mars 23rd, 2017

Les Universitaires informaticiens déconstruisent et reconstruisent régulièrement les lois de la physique. Un groupe de 5 chercheurs de l’Université du Michigan viennent de mettre au point une attaque par « injection de pression acoustique » visant les accéléromètres miniaturisés intégrés dans les montres Fitbit et semblables. Les conclusions sont dramatiques : écouter de la musique techno (sans danser) peut, dans 75 % des cas, fausser les informations de mouvement détectées par le capteur en question. Le monde du Fitness parle de guerre civile, les industriels de l’IoT condamnent ce qu’ils appellent une « véritable opération de lynchage orchestré par les publications scientifiques ».

L’attaque peut être plus vicieuse encore, car la lecture d’un fichier musical spécialement forgé peut, en impactant l’accéléromètre du smartphone, rendre totalement incontrôlable une voiture télécommandée ou un drone.

C’est probablement pour cette raison que l’on trouve une très faible proportion de personnes passionnées par le pilotage en réalité augmentée de véhicules radioguidés et également amoureuses des œuvres interprétées par l’ensemble des Percussions de Strasbourg (Miloslav Kabeláč et Yannis Xenakis provoquent de terribles embardées)

Oui, le son, phénomène essentiellement mécanique provoqué par les variations de pression de l’air, peut également servir à tromper des capteurs mécaniques « à déplacement » sensibles. Ce genre d’attaque est-il exploitable dans la vraie vie ? Sans doute, avec un peu d’imagination. Des accéléromètres critiques sont couramment utilisés en avionique, dans certains contrôles de processus industriels et de sécurité du personnel, dans le domaine militaire également. A prévoir dans un prochain épisode de Mr Robot ?

La hausse des budgets alloués à la sécurité informatique est sensible, estime le cabinet d’analyse Gartner, et devraient atteindre 7,6% de plus comparés à l’an passé. Le marché InfoSec mondial devrait donc atteindre 90 milliards de $ fin 2017, avec une croissance plus ou moins constante sur les trois années à venir puisque les ventes d’outils et logiciels sont estimées à 113 milliards de $ en 2020. Le secteur de la « détection/réponse à incident » est, explique l’étude, le domaine appelé à connaître la plus forte demande. L’accent sera donc un peu moins porté sur la prévention, un peu plus sur l’anticipation.

A nouvelle préoccupations, nouvelles offres, s’accompagnant de leur lot de sigles et termes abstrus : outils de « deception » (leurres et autres techniques proches du honeypoting) , endpoint detection and response (EDR), software-defined segmentation (offres Catbird, Cisco, Tempered Network), cloud access security brokers (CASB) et pour finir user and entity behavior analytics (UEBA). A cette liste s’ajoute les services MDR (services de détection et de réponse managés).