Il y a un peu plus de 4 ans, David et Robert Maynor s’offraient un émetteur-récepteur logiciel (SDR) et entamaient un long travail de fuzzing dans le domaine du sans-fil. Rien n’est gratuit. Car contrairement à une faille Heartbleed qui ne parvient à émouvoir qu’un tout petit cénacle de spécialistes du chiffrement, les hacks radio « parlent » aux oreilles de la presse, et touchent notamment la dernière marotte des politiques en mal de popularité : l’internet des objets. Et c’est donc sur le thèmes « objets interconnectés, avez-vous donc une RAM que je puisse exploiter » que Bob Graham s’interroge sur la divulgation (ou non) d’un exploit radio visant les stimulateurs cardiaques, alias pacemakers. Et de décrire par le menu ce drame cornélien du chercheur qui trouve, et dont la découverte (ou plus exactement la publication de sa découverte) pourrait avoir pour conséquence extrême la mort de porteurs de ce genre d’appareil.
Outre le fait que ce genre de travaux s’opère généralement « en chambre », avec des niveaux de puissance ridicules, des distances de liaison se comptant en décimètres, et une totale absence de tests « grandeur réelle » en milieu urbain perturbé et à grande puissance/distance, on peut se demander si ce genre d’introspection blogo-sécuritaire ne frise pas la provocation. Certes, le domaine médical, à l’instar du secteur de l’automatisme industriel, a vécu, des années durant, avec l’absolue certitude que les techniques touchant à la radioélectricité relevaient de la sorcellerie et de la haute technologie, « inaccessible au commun des mortels ». Une forme de sécurité par l’obscurantisme en quelques sortes. Mais pour ce qui concerne le choix éthique du chercheur (dois-je ou ne dois-je pas communiquer le résultat de mes recherches à l’occasion d’une conférence technique telle que la DefCon), la question peut-elle sérieusement se poser ? Pour quelle raison existerait-il deux poids, deux mesures, entre le monde logiciel et le monde médical ? Le « full disclosure » raisonné, avec communication préalable auprès des éditeurs, correction des bugs puis divulgation après un laps de temps nécessaire au déploiement de correctifs est devenu une quasi-norme de nos jours. Tout comme est devenue une quasi-habitude le fait de rémunérer correctement les chercheurs ayant fait l’effort de découvrir et d’analyser une faille de sécurité. Que la cible soit un instrument médical ne change rien à l’affaire. A moins… à moins que cette industrie n’ait pas coutume de raisonner en termes de « fenêtre de vulnérabilité », de « calendrier de correction », de « campagne de déploiement de correctifs »… ou de barème publié de « bug bounty ».
Et c’est peut-être là le principal iatus.
Lorsqu’en 2009 Alex Sotirov, Dino Dai Zovi et Charlie Miller ont, à l’occasion de CanSecWest, entamé leur campagne « no more free bugs », ils s’adressaient à une profession d’éditeurs directement impliquée dans le développement de logiciels et firmwares. Langage d’informaticiens pour des informaticiens. Aujourd’hui, ce discours peut-il être entendu par les industries de l’automatisme, du contrôle de processus, de l’équipement médical, des équipementiers de la grande distribution, des secteurs financiers, automobiles, aéronautiques ? … Bref, de tous ceux qui, sans appartenir au monde du développement logiciel, développent leurs propres programmes ? Et lesdits industriels seront-ils enclins à récompenser ces chercheurs en cas de découverte d’un bug majeur, sans considérer ladite recherche comme une tentative de racket ?
La véritable question que pose Robert Maynor va bien au-delà du simple problème du full disclosure or not full disclosure. Elle interroge l’ensemble des secteurs d’activités qui, par un biais ou par un autre, ont numérisé leurs outils et applications, et n’ont pas toujours pris en compte la dimension infosec. Ni budgétisé les coûts induits… remerciements aux chercheurs y compris. Un « à votre bon cœur » qui s’annonce avec un hack de pacemaker, voilà qui atteint des sommets lacaniens.
