suite de la composition de la « dream team » en devenir est assez simple et logique. Des informaticiens sont recrutés dans des administrations, dans des entreprises de sécurité ou des écoles. Ils ont la particularité de très bien se connaître. La plupart sont membres d'une équipe informelle, Rstack, comme il en existe légion.
Ceci dit, cette équipe est un peu particulière. Elle est composée d'experts considérés -à l'inverse d'Imad Lahoud- comme très fiables, sinon couvés, par l'armée et les services de renseignements, qu'ils fréquentent régulièrement.
Initialement, EADS envisage de créer une structure spécifique qui pourrait être « partagée » notamment par les services de l'Etat. Mais ce projet particulier capote et c'est finalement au sein de l'entreprise que la « dream team » est hébergée. Elle travaillera sur la sécurité du groupe et de ses filiales. On prévoit qu'elle fera de la formation. Ce qui n'arrivera finalement pas. Des contrats européens sont envisagés, vu le profil inédit de l'équipe.
En effet, quelques entreprises de sécurité informatique disposent de tels profils, mais aucune ne détient autant d'experts choyés par les services de sécurité de l'armée, y compris la DPSD, ou civils. En outre EADS est une entreprise qui dispose d'une évidente culture de sécurité et du secret découlant de ses activités. Sur le papier, le projet est parfait.
Mais des grains de sable grippent rapidement la belle mécanique. Premièrement, les services voient finalement d'un oeil moyennement positif le fait de voir autant d'experts de haut vol échapper à leur contrôle. Deuxièmement, ils sont sous la coupe d'Imad Lahoud qui n'est plus en odeur de sainteté au sein de certains services. S'il arrive que des « pirates » ayant eu maille à partir avec la justice soient, du fait de leurs compétences, avalisés par les services de renseignement lors de procédures de recrutement par des sociétés de sécurité informatique, la nomination à la tête de cette « dream team » par Jean-Louis Gergorin d'une personne sans compétences en sécurité informatique et ayant, par ailleurs, selon le Point, cinq procédures judiciaires aux fesses, est beaucoup plus étonnante...
Deuxièmement, Imad Lahoud va rapidement verrouiller toute la « communication » de la « dream team ». Tout doit passer par lui. Surtout vis-à-vis des services de sécurité. A tel point que lorsque ces derniers ont voulu en savoir plus sur l'affaire Skype (voir ci-dessous), ils ont demandé à des personnes extérieures à EADS d'approcher des membres de l'équipe d'Imad Lahoud pour aller à la pèche aux infos... Le lien des experts avec les services est nettement distendu. EADS est leur employeur et il paye suffisamment bien pour que personne ne l'oublie. Et chacun sait que les services de l'Etat ne payent pas...
Jean-Louis Gergorin avait successivement approché le général Rondot, Dominique de Villepin puis le juge Van Ruymbeck afin de tenter de faire exploser l'affaire qu'il croyait entrevoir dans les fichiers Clearstream soutirés par Imad Lahoud au journaliste Denis Robert. A chaque fois sans succès réel. L'idée d'une équipe de hackers pouvant vérifier ses soupçons au coeur même de Clearstream l'a-t-elle séduit ? Quoi qu'il en soit, la nomination d'Imad Lahoud à ce poste le positionnait comme un expert crédible en sécurité informatique, ce qui n'était pas la vision qu'en avaient acquis, in fine, la DGSE, contre l'avis initial de grands pontes comme Rondot et Alain Juillet.
Jean-Louis Gergorin est, de longue date, fasciné par les services de renseignement. A tel point qu'il réunit régulièrement des anciens des services pour des discussions informelles. Un façon d'adapter la réalité à ses lubies barbouzardes? Le piratage informatique ne le laisse pas non plus indifférent et il s'en inquiétait déjà des années auparavant à propos de la filiale du groupe Lagardère : Club-Internet.
Au début, l'équipe d'Imad Lahoud travaille sur le Blackberry, un téléphone portable amélioré très prisé des chefs d'entreprises et autres « officiels », et sur Skype, l'outil le plus répandu de téléphonie via Internet. Coïncidence? Un mois avant la publication d'une des deux alertes officielles de sécurité des experts du CCR (portant sur le Blackberry et sur Skype), le logiciel Skype a été banni des réseaux de l'éducation nationale à la demande du fonctionnaire de défense qui y est attaché. Le Blackberry a été largement distribué au sein d'EADS et en démontrer les faiblesses est un bon moyen de faire la publicité de l'équipe qui est alors une charge financière pour le groupe. Par la suite ladite équipe travaillera également sur la sécurité d'avions Airbus.
