On l’a très nettement constaté peu de temps après la récente publication d’une attaque « académique » sur le réseau Tor : même la communauté hacker peut se montrer excessivement virulente et agressive en cas de « full disclosure » non chapeauté par la partie éditrice. Une réaction d’un puritanisme étonnant de la part d’une communauté si prompte autrefois à ironiser lorsqu’une belle et séduisante faille esseulée et de bonne famille (entendons par là appartenant à un logiciel propriétaire) rencontrait un exploit aventurier et séducteur.
Mais si cette réaction épidermique peut amuser, force est de reconnaître que les réactions en général se font de plus en plus violentes. Aidées en cela avec une progression très nette, tant Outre Atlantique qu’en Europe, de règlementations et des textes de loi électoralistes ou égotistes. Bref, dire que le roi est nu plaît de moins en moins.
Cette tendance , explique Bruce Schneier au fil d’un de ses récents papiers, ne serait que la conséquence de l’accroissement du périmètre informatique à des domaines jusqu’à présent épargnés. Une idée émise par Robert Lemos, qui faisait remarquer que cette attitude se serait amplifiée depuis que les opérateurs télécom se seraient retrouvés dans la tourmente et que les professionnels des systèmes embarqués (entendons par là les vendeurs d’automates programmables par exemple) auraient essuyé le feu de quelques Stuxnet.
Plutôt que d’admettre que cet appât du gain « sous n’importe quelle condition » était la cause première des déboires d’aujourd’hui, ces entreprises ont tout naturellement cherché à blâmer les premières victimes accessibles. A commencer par les chasseurs de failles, faciles à désigner, faciles à condamner, rarement capables de se défendre. Car courir après les véritables auteurs d’attaques Scada ou les pirates « noirs» a peu de chances d’aboutir. Autant donc se rabattre sur celui par qui le scandale arrive et qui ose raconter que le Roi est Nu.
Reste que ces grands acteurs ont de la voix, et une voix qui porte et qui influence. Si « çà » semble marcher pour eux, si ce retour à une « sécurité par l’obscurantisme » et cet art de cacher la poussière sous le tapis parvient à préserver la pureté cristalline d’une image de marque, pourquoi cette méthode ne s’appliquerait-elle pas à nouveau au secteur I.T. ?
En guise de désert, l’on pourra lire avec délectation cet article de Ruben intitulé « Reversing Industrial firmware for fun and backdoors » , et, en matière de pousse-café, ce papier corrosif en diable de Muckrock News qui explique que le « freedom of information act », cette loi qui permet à tout citoyen de demander une autorisation de dé-classification de documents administratifs, ne peut être appliquée sur tout ce qui touche l’utilisation par le FBI du fameux « spyware Carrier IQ » pour téléphones mobiles.
Je suis pas sur que l’auteur ait bien compris. Ce qui a le plus posé problème sur cette disclosure, c’est son caractère incomplet. On n’est pas le cas d’une full disclosure sauvage mais plutôt d’une disclosure partielle alarmiste. La réaction épidermique est donc logique quand on voit des chercheurs se faire mousser sur le dos d’un bon gros FUD.
« En guise de désert », c’est un peu sec en bouche…