Dans tout bon roman de SF mouvance cyberpunk new wave * , il arrive toujours un moment où le héro, bardé de « patchs » cybernétiques ou nanotechnologiques, se fait pirater les implants et commence à voir des éléphants roses galoper entre ses neurone et l’interface IHM implantée, comme il se doit, à la base du crâne, tout à côté d’un code à barre EAN tatoué.
« Tout çà est sur le point de se produire » nous apprend un article de la BBC Online, information reprise par un régiment de journaux en ligne. Mark Gasson, de l’Université de Reading, s’est intéressé aux possibilités d’injection de code à partir d’un implant RFID. Des implants généralement utilisés pour identifier le bétail ou renforcer la sécurité de bâtiments sensibles dont l’accès n’est réservé qu’aux porteurs de ces « smart tags sous-cutanés ». L’infection virale d’un tel Rfid peut avoir deux buts, explique le scientifique. En premier lieu, contaminer le système de lecture, pour en contourner le fonctionnement. Mais à terme, rien n’interdit d’imaginer un virus qui serait capable de s’attaquer également à certains implants corporels pilotés par Rfid… et le chercheur d’exhiber un stimulateur chargé de piloter des sondes implantées dans le cerveau d’un patient et d’en sous-entendre les conséquences physiologiques… le LSD logiciel est pour demain. Timothy Leary doit s’en retourner dans sa tombe, les publicitaires et patrons de chaines TV privées rêvent déjà d’un « Direct Memory Access » chez les consommateurs.
Le hack et l’infection d’un RFID, qu’il soit sous-cutané ou non, n’est pas franchement nouveau. L’on se souvient des travaux passionnants de Melanie Rieback et Andrew Tanenbaum, de la « libre Université » d’Amsterdam, et notamment de cet article datant de 2006 intitulé « Malwares Rfid, mythes et réalités ». Il n’y a, conceptuellement et techniquement, que très peu de différences avec le hack d’une carte à puce ou de tout autre composant disposant d’un espace mémoire en lecture-écriture et d’une capacité de traitement locale. C’est l’usage du composant qui donne à ce genre d’information l’importance, fantasmée ou non, que lui donnent les médias.
Pas nouvelle non plus la perception que précisément ces mêmes médias grand public ont de ce problème. Alarmistes et inquiets pour la plupart, mais également ironiques et critiques telle que ce très amusant billet « You Dummy: Foolish Scientist Implants Chip In Hand, Can Now Contract Computer Viruses ». *
Mark Gasson est-il coupable d’alarmisme et de « FUD » ? Probablement autant que sont responsables les industriels qui « bourrent » à zéro 4 bits sur 8 d’une clef de chiffrement de téléphonie mobile, qui intègrent un protocole de chiffrement de clefs USB « sécurisées » à la vas-comme-je-te-pousse, qui « oublient » de griller le fusible de lecture/écriture d’un firmware stratégique, qui font passer un exor sur 15 octets pour un « système de chiffrement inviolable » ou paramètrent par défaut un routeur WiFi avec une clef Wep. C’est là tout le problème des signaux d’alarme. Leur volume doit-il égaler celui des sirènes marketing qui masquent les négligences d’usage ? Ou un chercheur en sécurité doit-il indéfiniment conserver cette retenue, ce vocabulaire précis et nuancé qui caractérise tout scientifique et fait de son discours une soupe incompréhensible et tiède qui n’a aucune chance d’influencer le cours des choses ? Même s’il n’est entendu que d’une minorité, le cri de Mark Gasson nous aura au moins donné l’envie de lire ou relire les œuvres de William Gibson, Neal Stephenson, Greg Bear, Bruce Sterling, Enki Bilal ou Masamune Shirow.
NdlC Note de la Correctrice : A noter dans ce billet comprenant de véritables morceaux « d’understatement so British », une allusion aux Daleks, ces extraterrestres que combat inlassablement et depuis 1963 l’extraordinaire Dr Who, à cheval sur son Tardis.
