S’il fallait résumer Hackito Ergo Sum en 5 lignes, une fois n’est pas coutume, l’affaire serait simple : Renaud Lifchitz (BT) a exposé sur la place publique que les banques, dans le monde entier, étaient en train de diffuser une nouvelle génération de cartes de crédit dont l’usage peut s’avérer ruineux (au sens propre) pour leur clients, et le couple Jonathan Brossard / Florentin Demetrescu a expliqué comment sous-mariner n’importe quel ordinateur « Wintel » de manière permanente, à distance, et sans que la chose puisse être détectable (voir article suivant). Les autres présentations, plus techniques, plus verticales, étaient plutôt destinées à un public de spécialistes, et reprenaient en général des travaux souvent exposés au fil d’autres conférences sécurité.
…. Et malgré un contenu d’une gravité et d’une importance incontestable (car touchant soit aux données personnelles de tout informatisé, soit à son portefeuille), pas un seul médium grand public n’est sorti du traitement « convenu » de l’évènement : les hackers sont des spécialistes qui se réunissent de temps en temps… probablement dans le but de se reproduire. Une race qui n’appartient qu’à deux familles : celle des dangereux cyber-terroristes qu’il faut surveiller, museler, condamner à des peines de prison, et celle des gentils nerds dépassés par les réalités quotidiennes, professeurs Nimbus des temps modernes. Il y a là indiscutablement un problème de communication, de vulgarisation et de pédagogie qui concerne l’ensemble des professions de la sécurité informatique, et dont les conséquences sont bien plus graves qu’une simple histoire d’image de marque ou de couverture média d’un évènement en particulier.
Mais revenons sur le hack de Renaud Lifchitz, British Telecom. Sa présentation, Hacking the NFC Credit Card for Fun and debit, explique que la nouvelle génération de cartes de crédit “sans contact” (en gros, utilisant la même technique que les RFID pour la traçabilité de la viande bovine et la gestion des forfaits de ski) permet d’extraire, à plusieurs mètres de distance, les informations non chiffrées suivantes :
Sexe
Nom
Prénom
PAN (numéro de compte primaire)
Date d’expiration
Données contenues sur la piste magnétique
Historique des dernières transactions
Ainsi qu’un code CVV à usage unique ne servant qu’à des transactions de faible valeur
Excusez du peu. Ces cartes sont systématiquement distribuées depuis le début de l’année 2012.
Comme si cela ne suffisait pas, Renaud Lifchitz précise que cette absence de chiffrement pose plusieurs autres problèmes secondaires : sans protection des données bancaires et nominatives, la transaction financière (et pas voie de conséquence le département de la banque chargée de l’opération), n’est plus conforme aux normes PCI-DSS. La Cnil, quant à elle, s’inquiète du possible pillage de centaines de milliers d’identités à l’heure (un simple portique d’interrogation camouflé dans un couloir du métro par exemple). La gendarmerie, pour sa part, y voit un excellent moyen pour déclencher une bombe à distance à proximité d’une personne précise et spécifiquement visée… Cela ne suffit pas ? Lifchitz continue « les données peuvent être directement accessibles via des attaques MIM pour effectuer des achats plafonnés à 20 euros, somme limite autorisée pour les NFC. Voir pour fabriquer d’autres cartes clonées sur le marché du carding, cartes qui seront acceptées dans la majorité des pays d’Outre Atlantique notamment, lesquelles n’exigent ni « puce », ni contrôle du CVV. Les données peuvent également être utilisées sans le moindre support physique, pour effectuer des achats sans plafond, sur des sites de vente en ligne. Une rapide vérification des mécanismes de payement sur Internet nous prouve que la majorité des sites de vente dans le monde n’utilise pas le code CVV « véritable » pour authentifier la transaction, et lorsque ce code est demandé, il est souvent possible de fournir n’importe quel suite de 3 chiffres… il n’y a aucune vérification ».
