janvier 5th, 2010

Encore une révélation faite à la 26C3 : Rien n’interdit d’effectuer une attaque « man in the middle » sur le brin optique chargé de la transmission d’une clef quantique. Le scénario était théoriquement impossible à exploiter en vertu du principe d’incertitude d’Heisenberg, mais un groupe de chercheurs de l’Université de Singapour a découvert une faille. Une faille de taille, car elle tire parti d’une caractéristique technique Composant, plus précisément les diodes avalanche qui servent de récepteur dans un brin QDK. Des diodes avalanche que l’on retrouve dans la plupart des systèmes de transmission quantique.

Le principe est simple, sa mise en œuvre complexe. Il « suffit » qu’Eve récupère les informations provenant d’Alice et les retransmette à Bob… Pour ce faire, Alice envoie, à périodes régulières, des impulsions qui « aveuglent » le capteur de Bob, lequel perd sa capacité à ne détecter que des photons uniques. Cette désensibilisation donne à Eve la possibilité d’expédier à Bob ce qu’elle désire –dont notamment une réplique exacte de ce qu’elle intercepte-, sans que Bob s’aperçoive que son récepteur de photon unique travaille dans un mode anormal.

Cette même équipe avait déjà publié une étude allant dans le même sens et exploitant ce même principe dès octobre 2008. Il ne s’agit donc pas d’une « première » comme semblent l’affirmer certains de nos confrères.

Albert Segvec Gonzalez vient de plaider « coupable » dans l’affaire du piratage qui avait visé Heartland, mais également les magasins 7-Eleven et Hannaford Brothers. Ce technocambrioleur en série avait déjà été inculpé pour avoir piraté la comptabilité informatique de TJX, BJ’s Wholesale Club, OfficeMax, Boston Market, Barnes & Noble et Sports Authority. Selon nos divers confrères anglo-saxons, le Reg et Security News, l’inculpé risque entre 17 et 25 ans de privation de liberté.

TJX a été la plus grosse affaire de hacking reposant sur une intrusion Wifi à ce jour. La DSI de l’entreprise avait jugé inutile de mettre à niveau les « douchettes » de lecture de codes à barres (qui utilisaient un chiffrement WEP), pour de simples raisons d’économie. Les données de 94 millions de clients avaient été ainsi capturées par la bande.

Heartland,pour sa part, est un intermédiaire bancaire regroupant les transactions de millions de petits commerçants situés aux USA. Ses ordinateurs avaient été violés et près de 130 millions de numéros de cartes de crédits s’étaient retrouvées dans la nature. Ces deux « casses » comptent pour être les plus importants de ces trois dernières années.