Maux de passe (première partie)
Mer 06 janvier 2010
Ce qui suit est la première partie d'une nouvelle, inspirée par l'article "Columbo 2.0", par Thibault Jouannic. Je t'encourage d'ailleurs à aller lire ce texte avant de lire celui qui suit. De la belle ouvrage, vraiment.
Ayant beaucoup aimé le style, et l'univers, j'ai de suite vu une ambiance, et un gros potentiel d'histoires autour des NTIC, mashuppées avec de la littérature noire, tendance "hard boiled detective".
Et j'ai plongé dans mon Pyroom pour composer ce premier jet.
Il est évident que toute ressemblance avec des personnes existantes ou ayant existé serait une erreur de ta part.
Une porte, brusquement ouverte, puis refermée avec la même vigueur. Des
pas, façon imprimante à talon-aiguille. Tac tac tac tac. Puis le
bruissement du store vénitien, qui dévoile une lumière solaire que
j'aurais voulu oublier. Reboot.
L'embêtant avec les secrétaires, c'est qu'elles savent respecter des
horaires.
- Z'avez encore dormi dans vos frusques ?
Évidemment que j'avais dormi ici, à l'agence dans mes fringues. C'est quand même pas ma faute si ce bar à rhum est si proche du bureau. Et quand j'en sors, il est beaucoup trop loin de mon appartement pour que je puisse m'y pieuter décemment. Alors, le bureau est si proche de ce bar à rhum que j'y ai, pour ainsi dire, installé une sorte de résidence secondaire. Brosse à dents, fringues de rechange. Genre garçonnière. Mais sans la fille qui prend l'escalier de service au petit jour.
Le gros machin jaune dans le ciel essaie de percer mon firewall. Pas
question. Je refuse en bloc. Mes paupières sont verrouillées aussi
sûrement qu'une BSD patchée dernier cri.
Puis soudain, l'odeur du café qui enfle et emplit mes narines. J'ouvre
un oeil, intéressé. Jenny est là, un mug Ubuntu à la main, sourire en
coin.
Ce qu'il y a de bien, avec les secrétaires, c'est qu'elles savent appâter leur boss.
Tandis que j'uploadais mon premier litre de caféïne, j'allumais mollement mon portable et commençais à chécker mes emails. Spam, spam, relance de la banque, spam et un fournisseur d'accès internet mécontent du niveau de téléchargement en P2P sur ma connexion professionnelle. Bah. Faudra que j'apprenne à être plus discret. Ou que j'attende la sortie en DVD de "Big Bang Theory".
La matinée était lente. Comme d'habitude. Puis j'entendis Jenny qui frappa à la porte.
"Un client."
Sans déconner ? Je réajustais machinalement mon veston, fermais le clapet du portable qui montrait trop de morceaux de chair pour une âme chaste et je demandais à faire entrer.
Un gros type, avec facilement trente kilos de trop passa le pas de porte, visiblement essouflé. Faut dire, cinq étages sans ascenseur serré dans un complet-veston, c'est pas de la tarte. Faudra qu'un jour je tente de hacker les circuits de l'élévateur, ça fera du bien à tout le monde.
Il s'assied dans le fauteuil face au bureau avec un grand soupir. Il transpirait abondamment. J'avais envie de lui proposer un verre.
"Vous voulez un verre ?"
Il accepta, c'est pas de refus, machin. Je lui demandai ce qui
l'amenait. Avant même de parler, il me tendit une clé USB. Je la
prenais.
"Lundi dernier, notre administrateur système a eu un regrettable
accident dans notre salle des machines. Il était en train de réorganiser
la baie de brassage quand elle a basculé sur lui et l'a assommé. Depuis,
il est dans le coma. Ce qui est notre premier problème. Le second
problème, c'est qu'en tombant, les baies ont arraché quelques câbles et
entraîné toute une foule d'incidents sur nos systèmes, nos serveurs,
etc. Une catastrophe matérielle.
- Genre tsunami, ou genre un pixel mort sur un écran ?"
Ou bien il avait autant d'humour que Spock, ou il ne goûtait pas la
blague.
"Genre les disque morts, quelques cartes mères en vrac, mais rien
d'insurmontable. On a appelé des techniciens en sous-traitance et ils
ont essayé tant bien que mal de remonter les machines et les
sauvegardes... Ce qui nous amène au triosième problème.
- Quoi ? Me dites pas que vous n'aviez pas de sauvegardes ?!?
- Vous me prenez pour qui ? Un dindon ? Je suis peut-être un DSI de la
génération COBOL - et que vous n'avez vraisemblablement jamais écrit
"PROCEDURE DIVISION" dans un shell de 80 colonnes, mais je sais ce que
valent des données !..."
Il tournait presque cramoisi sous l'effet de la colère. Une gorgée
d'eau.
"On avait des sauvegardes, bien sûr. Sur des disques à haute performance, redondance, et tout. Toutes les nuits, je recevais par e-mail les sommes de contrôle, pas un seul bug, depuis qu'on avait embauché notre administrateur système. Il y avait quand même un hic... Quand on a essayé de remonter les sauvegardes, on s'est rendu compte qu'elles étaient cryptées."
Là, j'étais scotché. Des sauvegardes cryptées.
"Quel sysadmin peut être suffisamment taré pour crypter des backups ?"
Silence. Je réalisai alors que le gros type ne s'était pas présenté.
"Au fait... c'est quoi votre boîte ? C'est quoi la boîte de trimbrés qui engage un sysadmin capable de crypter vos sauvegardes ? Et... et... c'est qui ce sysadmin à la fin ?"
Il était gêné. Voire un peu coincé...