Mais il y a pire encore. Contrairement à ce que Renaud Lifchitz explique (par prudence scientifique) nul n’est besoin de dépenser 2000 euros d’amplificateur et 1000 euros d’antenne pour lire ces cartes de crédit NFC à plus de 1 à 15 mètres : un bon radioélectronicien un peu compétent dans le domaine des ondes courtes fabriquera son outil à pirater les cartes Visa « NFC » pour la modique somme de 100 euros (allez, poussons à 300 Euros si l’on ajoute un petit amplificateur HF de 50W PEP réalisé à coup de transistors FET sérieux). Mais ce n’est là encore qu’un aspect technique de la question. Le véritable problème vient des organismes qui ont mis au point un système de payement sans contact non chiffré, imposé sans demander l’assentiment des clients, sans la moindre information technique ou éclairage des risques encourus, technologie enfin sur lequel le légitime propriétaire n’a strictement aucun contrôle du genre « marche/arrêt ». Des constructeurs d’automobiles ont été contraints de rappeler des milliers de véhicules pour bien moins que çà, avec en prime une place de choix sur la première page des journaux. Pourtant, dans ce cas précis, aucun contre-pouvoir, aucune voix ne s’est élevée, contraignant ainsi les banque à retirer immédiatement leurs nouvelles cartes de crédit.
Pas une ligne en dehors de la presse spécialisée. Le lobby des organismes financiers et leurs avocats fait-il si peur à nos confrères ? Le message était-il formulé de manière trop « geekesque » pour être compris ? La crainte d’une annonce jugée catastrophiste aurait-elle soudainement préoccupé la conscience des reporters des quotidiens nationaux qui, il n’y a pas un an, rédigeaient des titres sur 5 colonnes alertant la population du très improbable danger Stuxnet ? Il se creuse là indiscutablement un « digital divide » entre ce qui pourrait réellement préoccuper les consommateurs Français et les grands canaux d’information. Si la presse généraliste ne peut pas transmettre de tels messages, il faudrait alors que soit remise sur le tapis la question de la création d’un véritable CERT grand public, un cyber-Ombudsman à la Suédoise comme en possèdent déjà la Grande Bretagne et l’Allemagne. Un travail que ne peuvent remplir les autres Cert nationaux, ni le « A », ni le « Renater », ni le « IST » pour d’évidentes raisons historiques et fonctionnelles… encore moins les Cert bancaires qui seraient, dans de tels cas, juges et parties, pas plus que des structures telles que l’Anssi, qui atteint ici les limites de sa compétence (le mot compétence désignant ici périmètre de mission, et certainement pas ses capacités techniques).
Sans l’autorité indépendante que serait ce Cert grand public, il est impensable que les banques elles-mêmes acceptent de perdre de l’argent en retirant du marché ces centaines de milliers de cartes déjà en service, et surtout divulguent elles-mêmes une information pouvant porter atteinte à leur bien le plus précieux : la confiance. Un Cert possède un pouvoir bien plus grand qu’une Cnil. Un seul de ses communiqués fait immédiatement réagir un Microsoft ou un Google. Les banques y seraient également sensibles. Etre accusé de spéculation sur les edge fund, passe encore, l’activité est jugée très virtuelle. Mais jouer au loto avec la sécurité des particuliers, il y a fort à parier que la pilule ne passe pas.
Il apparaît également qu’au cours des travaux de Mr Lifchitz, une remarque a été formulée par différents intervenants, revenant comme un leitmotiv : il ne faut pas affoler la population. Ignorance is a bless diraient les anglo-saxons. L’homme de la rue*se voit demander son avis sur l’avenir politique de l’Europe ou sur le choix du prochain Chef d’Etat, mais il est jugé incapable de déterminer si oui ou non le risque de lecture de ses coordonnées bancaires est un fait important.
En attendant, la Cnil est sur les dents, les fabricants de carte planchent sur la conception d’une solution chiffrée dont la date de disponibilité est inscrite dans les fumées éthérées de la pythie de Delphes, la gendarmerie ne rit pas (ce hack est vraiment à la portée d’un enfant de 10 ans), et la grande majorité des porteurs de cartes de crédit NFC dorment en paix. Quant aux rares personnes informées, elles se sont prises d’une passion soudaine pour les feuilles de mu-métal.
*NdlC Note de la Correctrice : L’homme de la rue est composé en moyenne par 50 % de femmes soit, sous un angle sociologique, 84% des personnes responsables de l’équilibre du budget des ménages.
1 commentaire