décembre 14th, 2011

Bruce Schneier parle un peu moins de poulpes et un peu plus de sécurité ces derniers temps. Et vient de signer un tout petit article qui, en moins de 6 lignes, rappelle que les industriels Européens ont toutes les raisons légitimes de se méfier des conséquences du Patriot Act, ce blanc-seing de la Maison Blanche qui permet, sous prétexte de chasse au terrorisme, de fouiller sans trop de procédures légales dans les données détenues par des entreprises US. Un papier de Wired et le journal Politico (qui en sort d’ailleurs un article de 3 pages) qui laisse apparaître que l’Administration Obama commence à prendre conscience des conséquences de cette loi. Une loi qui devient un frein au développement d’acteurs tels qu’Amazon, Google, Microsoft et confrères. Un comité des sages planche sur le sujet. Mais leurs conclusions déboucheront-elles sur seulement de vagues promesses rassurantes ? Dans un contexte de crise, où toutes les occasions de guerre économique sont bonnes à prendre, on imagine que les sénateurs Etats-Uniens vont se retrouver entre la chèvre et le chou : restaurer la confiance pour gagner de nouveaux marchés au risque de perdre une source de renseignements si pratique à invoquer ? Ou conserver la ligne dure du Patriot Act ? De leur côté, les entreprises Européenne peuvent-elles se contenter de vagues promesses qui n’engagent que ceux qui y croient ? Toute abolition du Sénat dans un sens favorable à la restauration de la confiance envers les prestataires de services Cloud peut faire l’objet d’un moratoire ou d’un revirement politique. Tout au plus ces clients potentiels peuvent-ils espérer que cessent de se développer au sein même de nos frontières des dispositions ou projets équivalents pour qu’une industrie du Cloud « made in vieux continent » puisse faire contrepoids et jouer d’égal à égal avec les acteurs d’Outre Atlantique.

Mais qu’est-ce qui fait « buzzer » les médias techniques ces temps-ci ? Mais les malwares sur « smartphones » bien sûr. La page de garde de nos confrères de Network World en est toute chamboulée. « Google retire 22 applications de plus de sa place de marché », « un nouvel Age des malwares » (interview d’un spécialiste de l’ICSA Labs traitant bien entendu des menaces frappant les téléphones intelligents). El Reg s’exclame « 10 000 téléchargements pour un jeu faisandé ». Le blog de Sophos donne la liste des appliquettes douteuses retirées de la situation, F-Secure parle de « troyens SMS de premier choix sur l’Android Market »… Il n’existe quasiment aucun éditeur de logiciel de protection périmétrique qui ne mette pas en doute la confiance que l’on porte à ces nouveaux outils de téléphonie.

L’ennui, c’est qu’à part quelques rares articles dans la presse généraliste, le grand public n’est pas franchement au courant de ce qui se passe. Si l’on élimine les geek, les RSSI, les développeurs et quelques homo-informaticus génétiquement modifiés, personne ne se penche sur les blogs de Sophos, les romans de F-Secure ou les écrits de CNIS-Mag. Et dans un sens, cela n’est pas un véritable drame. Car en termes d’impact réel (on ne parle là que d’éventuelles atteintes à l’image de marque des boutiquiers de la minute facturée ou des épiciers de l’application « two tiers »), les virus pour smartphone sont encore loin, très très loin d’égaler en virulence les malwares qui visent les ordinateurs conventionnels, exploitent les multiples failles de navigateurs « patchés » avec approximation ou succombent sous les coups d’applications Flash. Certes, le modèle de sécurité des Smartphones ressemble à une vaste galéjade, mais il faut bien admettre que même s’il était plus sérieux et s’il arrivait à égaler celui applicable à l’informatique traditionnelle, cela ne diminuerait en rien le niveau de risque et le nombre d’attaques. Il n’y a encore rien de très intéressant à glaner sur un téléphone mobile pour un hacker mafieux (l’on ne parle pas des officines de barbouzes qui ont d’autres intérêts). Mais le jour où le téléphone mobile remplacera la carte de crédit, soyons certains que les petits troyens que l’on découvre aujourd’hui seront plus virulents. Et ce, quel que soient les efforts prodigués autour du modèle de sécurité.

Cette vision certes pessimiste ne décourage pourtant pas les équipes de l’Enisa, qui publient ce jour même un opuscule intitulé « Smartphone Secure Development Guidelines » , document rédigé en collaboration avec l’Owasp. Il n’est pas toujours nécessaire d’espérer pour entreprendre ni de réussir pour persévérer disait Guillaume d’Orange.

Allez, deux dernières petites attaques téléphoniques pour la route. La première, signée Winrumor. Ces confrères Américains ont découvert un « SMS de la mort qui tue », ou plus exactement qui fait rebooter un smartphone utilisant Windows Phone 7.5. Ce DoS par « krikitu » n’est pas sans rappeler la fameuse séquence ATA publiée par l’équipe de Monsieur Hayes et qui faisant rendre l’âme à tout modem utilisant son jeu de commandes et ne possédant pas une licence d’utilisation payée en bonne et due forme.

La seconde attaque est celle, bien involontaire, d’un installateur US d’infrastructures téléphoniques 4G dont les émetteurs brouillent l’écoute des systèmes de positionnement GPS. Nos confrères de Tom’s Hardware précisent qu’opérateurs clients et fournisseurs d’infrastructure se renvoient la balle… la recherche d’un MacDo ou d’un KFC rendue impossible par la modernisation d’un système de téléphonie sans fil, voilà un véritable drame de la vie moderne.