Braquage à l’italienne : feux de circulation piratés et cybersécurité

Voyons comment l’image que nous avons des cybercriminels a évolué en analysant le coup classique des feux de circulation piratés dans trois versions différentes (britannique, américaine et indienne) du film Braquage à l’italienne.

Les protagonistes, ou leurs ennemis, qui prennent le contrôle du système de gestion des transports de la ville est un classique des films d’action. L’objectif du personnage est de créer des embouteillages pour bloquer ceux qui le poursuivent ou de dégager la route pour qu’il puisse passer. Hackers, Die Hard 4 : Retour en enfer ou encore Taxi ne sont que quelques exemples des incarnations artistiques de ces complots de piratage informatique. Cette idée autrefois originale est devenue depuis longtemps un cliché des films hollywoodiens.

Ce stéréotype a très certainement commencé en 1969 avec le film britannique L’or se barre. Comme l’on peut s’y attendre à cette époque, un seul moment du film a un lien avec un cyber-incident. Pourtant, cette idée de saboter le trafic a donné lieu à de nombreuses imitations, dont deux remakes du film original : un par Hollywood (Braquage à l’italienne, 2003) et l’autre par Bollywood (Players, 2012).

Dans toutes ces versions, la scène avec les feux de circulation reste essentielle. Si nous comparons les trois versions, nous pouvons suivre l’évolution du comportement des réalisateurs et des spectateurs vis-à-vis du piratage d’infrastructures critiques.

L’or se barre (1969), version britannique

La Turin du futur est simplement présentée comme une ville intelligente de l’époque. Dans le film, un superordinateur contrôle les feux de circulation depuis un seul centre, où sont également stockées les données des caméras de circulation. Le cerveau à l’origine de ce vol, décédé un peu plus tôt, lègue un plan détaillé au personnage principal Charlie Croker pour réaliser ce braquage audacieux. Il dispose aussi d’un malware pour le superordinateur et d’un gadget inexpliqué qui peut désactiver les caméras.

L’origine du programme est méconnue. Quelqu’un a probablement obtenu le code source original et l’a modifié pour semer le chaos. Évidemment, en 1969, il n’y avait pas Internet et il est fort probable que même les réseaux locaux ne fonctionnaient pas correctement. La seule façon d’installer le malware sur l’ordinateur c’est en se faufilant dans le bâtiment et en échangeant manuellement les cassettes du lecteur. Pour ce faire, il a besoin de l’aide du professeur Peach, qui est soi-disant le meilleur spécialiste en informatique de tout le pays.

Pour accéder au centre de contrôle du trafic et modifier le programme, l’ordinateur doit être éteint. Croker accepte la mission, lance son vélo dans la sous-station électrique et déconnecte le centre de contrôle du trafic et presque tout le reste de la ville (et plonge la mafia dans le noir alors que tous les membres profitaient d’un délicieux festin).

Peach entre en jeu, retire la bande du lecteur et insère l’autre cassette. C’est la seule chose à faire de toute façon puisqu’il n’y a plus d’électricité. Ils ont demandé de l’aide à un expert en informatique alors qu’un assistant de laboratoire aurait très bien pu le faire. Au cas où vous seriez passé à côté de cette absurdité, l’interprète de ce génie de l’informatique n’est autre que Benny Hill.

La prochaine étape du plan est de mettre les caméras hors service. Pour donner le change au centre de contrôle du trafic et arriver à commettre le vol, les criminels installent des dispositifs (sûrement des brouilleurs mais nous n’avons pas plus d’informations) sur les poubelles et les toits qui se trouvent à proximité des caméras. Les caméras de surveillance de la circulation de cette époque n’avaient pas de signal sans fil mais ces mystérieux gadgets ont tout de même réussi à les désactiver.

Résultat : tout va comme sur des roulettes. Les caméras s’éteignent, les feux de circulation commencent à clignoter, les routes sont paralysées et Peach est interpellé pour comportement indécent dans les transports publics (ne demandez pas pourquoi).

Version britannique : ce qu’il faut en retenir

Cybersécurité

  • Le film adopte une attitude plutôt méprisante à l’égard de la sécurité physique des infrastructures critiques. La sous-station électrique et le centre de contrôle du trafic ne sont pas bien protégés. Les assaillants ont accès au lecteur sans problème et remplace avec succès la bande.
  • L’ordinateur accepte le programme remplacé sans poser de questions. Cela est excusable puisque la signature de code n’a été inventée que plusieurs années plus tard.