"L'administrateur système, qui est actuellement dans le coma, c'est... Nicolas Merriault."
Le nom fit un gros "ping" dans mes neurones. Je me souvenais de ce gars,
nerdoïde, à la limite de l'autisme qui avait fait sensation lors d'une
conférence de sécurité. Il n'avait pas hésité à révéler pendant son
speech les mots de passe de grandes personnalités du web ou de la
sécurité, y compris ceux présents dans l'assistance. Le titre de son
intervention était "Comment choisir une vraie phrase de passe". Il
démontrait comment il avait réussi à déterminer par déduction ces mots
de passe, mélanges de noms du toutou de madame, du nom de l'équipe de
foot préférée et de la date de naissance du petit dernier.
Il fallait voir la tronche des cadors... en train de réaliser que
l'assemblée de geeks présents dans l'assistance étaient en mesure de
rentrer sur leurs comptes... et d'imaginer les conséquences... et de
sauter sur leurs laptops pour immédiatement changer leurs mots de passe
les plus sensibles à toute berzingue. Ah.
La démonstration avait été parlante. Et si parmi les hautes personnalités on avait gardé beaucoup de rancoeur, Merriault avait acquis une renommée mondiale parmi les pros de la sécurité et les hackers. Il aurait quand même dû demander conseil avant de faire ce truc. "No test, no commit". Mais Merriault était trop imbu de lui-même, il n'aurait écouté personne.
Et d'un coup, le nom de la boîte m'est revenu. Ça se bousculait pas au portillon pour l'embaucher, tout le monde avait peur de se faire blacklister par les pontes humiliés. Mais c'est une grosse société d'édition de logiciels de compta qui avait misé sur ce doux-dingue de la sécurité : Silver Wave.
"Au début, tout se passait très bien. En fait, tout s'est passé très
bien jusqu'à aujourd'hui. Oh, Merriault est un peu spécial. Les
horaires, les conventions sociales, c'est pas son truc. Mais le job
était fait et bien fait. Pas de piratage ni en interne, ni de
l'extérieur, pas de crash système...
- Jusqu'à son accident.
- Oui, jusqu'à son accident. Après qu'on ait enfin compris que sans sa
phrase de passe, il serait impossible de récupérer nos sauvegardes, on a
commencé à fouiller son bureau."
Je ricanais.
"Qu'est-ce qui vous fait rire encore ?...
- Vous avez dû imaginer qu'il avait écrit sa phrase de passe sur un
post-it caché sous son clavier ?..."
Une fois encore, il ne relevait pas la blague. Il enchaîna.
"La seule chose qu'on ait trouvé, après avoir forcé son tiroir, c'est cette clé USB. Il n'y avait qu'un seul fichier dessus. Je l'ai lu. Du moins, j'ai essayé."
Il y eut un petit silence. J'insérais la clé dans le premier port disponible et le volume montait. En effet, un seul fichier. Pas d'extension. Juste un nom parfaitement incompréhensible: "fezghgrvfhzihzihgizhgzih7457@@r\~grevrvr9847827".
"Vous avez essayé le nom de fichier comme mot de passe ?
- C'est le premier truc qu'on a essayé.
- Et le contenu du fichier ?
- Idem. Tout ou partie. On a essayé toutes les combinaisons.
- Je vais poser une question con : qui a fait le script qui a injecté
ces combinaisons ?
- L'assistant.
- Et cet assistant, il n'avait pas le mot de passe de Merriault ?
- Non.
- Sans déc ? Pas de redondance ?
- Pas de redondance. Il faut nous comprendre... Depuis la crise, on
compresse tous les postes. Et les redondances ont sauté, l'an dernier.
On a réussi à garder un assistant, déjà. Il sait tout faire sur le
système.
- Sauf récupérer vos sauvegardes.
- Je ne plaisante pas. La situation est critique. Non, ce PFY n'avait
pas le mot de passe et il n'a rien compris au contenu du fichier, non
plus."
J'ouvrais le fichier. Pfiou. Je suis pas égyptologue, mais je sais quand je vois des hiéroglyphes. Du code. Imbittable. Illisible, des arobase et des crochets, des plus et des dièses, des esperluettes et des parenthèses à longueur d'écran. Au moins 50 ko de machins.
"Qu'en dites vous ? Vous saurez décrypter ça ? Si on fait appel à vous, c'est pas pour faire écran de fumée. Ça fait déjà six jours que tout est bloqué. Vous savez combien d'Euro ça fait au bout du compte ? Il nous faut nos backups. Vite. Pour hier. Ou avant-hier."
Marrant. Sont tous pareils, les DSI. Pour une imprimante qui beugue, c'est déjà pour hier. Alors les sauvegardes d'une société qui embauche une centaine de développeurs, sans compter tout l'administratif, c'est sûr. C'est pour avant-hier.
"Je peux déjà vous dire quel est le langage de programmation de ce
script.
- Pardon ?
- Cette suite de caractères, c'est un script. Un script Perl.
- Vous débloquez !"
Il ne me croyait pas.
"Je sais que ça peut paraître incroyable. Vos yeux de COBOListe n'ont pas su le voir. Mais c'est un script Perl. Exécutable. Mais je vous déconseille de le lancer. Pour le moment, je ne suis pas capable de vous dire ce que fait ce machin. Il peut très bien être un client Twitter, mais il peut aussi formater le disque dur de votre bécane plus vite qu'un Adorateur de Steve Jobs se précipite sur une rumeur du nouvel iPod."
Il réfléchit un instant. Sortit de sa poche intérieure un chèque, plié.
"Ça suffit pour démarrer ?"
Ça suffisait.