septembre 29th, 2014

Le Point Exquis de l’affaire du Grand Chiffre d’Apple, c’est le blogueur Orin Kerr (du Washington Post) qui le détecte. En écrivant tout d’abord un article assez peu réfléchi sur « la légèreté d’Apple », édito conservateur arguant du fait que Cupertino fait ainsi le jeu des trafiquants de drogue, des cyber-pédophiles et des djihadistes terroristes. Tollé général sur les réseaux sociaux, Kerr revient sur sa position et admet que ce débat n’est pas aussi manichéen qu’il y paraît. Un troisième article conclut la polémique et pose deux questions, des classiques du genre en matière de chiffrement :

– « Où donc se situe la limite » d’un chiffrement qui protège la vie privée des gens honnête mais qui, également, masque les activités des véritables truands.

– « quid du compromis acceptable en matière de vie privée »

Or, cette question du compromis acceptable est une constante dans la politique intérieure des USA. Tant le gouvernement Bush que la présidence Obama ont utilisé l’argument du « léger sacrifice de la vie privée au profit d’une plus grande sécurité ».
C’est là que le bât blesse réplique Steeve Bellovin, l’un des pères de Usenet et surtout de l’identification EKE. L’usage des outils de mobilité n’est pas l’unique source d’échange des hors-la-loi. Ce n’est qu’un des nombreux outils possibles. Le chiffrement ne constitue pas seulement une protection des données personnelles, c’est également un bouclier contre les fréquentes attaques des pirates voleurs d’identités numériques, de données confidentielles etc. (ndlr : lesquelles sont d’ailleurs considérablement plus fréquentes et moins virtuelles que les attaques cyber-djihadistes ou les intrusions d’espions sino-russo-américains). Pis encore, renforcer la protection des équipements mobiles n’est qu’une forme de rétablissement de l’équilibre d’autrefois, équilibre compromis par l’intensif, l’abusif usage des perquisitions numériques réalisées par les services de police aujourd’hui. Depuis la généralisation des téléphones intelligents, cette même police a accès à des données qu’elle ne pouvait posséder auparavant, et c’est cette « ouverture » que la décision d’Apple referme très partiellement. Très partiellement, car même chiffré par des mécanismes inviolables, un iPhone 6, 7 ou 8 fournira toujours à cette même police son lot de métadonnées. En outre, si le débat peut se tenir aux USA ou dans la plupart des pays du bloc occidental, il y a de grandes chances pour que des gouvernement un peu moins amoureux des usages républicains demandent à Apple de « fragiliser », voire de supprimer ces outils de chiffrement, précisément pour que leurs services de police puissent continuer à accéder aux données privées de leurs citoyens.

Conséquence de l’annonce du chiffrement fort d’Apple se pose également la question de l’obsolescence tant du noyau que du mécanisme de chiffrement lui-même. De mémoire de gourou de la cryptanalyse, et à l’exception de l’inviolable « one time pad », il n’existe aucun système qui ne se casse avec le temps. C’est d’ailleurs sur ce principe que reposent les appels d’offres du NIST lorsque sont demandés à périodes régulières, et pour des longévités estimées, de nouveaux algorithmes destinés à la protection des communications de l’Administration Fédérale. La meute de SHA (de 0 à 3 couvrant les 21 dernières années) prouve qu’aussi perfectionnée soit-elle, une fonction de hachage finit toujours par trouver son maître. Si la résistance aux casseurs de code peut parfois prendre plus de 10 ans, la résistance de l’environnement logiciel lui-même rend généralement ces mesures de protection totalement inutiles. C’est la question que pose Graham Clueley sur le blog d’Intego : doit-on jeter les déjà « vieux » iphone 4 pour des raisons de sécurité ? Les constructeurs de téléphones portables ont besoin en permanence de cet oxygène financier que provoque un renouvellement de parc. De là à accélérer le phénomène en décidant d’arrêter le support des anciennes plateformes… ergo de les fragiliser, il n’y a qu’un pas. Ce que protège un algorithme de chiffrement encore inviolé, une montagne de bugs transversaux non corrigés sur certaines applications pourra en venir à bout. IOS, Android, Windows Mobile même combat. Passé 4 ans, le niveau de sécurité d’un téléphone ne vaut plus un kopek. Il en va de même pour les systèmes d’exploitation d’ordinateurs, sur une période généralement plus longue, d’environ 10 ans (record de longévité de Windows XP mis à part). La sécurité des systèmes d’information est l’enfant bâtard du marketing high-tech.

La course à la rustine CVE-2014-7169, alias Shellshock, alias bash bashing, a dû passablement occuper le week-end des développeurs de bon nombre d’outils serveurs. Chez Oracle, on annonce fièrement la disponibilité de 6 correctifs (Database Appliance, Exadata Storage Server Software, Exalogic, Exalytics, Linux 4, 5, 6 et 7 ainsi que Solaris 8, 9, 10 et 11).

Mais plus de 44 autres produits du catalogue sont encore vulnérables, informe le bulletin d’alerte.
Notons que le groupe chargé de la maintenance de bash a corrigé les imperfections du premier correctif. Bash 4 .3 est désormais débarrassé du CVE-2014-7169.