Perception

  • Le piratage de l’ordinateur apparaît comme quelque chose de très compliqué. Pour tromper l’ordinateur, le gang consacre beaucoup d’énergie à trouver le meilleur expert en informatique du pays (pour qu’au final il n’ait qu’à échanger des bandes).
  • Aucun effort n’est fait pour expliquer l’aspect technique des choses. Au contraire, des gadgets qui ressemblent à des boîtes noires désactivent les caméras comme par magie.

Braquage à l’italienne (2003), version américaine

Pour moi, la version hollywoodienne n’est pas vraiment un remake du film britannique. Il est vrai que les personnages ont le même objectif (voler des lingots d’or) et la scène de poursuite est une copie presque conforme de l’originale, mais leurs motivations sont bien différentes. Si nous laissons de côté la psychologie et la morale du film, ils doivent là encore trafiquer les caméras et les feux de circulation. En revanche, ces criminels n’ont pas besoin d’un spécialiste. Il y a déjà un génie de l’informatique dans l’équipe : Lyle dont la profession implique la conception de bâtiments en 3D pour organiser et coordonner des braquages. Il s’agit là de votre transformation numérique au travail. En 2003, il était assez normal d’avoir un spécialiste en informatique dans l’équipe.

De plus, la version américaine du film utilise un peu plus le piratage. Les criminels essaient d’abord de pirater un téléphone pour accéder au système de surveillance de l’entreprise, arrivent à convaincre l’employé que cette opération d’écoute téléphonique est légale puis redirigent le flux audio vers leur poste d’écoute. Lyle a de l’expérience dans ce domaine puisqu’il a espionné son ex pendant des années.

Le coup principal reste le même. En 2003, il est beaucoup plus facile d’accéder au Los Angeles Automated Traffic Surveillance and Control Operations Center qu’au système de Turin en 1969 : le centre est connecté à Internet et dispose même d’une interface utilisateur graphique (GUI). Lyle s’assoit devant son ordinateur et essaie de deviner manuellement le mot de passe. Il en saisit à chaque fois un nouveau sans succès jusqu’à ce que les mots magiques « accès autorisé » apparaissent sur son écran.

Le centre des opérations anticipe le trafic routier et change automatiquement les feux de circulation selon les images des caméras. Le système est aussi équipé d’un mode manuel et Lyle s’en sert pour prendre le contrôle des feux de circulation. Comme test, il passe tous les feux au vert et provoque un accident. Il rétablit rapidement le bon fonctionnement des feux et le centre conclut qu’il y a eu un bug.

Le plan du gang consiste à faire passer tous les feux au vert pour qu’il puisse rapidement filer pendant que tout le reste de Los Angeles est complètement bouché. Le jour du vol, un Lyle quelque peu abasourdi s’installe avec son ordinateur portable et un routeur sur un tapis roulant à bagages de la station Union Station puis surveille le trafic des rues, change les feux de circulation (des routes et du métro) et paralyse le centre de contrôle en affichant le message « You’ll never shut down the real Napster » sur tous les écrans. L’élément comique de l’intrigue est que Lyle affirme qu’il a inventé le réseau P2P Napster et que Shawn Fanning lui a volé son idée. Lyle aime se faire appeler Napster. Pour être honnête, il est le stéréotype parfait du jeune prodige en informatique.

Grâce à cette opération très bien coordonnée, l’or est volé, tout le monde s’échappe et l’ignoble méchant tombe entre les mains de la mafia ukrainienne puisqu’il s’est mis sur son chemin.

Version américaine : ce qu’il faut en retenir

Cybersécurité

  • Si le mot de passe qui permet d’accéder au système à distance peut être deviné manuellement alors il est mauvais.
  • Une infrastructure critique doit utiliser une connexion Internet sécurisée et ne devrait pas pouvoir être contrôlée en passant par une GUI basée sur le Web. Il va sans dire que le personnel ne devrait pas fixer bêtement le message mais essayer de faire quelque chose. Même les personnages de la fiction italienne sortie 34 ans auparavant étaient plus impliqués !

Perception

  • En 2003, le piratage est une situation courante donc il ne suffit pas de désactiver quelques feux de circulation pour faire un braquage. Dans ce remake qui n’en est pas un, l’accès au centre de contrôle du trafic est une opération standard qui surgit naturellement lors de la phase de préparation.
  • Lyle, ou Napster, explique tout le temps ce qu’il fait et comment. Ce qu’il dit n’a aucun sens, bien évidemment, mais les réalisateurs du film voulaient montrer sur l’écran des événements qui étaient une certaine version de la réalité.

