Un article de Reuter fait la part belle aux recherches de Thomas Roth, l’homme qui attaque WPA-PSK en « brute force » à coup d’ordinateur « dans le cloud », et plus particulièrement de ceux loués par Amazon. L’emploi de EC2 aurait permis de pénétrer sur un réseau wifi ainsi protégé après moins de 20 minutes de temps de calcul, déclare Roth. Temps qui pourrait être ramené à 6 minutes après optimisation du programme distribué utilisé. Le tout pour moins de 28 cents la minute rapporte Reuter.
L’usage de machines mutualisées dans le cadre d’attaques massives est une vieille marotte du monde de la sécurité en général et des chercheurs en particulier. Les protestations d’un Amazon, qui psalmodie « c’est pas bien, vous n’avez pas le droit, cela viole notre politique d’entreprise et les engagements contractuels » ressemblent peu ou prou à celles des hébergeurs de sites. Ceux-là mêmes qui espèrent qu’une clause de bas de page suffira à policer les contenus que diffusent leurs clients. Mais rien n’est plus anonyme qu’un acheteur de temps de calcul dans une architecture cloud publique. Surtout si celui-ci paye à l’aide de crédences bancaires volées et fournit une fausse adresse. Car si la force du cloud est précisément de ne pas avoir à se préoccuper du pays sur lequel sont situées ses machines, sa faiblesse est également de ne pas pouvoir localiser précisément le pays dans lequel vivent ses clients réels. A côté de ce problème, la question des temps de hacking de WPA-PSK ressemble une bluette pour collège de jeunes filles.
Reste que, techniquement parlant, EC2 et ses confrères peuvent être désormais reconnus comme des outils pouvant servir à compromettre l’intégrité d’un système d’information. Comme la possession, l’usage ou la distribution de tels programmes est strictement interdit par la LCEN, il serait très intéressant que le Ministère Public du Limousin ou du bas-Poitou engage des poursuites envers ces dangereux terroristes binaires, à côté desquels les possesseurs de Snort, de Nmap, de Wireshark ou de Metasploit sont à la guerre numérique ce que les fabricants de cocktails molotov sont aux constructeurs de la bombe H.
