Hacking mobile, mon petit doigt m’a dit…

Actualités - Sécurité - Posté on 13 Sep 2013 at 9:36 par cnis-mag

Le ZDI, branche de HP bien connue des chasseurs de faille, organisera lors de la prochaine PacSec de Tokyo un concours «Mobile Pwn2Own » doté de près de 300 000 dollars de récompense (la prime maximale n’excédant pas 100 000 $).

Le concours distinguera plusieurs types d’attaque : les compromissions physiques par liaison sans-fil genre Wifi/Bluetooth/NFC (50 000 escudos de récompense), les viols au-dessus d’un nid de navigateur (40 000 doublezons), les intrusions via MMS/SMS/CMAS (70 000 fifrelins) et surtout les assauts par le réseau bande de base GSM, les plus savoureux et les mieux dotés (100 000 bouzgroufs). La liste des terminaux mobiles qui serviront de cible est dressée sur le blog susnommé. Le message « no more free bug » semble être très bien passé… à moins que la vulnérabilité endémique des terminaux mobiles (et la part de responsabilité indéniable des opérateurs) ne commence à inquiéter quelques actionnaires.

On ne pouvait s’empêcher de rapprocher cette information d’une toute autre, celle de l’avis d’un expert de service qui semblerait être interviewé par un journaliste de 20 Minutes. Un expert qu’il aura fallu chercher aux confins du Michigan.

Lequel article titre« Empreinte digitale: Le risque qu’on vous coupe un doigt pour débloquer un iPhone est faible». Ce à quoi l’on pourrait répondre « tout dépend à la fois et des circonstances, et de l’importance de l’information que l’on compte récupérer dans la mémoire dudit téléphone ».L’intégrité physique du détenteur d’un secret est souvent le plus court chemin du hacker aux données, nous rappelle xkcd (https://www.xkcd.com/538/). Reconnaissons tout de même que pour le commun des mortels, autrement dit une personne n’ayant enregistré sur son téléphone ni le code secret du feu nucléaire, ni le code PIN du coffre central de la Banque de France, le principal intérêt d’une lecture biométrique est essentiellement ergonomique : il est plus simple de poser un doigt sur un capteur que de taper un mot de passe complexe (majuscules-minuscules-chiffres-signes-de-ponctuation-le-tout-avec-plus-de-10-caractères). Il est tout de même hasardeux d’utiliser le doigt en question pour autre chose qu’un sésame local, en raison du côté douloureux du mécanisme de répudiation.

Ajoutons à ce tableau de chasse biométrique et téléphonique un billet relativement sanguinolent, celui de Robert Graham qui explique comment il a, par accident, « salé » physiquement le hachage (pour une fois au sens propre du terme) de son identifiant biométrique digital. On comprend mieux pourquoi ce genre d’outil prend le doux nom de défonceuse en Français.

Ces histoires d’empreintes digitales légèrement numériques sont totalement dépassées, s’exclame Car Connection et Mashable. L’avenir est à l’ouverture des portes (d’automobile) par transmission de pensée. L’outil d’authentification idéal, ce seront les ondes cérébrales, espèrent deux chercheurs Nippons de l’Université de Tottori. Avec un peu de chance, les pensées des porteurs de capteurs d’identification seront trop brumeuses pour être décodées si d’aventure l’automobiliste rentrait d’une soirée un peu trop arrosée. Et, contrairement au pouce identificateur qui se fait joyeusement découper dans les séries B américaines, l’amputation de la tête de la victime est généralement accompagnée d’un système de sécurité qui désactive la génération desdites ondes cérébrales. Sauf dans certains cas extrêmes et grand-guignolesques (http://www.horreur.net/film-1302-Cerveau-qui-ne-voulait-pas-mourir-Le-1962.html).

Mais la palme de la bévue téléphonique de cette semaine revient sans la moindre hésitation à l’actuel gouvernement. Emmanuel Paquette et Eric Pelletier, de L’Expansion, rapportent le « coup de colère » de Christophe Chantepy, proche collaborateur de Jean-Marc Ayrault, devant la légèreté avec laquelle les Grands Commis de l’Etat utilisent les téléphones « intelligents » (le terme intelligent étant, dans ce cas précis, utilisé dans le sens Intelligence (Service) Inside). « La NSA est à portée d’oreille, vos SMS et courriels abreuvent leurs datacenters, utilisez les téléphones chiffrés Theorem ! » dit en substance Chantepy. Ah, que ces Ministres sont inconséquents, que ne pourrait-on les condamner d’entente avec des puissances extérieures (car comment qualifier autrement que d’acte volontaire l’usage d’un terminal mobile non sécurisé après les révélations Snowden ?)

Seulement, ce genre de bévue, tous les gouvernements successifs la commettent. La précédente majorité et ses jeunes loups technovores avait avec une coupable inconscience multiplié les manquements à la sécurité informatique : MMS illimités, email privés… et ne parlons pas des usages inconsidérés des réseaux sociaux au sein même du 55 rue du Faubourg-Saint-Honoré, avec les conséquences désastreuse que l’on sait. Le Sénat des Etats-Unis, celui-là même qui vote les budgets de sa très chère NSA, s’était également fait rappeler à l’ordre pour que les boîtes de messagerie RIM ne soient pas confondues avec celles de l’Administration Fédérale, pour d’évidentes raisons de sécurité, d’archivage et de sauvegarde. Et la presse avait fait ses choux gras des « deux Blackberry du Président Obama ».

L’homme politique est une espèce non menacée qui ne semble s’intéresser à la sécurité des systèmes d’information qu’à partir du moment où une loi répressive porte son nom. Dans la vie courante, il a encore beaucoup de mal à saisir les limites et les risques qu’il encoure et fait encourir à la Nation toute entière.

Laisser une réponse