Imad Lahoud a fait la démonstration du piratage d'un Blackberry à l'un des pontes d'EADS. Une démonstration qui aurait très fortement épaté ledit responsable. Les néophytes pensent toujours qu'il y a quelque chose de « magique » dans ce genre de démonstration et ont vite fait de classer -à tort- le démonstrateur dans la catégorie « meilleur hacker du monde ».
Signe des méthodes d'Imad Lahoud, notre « vrai-faux » pirate s'était par ailleurs indûment attribué la découverte de la faille de sécurité de Skype que son équipe avait trouvée. Le jour même, il publiait un rectificatif attestant du fait que ce n'était pas lui, mais bien son équipe (répondant au doux nom d'EADS/CCR/DCR/SSI), qui en était à l'origine.
Aujourd'hui, les membres de l'équipe se taisent. Ils ont d'ailleurs reçu des consignes en ce sens. Quant au groupe EADS, il reste évasif à propos de cette équipe.
Malgré les déclarations du général Rondot, qui accuse Imad Lahoud d'avoir piraté, sous ses yeux et dans les locaux même d'EADS, le système Clearstream, EADS n'a lancé aucune recherche en interne pour trouver les traces informatiques d'un tel piratage. Circulez, il n'y a rien à voir.
Seule certitude, Jean-Louis Gergorin diffuse ses fichiers avant le mois de mai 2004, et donc avant la création de cette équipe. Elle n'a donc à priori rien à voir avec l'hypothétique piratage de Clearstream par Imad Lahoud.
EADS peine enfin à expliquer pourquoi un financier n'ayant pas de compétences en la matière chapeauterait une équipe de spécialiste du « piratage » informatique. Mais à l'époque évoquée par le général Rondot, « Imad Lahoud n'avait pas accès aux ressources de l'entreprise comme les supercalculateurs. Juste à un ordinateur de base », précise un porte-parole du groupe. Comme s'il savait ou s'il était persuadé que l'aide d'un supercalculateur est nécessaire au piratage de Clearstream...
« De toute façon il faudrait être idiot pour pirater quoi que ce soit depuis une entreprise : les gens qui font ça le font depuis chez eux ou ailleurs, c'est plus sûr », poursuit-il.
A la suite de la publication dans le Canard Enchaîné d'un article révélant l'existence de cette « dream team » dont Imad Lahoud avait la charge, l'un de ses membres s'est exprimé sur son blog.
« Cette journée aurait été divine si un hebdomadaire ne s'était pas senti obligé de faire étalage d'amalgames douteux fondés sur des raccourcis faux, en marge d'une affaire qui ne semble passionner que le milieu journalistique. Trop merci les gars d'avoir pourri la semaine de pauvres gens qui n'ont rien demandé à personne dans cette histoire...
Vous aurez remarqué que je n'ai pas décrit toutes les conférences. Ben oui, bizarrement, mon téléphone n'a pas arrêté de sonner (je ne vous parle même pas de mes mailboxes) suite au fameux article de la veille. J'ai donc assisté à un SSTIC en pointillé et manqué quelques présentations. Grrrr...
Il est des publicités dont on se passerait bien volontier, en particulier tous les rstackiens qui n'ont rien à voir, de près ou de loin, avec EADS... D'autant que celui qui a écrit cet article le sait très bien. »
Ces déclarations appellent quelques petits commentaires. La communauté de la sécurité informatique se décompose plus ou moins de la manière suivante:
1) les gentils
2) les méchants
Ne parlons pas des script-kiddiots ou des fausses valeurs qui pensent faire partie de « l'élite » (prononcez élèit) parce qu'ils postent une alerte dans BugTraq sur un bug de phpbb.
Les gentils sont les hackers éthiques que l'on retrouve principalement dans les entreprises de sécurité informatique ou chez les éditeurs de logiciels de sécurité. Ou encore, qui sont à leur compte.
Les méchants sont ceux qui sont hors de tout cadre structurant (entreprise, contrôle même lointain par les services, etc.) et qui ne rechignent pas à tester en mode réel leurs trouvailles. Sans pour autant faire de dégâts. Autre version plus FUDiène, ce sont des cyber-terroristes.
C'est du moins ainsi que le monde de la sécurité se voit.
Un monde de bisounours où les gentils sont des âmes pures. A tel point que ces âmes pures participent, bien entendu, au développement du « libre » et patati et patata.
