juillet 28th, 2017

DefConXXV, Las Vegas : « Cassez votre propre base matérielle, et tapez fort, c’est là la seule manière de garantir un minimum de sécurité au produits que vous commercialiserez » affirme en substance Andrea Barisani sur le blog de F-Secure. C’est le tout premier article de Barisani sur ce site, plus de 6 mois après l’intégration de son entreprise par F-Secure ; mais un article publié quelques jours avant son arrivée à Las Vegas. Les failles, explique le fondateur d’Inverse Path, se cachent parfois dans des détails techniques purement matériels. C’est même très souvent le cas sur les équipements IoT. Et l’absence de publication d’un PoC ne doit surtout pas justifier une absence de réaction de la part du concepteur. Or, charité bien ordonnée commençant par soi-même, c’est en donnant des exemples de correction de bug affectant l’USB Armory que le chercheur Italien étaye ses arguments. Ce n’est là très certainement qu’un début puisqu’Andrea Barisani a été nommé « Head of Hardware Security »

Egalement évoqué cette semaine sur la côte Ouest, un article assez succinct publié par RTL-SDR.com et décrivant une procédure d’installation d’Imsi-Catcher , programme python conçu par le développeur français Oros42. Les Imsi-Catcher sont généralement utilisés par les services de police pour identifier et localiser des groupes de personnes (généralement dans le cadre de manifestations). Celui décrit dans cet article ne coûtera à son utilisateur qu’une dizaine d’Euros. Rappelons tout de même que ce genre de sport est sans l’ombre d’un doute assimilable à une fuite de données à caractère personnel.