octobre 9th, 2008

Noyée dans le brouhaha de la crise des subprimes, la presse américaine a presque failli ne pas rendre compte du lancement de la phase 1 du programme NAO (National Applications Office). Tout au plus peut-on lire un article très synthétique dans les colonnes du Wall Street Journal.

Qu’est-ce que NAO ? Un programme d’espionnage piloté par le Department of Homeland Security (DHS). Il offre aux infrastructures de sécurité locales (police métropolitaine et d’Etat) un accès libre à un réseau satellite de surveillance. Le but étant de faciliter le travail des valeureux pandores américains dans leur constante lutte antiterroriste. L’état fait donc cadeau à la police d’un appareil photo légèrement luxueux : les premières tranches de ce programme spatial, adopté par le Congrès US, frise les 634 milliards de dollars (soit, peu ou prou, le montant de la dépréciation d’actif des banques du monde entier à l’heure actuelle).

En quoi NAO est-il inquiétant ? Parce que ce n’est pas une nouvelle version de Google Earth. Le programme offre à des policiers un outil militaire, d’une résolution proche du mètre, capable non seulement de photographier un passant sur la Place Rouge en train de lire la Pravda, mais également de situer une signature infrarouge à l’intérieur d’un bâtiment. Or, si l’on peut espérer un minimum de sensibilité sécuritaire de la part d’un militaire, on peut également craindre le pire de la part du personnel civil des services de police métropolitains américains. Il est utile de rappeler que les satellites d’espionnage sont généralement des LEO (Low Earth Orbit), qui, pour compenser la force d’attraction terrestre, sont contraints de tourner plus vite que ne le fait la terre elle-même. En d’autres termes, le programme NAO n’est pas géosynchrone et survole donc immanquablement tous les pays d’Europe. Et espionnent donc immanquablement tous les ressortissants des pays d’Europe. On imagine aisément la porte ouverte à tous les abus possibles en termes d’intrusion dans la vie privée, d’espionnage industriel et autres dérives probables.

Le GAO, Government Accountability Office, dans un rapport d’une soixantaine de pages, s’inquiète notamment de l’absence manifeste de garde-fous interdisant l’usage des données récoltées par « d’autres agences ». Et par « autres agences », le GAO dénonce clairement la NSA, le FBI et les quelques 16 autres services à 3 ou 4 lettres qui, eux, possèdent les outils de data-mining qui pourraient transformer les données satellites en véritable usine à inquisition. C’est notamment l’un des arguments que reprend un article incendiaire publié dans les colonnes d’Intelligence Daily, journal pourtant assez peu enclin à invoquer les dérives bigbrotheristes du monde de l’espionnage. Les explications détaillées que Tom Burghardt donne de l’organisation de NAO peuvent effectivement inquiéter. On y retrouve, explique-t-il, la même équipe qui se trouvait aux commandes du TIA, le Total Information Awareness, dirigée par « Booz Allen Hamilton et ses seconds couteaux de la Science Applications International Corporation (SAIC) de San Diego ». La SAIC est une de ces nombreuses sociétés militaires privées, qui agissent généralement comme sous-traitant du DoD tant aux USA que sur les théâtres d’opération étrangers.

Repasser par une phase de « packaging » et le paiement d´une licence Microsoft n´est pas toujours une solution appréciée des services informatiques en mal de déploiement.

Depuis le début de cette semaine, Kace offre un « AppDeploy Repackager » gratuit, assez simple à utiliser pour que même un journaliste de l´équipe soit capable de le mettre en œuvre… c´est dire. A noter sur le site de la communauté AppDeploy, dans la section Download, une collection plus que conséquente de programmes, en (grande) partie commerciaux, en partie «freeware », essentiellement orientés déploiement, gestion d´installation, suivi des licences actives, provisionnement, inventaire des avoirs logiciels, serveurs de distribution… une mine d´or.

Dévoilés par un article du New Scientist, les travaux de MM Vadim Makarov, Andrey Anisimov, Sébastien Sauge laisseraient entendre qu’il est possible d’intercepter le passage de la clef de chiffrement d’une transmission quantique, sans que cela ne vienne perturber le déroulement des échanges réseau. De manière très lapidaire et approximative, l’attaque consiste à désensibiliser les capteurs de photon unique à grand renfort de « flashs » qui viennent aveugler lesdites cellules. Comme une sorte de « commande automatique de gain » calibre ces récepteurs en fonction du bruit (bruit thermique du capteur lui-même, bruit de la fibre noire etc), cette boucle de réaction aura tendance à accepter des niveaux d’énergie plus élevés qu’en temps normal… juste assez puissants pour expédier une information lumineuse sur le capteur à attaquer, mais pas assez pour que les autres capteurs ne la reçoivent également. Ce genre d’attaque est très simple à détecter et à contrer, par simple mesure des variations de niveau de lumière transmise. Ajoutons également que cette méthode ne concerne que les capteurs de photon fabriqués par Perkin Elmer. Mais la morale de cette histoire, une fois de plus, nous apprend qu’un petit hack matériel est parfois plus efficace qu’une subtile assurance logicielle ou algorithmique. Les gourous sécurité que cette découverte ne parviendrait pas à émouvoir peuvent se plonger dans la lecture du site de Vadim Makarov, subtil mélange d’humour, de savoir et de considérations subversives sur la qualité des DVD « officiels » comparés à leurs versions piratées.

Lu au détour d’une contribution d’Adam Laurie sur le Full Disclosure, l’on apprend la « sortie » de la version 0.1t de RFIDiot. Le « changelog » informe que les derniers codes intègrent notamment l’émulateur de passeport de Jeroen van Beek qui, il y a quelques jours de cela, fit revivre Elvis. Outre cette très remarquée trouvaille du THC, remarquons également mifarekeys.py, qui extrait le MyfarePWD. Le hack des RFID revient en force, ces temps-ci.