Laurent Penou, lors d’une « présentation-éclair » narre les péripéties d’un usager des cartes de débit à usage unique
Une conférence sécurité sans ses « short tracks » est un peu comme un repas sans dessert. Les recherches qui y sont généralement présentées n’ont certes pas la consistance d’un plat de résistance d’une heure d’explications techniques, mais leur brièveté, leur légèreté (et l’humour de certains intervenants) les rendent considérablement plus digestes.
Ainsi Eric Leblond (Regit), a rapidement parlé des performances de Coccigrep, un grep sémantique dérivé de Coccinelle, capable, par exemple, d’effectuer des séries de recherches-remplacements d’expressions en langage C (et non seulement de chaines de caractères) sur une multitude de fichiers. Ses écrans de présentation sont à télécharger sur son site. Jamais l’on n’aurait pu penser qu’un outil aussi puissant et pratique puisse être disponible.
Laurent Penou (Lyra Network) est plutôt connu dans le petit monde infosec pour parler très sérieusement et très techniquement des questions d’intégration de la sécurité dans les systèmes de payement par carte. Mais cette année, son intervention fut aussi humoristique que critique, et abordait les hiatus constatés lors de l’utilisation de cartes de payement à usage unique et valeur d’achat plafonnée. Présentées par les organismes bancaires comme la réponse absolue à toutes les possibilités de fraude durant un achat en ligne, il apparaît que les transactions ainsi faites ne sont ni exemptes de fuites d’information, ni très strictes en matière de confidentialité des procédures d’autorisation de payement. Quant aux mécanismes d’autorisation (contrôles de plafond de carte) ou vérification du pays d’origine, ils sont pratiqués souvent avec une certaine fantaisie qui, parfois, provoque des refus bancaires totalement inattendus.
En fin de conférence deux « mini-interventions » ont parfaitement illustré les propos du « keynote speaker » Edmond Rogers sur les limites des protections numériques comparées aux limites des sécurités physiques. L’une décrivait une récente attaque visant des distributeurs automatiques de billets (DAB), dont le système a pu être « rooté » en exploitant un défaut de sécurité physique et un accès non prévu au port USB de l’imprimante intégrée audit distributeur. Lequel port permettait à son tour tout type d’injection dans le noyau du système DAB, généralement un Windows XP. La faille exploitée offrait aux intrus la possibilité de vider totalement la réserve de billets contenue dans le DAB. L’enquête de police étant toujours en cours, il est délicat d’en dire plus long.
Un autre « ligtning talk », bien plus hilarant (et tout aussi anonyme), montrait comment accéder au système d’un de ces terminaux publics installés dans certaines boutiques de distribution de nourriture aussi peu gastronomique que rapide à ingurgiter. Une fois de plus, un excès de confiance dans l’usage de commandes cachées et dans l’aspect « inviolable » de la configuration matérielle a endormi la vigilance des responsables sécurité desdites chaînes d’alimentation industrielles. Junk food, junk security.
