février 26th, 2016

Facebook, Google, Microsoft, Twitter et Apple s’exprimant d’une même voix, combattant côte à côte dans une formidable embrassade juridique : il n’y a que dans la peine que l’on reconnaît ses véritables amis. Inquiétés par les conséquences incalculables d’une victoire du clan « FBI/DoJ » dans l’affaire qui oppose Apple et la justice US, les ténors des NTIC d’Outre Atlantique annoncent qu’ils envisagent de déposer une « Amicus Brief » (un complément d’information auprès du tribunal) soutenant les arguments de Tim Cook relatifs au refus de collaborer à la fragilisation du chiffrement d’IOS 9. Cette décision collective intervient le même jour où Apple a fait appel devant la Cour de Californie, demandant l’abandon de ses exigences techniques, expliquent deux journalistes de Recode.

C’est un cri poussé par un membre de l’IEEE (Tekla Perry) en faveur d’une règlementation de l’IoT en termes de sécurité. « Après moult cogitations, il nous a semblé nécessaire de voir se créer un Cyber-Underwriters Laboratory » écrit en substance Perry. L’Underwriters Laboratory (UL) est un laboratoire indépendant US qui attribue des labels de conformité aux biens de consommation (électroménager, textiles, équipements de l’habitat etc.). C’est un proche cousin de la qualification CE Européenne qui garantit que l’appareil acheté ne présente aucun danger dans le cadre de son usage courant.

Et Perry d’argumenter en prenant çà et là des exemples de la vie quotidienne, notamment l’affaire Apple vs FBI, ou en mentionnant les conséquences du hack de la chambre froide d’un restaurant, une opération de racket suite à la compromission d’un système informatique ou la mort de cinq personnes dans un accident de voiture sans chauffeur (information non sourcée et sujette à caution). Il faut, insiste-t-il, sécuriser l’IoT comme l’UL sécurise des moulins à café ou des grille-pain, avec la collaboration active des fabricants, lesquels assureraient une maintenance de leurs appareils par le biais de correctifs de firmware distribués automatiquement.

Si l’intention est louable, elle semble cependant assez peu réaliste. En raison de l’ampleur d’une telle tâche tout d’abord. Tester l’intégralité des logiciels et firmwares liés à l’IoT est d’ores et déjà une tâche pharaonique. Mais également une vision techniquement irréaliste. Quel Cyber-UL serait en mesure de tester, puis détecter l’intégralité des failles d’un noyau Android ou d’un réseau Sigfox, quand bien même ledit laboratoire possèderait les codes sources en intégralité ? Enfin, quel fabricant accepterait de suspendre la commercialisation de ses produits à la décision d’un laboratoire alors que tout le secteur IoT n’est qu’une course au « time to market ». Quel constructeur serait prêt à inventer un réseau complexe de mise à jour alors que le business-model de l’IoT repose sur une rapide obsolescence des appareils, laquelle joue en faveur d’un marché en perpétuel renouvellement ?

Le véritable Underwriters Laboratory, tout comme le comité d’agrémentation CE, ne s’y est pas trompé : mettre les doigts dans l’engrenage de la certification logicielle d’un point de vue sécurité est un tonneau des Danaïdes dans lequel il serait vain d’y verser la moindre once de ressource, car ni le résultat, ni les efforts déployés n’amélioreraient grandement le paysage IoT en général, et ce, quels que soient les efforts financiers et humains que l’on y consacrerait.

En revanche, il ne serait pas vain d’encourager (par un label quelconque) lesdits fabricants à respecter des recommandations telles que celles de l’ Owasp IoT Project. Et encore faudra-t-il beaucoup de patience. Près de 15 ans après leur édiction, les recommandations Owasp dans le domaine de l’écriture des applications Web ne sont respectées que par une très faible minorité des développeurs. Il faudra bien le double de ce laps de temps pour que les professionnels de l’Internet des Objets adoptent une démarche vertueuse comparable.

Côté Apple tout d’abord, avec cette information du NYT laissant entendre que ses ingénieurs seraient en train de renforcer les mécanismes de chiffrement de leurs téléphones afin qu’il soit « impossible au gouvernement de débloquer un iPhone en utilisant des méthodes comparables à celles utilisées durant cet affrontement à la cour de Californie ».

Face à cette réaction , le procureur du comté de Maricopa (AZ) rend coup pour coup et décide d’interdire la fourniture de nouveaux téléphones Apple à son personnel nous apprennent nos confrères de NetworkWorld. « Le refus, de la part d’Apple, de coopérer avec les autorités dans le cadre d’une enquête liée au terrorisme place Apple du côté du terrorisme ».

Jouant les arbitres, The Grugq déconstruit la « théorie du complot » ourdie, selon lui, par le FBI et les milieux politiques tant Californien que Fédéral. Un couple paumé de terroristes amateurs, des scénarii d’attaques avancés par le FBI et surtout des demandes totalement injustifiables concernant Apple. Non seulement il ne s’agit pas du téléphone personnel de l’assassin (qui a été détruit) mais de son portable de travail, mais en outre la somme d’informations accumulées par le FBI dans le cadre de cette enquête ne justifie absolument pas ce genre de demande (propos également tenus la semaine passée par Edward Snowden via Twitter). Les services de renseignement intérieurs, conclut The Grugq, sont donc bel et bien en train de mener un combat purement politique, très éloigné de leur fonction régalienne.

Palo Alto publie un quadruple bulletin d’alerte. L’une des failles (PAN-SA-2016-0005) est considérée comme critique et ouvrirait la porte à des attaques distantes et à des dénis de service.