Players (2012), version indienne

Les producteurs bollywoodiens ont essayé de ne retenir que les meilleurs passages des deux versions et ont pimenté le tout en ajoutant un peu de glamour Bollywood : course-poursuite, chant, danse, morale noble et bien évidemment piratage. Il est vrai que l’intrigue est plutôt folle : la Russie rend à la Roumanie l’or que le gouvernement roumain avait caché en Russie avant l’invasion allemande de 1915. Les méchants officiers de l’armée russe transportent l’or, la mafia russe encore plus dangereuse les poursuit et un groupe de voleurs indiens nobles essaie de voler l’or pour construire une école pour des orphelins.

Évidemment, ils ont besoin du meilleur cybercriminel au monde pour pouvoir faire ce braquage, avec une véritable approche de hacker : Spider. Il n’y a qu’un seul problème : personne ne sait où le trouver. Heureusement, la petite amie du personnage principal a un master en informatique (obtenu avec les honneurs) et un master en piratage éthique (bien sûr, pourquoi pas ?). Elle pénètre dans les systèmes du « meilleur cybercriminel au monde » et découvre qu’il habite à proximité. Après l’avoir kidnappé, ils arrivent à le convaincre de participer au braquage.

Selon le plan, le cybercriminel pris en otage a deux tâches à remplir. Il doit d’abord pirater le site Internet de l’armée russe pour obtenir des informations sur les officiers responsables du cargo. Ensuite, il doit pirater un satellite pour suivre les mouvements du convoi qui transporte l’or en temps réel (et paralyser le centre de contrôle).

Il réussit à faire les deux tâches facilement en touchant quelques touches de son clavier mais il se retourne contre l’équipe, garde tout l’or pour lui et s’enfuit. C’est donc notre experte en piratage éthique qui doit s’occuper du piratage des feux de circulation. D’ailleurs, elle le fait exactement de la même façon puisqu’il lui suffit de pianoter sur quelques touches pour prendre le contrôle des feux de circulation.

Version indienne : ce qu’il faut en retenir

Cybersécurité

  • Il n’y a rien à dire au sujet de la cybersécurité. Tous les systèmes peuvent être piratés à distance, sans préparation antérieure. Il suffit d’utiliser son clavier et plus vite, mieux c’est.

Perception

  • Les cybercriminels sont des magiciens.

Conclusions

Dans les trois films les criminels essaient d’éviter les bains de sang et, dans les deux derniers, ils sont même (partiellement) guidés par de bonnes intentions : venger le meurtre d’un professeur et construire une école pour des orphelins. Pourtant, ils ne prennent jamais le temps de penser aux conséquences qu’ont un embouteillage sur des villes de cette ampleur, notamment pour les pompiers, les ambulances, etc. Cela entraîne forcément des pertes civiles. Même si les voleurs sont décrits comme de bonnes personnes, il est difficile de se rallier à leur cause.

Quant à la cybersécurité, l’image du  » hacker qui est un génie  » a radicalement changé depuis plus d’un demi-siècle. Si à cette époque le cybercriminel était vu comme une personne mystique, étrange mais douée, de nos jours il est décrit comme un sorcier de l’informatique sûr de soi et tout-puissant. Prendre le contrôle des feux de circulation n’est plus vraiment considéré comme une opération technique très complexe mais plutôt comme une méthode habituelle et acquise. Il va sans dire que la réalité est bien différente. Pirater le système qui contrôle le trafic d’une ville est beaucoup plus complexe que ce que l’on nous fait croire au cinéma.

L’omnipotence des cybercriminels dans les films est nuisible puisqu’elle modifie la façon dont nous percevons les dangers qu’une infiltration dans une infrastructure critique représentent. Selon nos collègues de Kaspersky Security Awareness, le cliché cinématographique du cybercriminel qui est un génie porte préjudice à la sécurité des entreprises dans le monde réel. Les gens sont tellement convaincus que les méchants peuvent tout faire qu’ils ne s’embêtent pas à se protéger autant que possible et ne corrigent pas les grandes lacunes.

C’est pourquoi nous vous recommandons fortement de former vos employés en cybersécurité afin de leur montrer comment sont les choses dans le monde réel. Par exemple, notre Kaspersky Automated Security Awareness Platform propose des cours qui séparent la fiction de la réalité.

Conseils