Sauf que. Sauf que... le monde des bisounours n'existe pas et que personne n'est complètement blanc comme neige.
Non pas que les hackers éthiques soient forcément aussi des pirates ou des « chapeaux gris », comme on dit. Mais ils ont des rapports étroits avec certains services de renseignement, ce qui est souvent un bon moyen de se laisser embarquer dans des histoires qui tournent mal, comme le démontre l'état de la carrière d'Imad Lahoud aujourd'hui. En outre, les « chapeaux blancs » sont parfois grassement payés par leurs employeurs, ce qui leur impose des contraintes évidentes. Les anti-modialisation acharnés diront qu'ils perdent ainsi leur âme et leur liberté de penser et d'agir. En tout cas, cela freine bien entendu leurs libertés.
Le fait de participer en tant qu'orateur à toutes les conférences possibles, de donner une grande visibilité à son équipe et à ses membres, de signer des alertes de sécurité publiques est un choix à double tranchant. D'un côté, cela permet d'augmenter l'aspect notoriété, c'est bon pour la carrière. D'un autre, cela donne une visibilité qui se retourne plus ou moins contre soi lorsqu'un responsable -comme Imad Lahoud- est pris dans la tourmente.
L'avenir de la « dream team » montée par Imad Lahoud est incertain. Pratiquement pas dirigée par son initiateur, elle a peiné à remporter les marchés qui auraient permis de rentabiliser ce centre de recherche. Décapitée avec le départ de Jean-Louis Gergorin et d'Imad Lahoud d'EADS, rien ne dit qu'elle pourra survivre en l'état. Ce qui pose un problème pour ses membres. Certains sont jeunes et disposent de salaires, selon une source proche du dossier, qui sont nettement plus élevés que ceux qu'ils avaient avant d'entrer à EADS.
Kitetoa.com avait déjà invité chaleureusement le petit monde de la sécurité informatique à faire le ménage. En quoi? En excluant de son éco-système (les conférences, les magazines qui comptent, etc.) les fausses valeurs. C'était à l'époque de l'affaire Tegam versus Guillermito. Il nous semblait étonnant que Misc donne la parole, aux côtés d'un membre de Rstack, à Eyal Dotan, le positionnant de fait comme quelqu'un qui compte dans ce petit milieu. Il nous semblait tout aussi étonnant que le Clusif, par le biais de son président, Pascal Lointier (*), mette en avant Danielle Kaminsky au titre d'expert en virus informatiques, elle-même confiant à Kitetoa.com n'être en rien une experte informatique. C'était l'affaire Tegam. Ces interrogations, nous n'étions pas les seuls à les avoir. elle ont également traversé l'esprit de certains serviteurs de l'Etat et l'affaire du CNRS, dont seule une partie a été révélée, en a été la plus belle illustration.
Pour le reste, il nous semble, et nous l'avons dit à plusieurs reprises que la médiatisation à outrance n'est pas quelque chose de positif à long terme pour les experts en sécurité informatique. Certains l'ont bien compris et ont préféré tirer un trait sur les aspects bénéfiques pour leurs carrières. C'est le cas de rfp qui a « disparu » il y a quelques années. Des membres de L0pht, d'ADM (rulez, bien entendu) qui ont choisi de ne plus rien publier, à tel point que tout le monde est persuadé que cette équipe n'existe pour ainsi dire plus.
Le monde de la sécurité informatique n'est pas le monde des bisounours et tenter de le faire croire revient à prendre le risque de voir s'afficher un jour une réalité moins rose avec, qu'on le veuille on non, des effets déplorables pour l'ensemble de cette communauté.
(*) en suivant ce lien, vous trouverez les propriétés d'un document interne au Clusif, envoyé par le secrétariat du président du Clusif à Kitetoa.com.
PS: dans un article de Renaud Lecadre, Libération du jour se livre à un exercice amusant: le repompage sans citation. Renaud Lecadre (passons sur les élucubrations de la fin du papier, truffé d'erreurs factuelles et d'analyse) reprend une information publiée la semaine précédente dans Le Canard Enchaîné. Le Canard avait fait une faute (un tiret de coupe était resté alors que le mot était finalement repassé à la ligne) sur le mot Rstack. Renaud Lecadre reprend l'information en conservant la faute et en y ajoutant même une deuxième et sans citer sa source. Pas mal.
Lire également sur ce sujet l'interview de Denis Robert
et "Comment notre article sur Imad Lahoud et l'affaire Clearstream (2) est né..."
