novembre 20th, 2018

Les hôpitaux US cherchent à se refaire une santé après une série de cyber-intrusions répertoriées par Databreaches.net. Au moins 21 000 enregistrements concernant des citoyens Californiens, potentiellement 190 000 autres victimes résidant sur le territoire US pourraient être victimes d’une faille provoquée par la compromission de comptes de messagerie de HealthEquity, un organisme de gestion des cotisations santé. L’accès aux comptes de messagerie auraient été limités à quelques jours durant le mois d’octobre, ce qui n’explique pas pour quelle raison l’organisme offre aux victimes 5 années de vérification des activités bancaires et plusieurs autres services d’aides aux victimes de vol d’identité.

Fuite également des fichiers du New York Oncology Hematology touchant 128 000 personnes, personnel soignant et patients.

Ce même jour, on apprend que le St. John’s Episcopal Hospital/ Episcopal Health Services alerte ses patients d’une mésaventure comparable, également provoquée par le piratage d’une boîte de messagerie survenu entre fin août et début octobre dernier.

Mais la perte de données la plus terrifiante rendue publique le 18 novembre dernier est indiscutablement celle touchant près de 17 000 clients de la chaîne de pubs « brewhouse and kitchen ». On se croirait revenu aux heures les plus sombres de Shaun of the Dead ou d’un autre long-métrage de la série Blood and Ice Cream.

Il est des parents qui souhaitent « pucer » leurs rejetons, et ceux qui leur offrent un bracelet de localisation et suivi par SMS …

« Dans la famille IoT, je choisis le fils », enchaîne donc le groupe de chercheurs de PenTestPartners, lesquels, Alan Monie en tête, se sont attachés à dénombrer les failles de sécurité et les multiples possibilités d’attaques « man in the middle » des montres/GPS-bracelets pour enfants qui se vendent sur eBay, Amazon et autres Banggood pour moins de 15 euros pièce. Potentiellement, ce sont presque 3 millions d’usagers en culotte-courte qui risquent de voir leurs propos et leur position récupérées par une armée de pédo-pirates, s’inquiètent les chercheurs. Appliquettes percluses de trous de sécurité, échanges non chiffrés, authentification inexistante, fuites d’informations personnelles (notamment les numéros téléphoniques des parents et de l’enfant), usurpation possible de l’appelant, espionnage du « mobile » à distance… on retrouve là tous les classiques de l’Insecurity of Things.

Si Amazon semble avoir fait machine arrière, ce n’est pas franchement le cas de ses concurrents de l’Empire du Milieu. Quand la logique du chiffre d’affaires surpasse les risques encourus par autrui …

Mais un village résiste encore, et toujours, à l’invasion du flicage semi-volontaire. Daniel Oberhaus, de Motherboard raconte son odyssée au travers des océans déchainés des implants, de leur sécurité très relative, des risques d’oubli de code d’accès, de leur fiabilité discutable : lorsque l’on peut scanner en catimini un RFID de clef d’hôtel ou une carte de crédit, une main gauche « implantée » peut tout aussi bien faire l’affaire.

Même sursaut de résistance pour Alistair Dabbs, du Register, qui éclaire d’un jour nouveau la dialectique de la puce sous-cutanée. L’entreprenariat moderne, explique-t-il, voue un culte nouveau et particulier (du moins dans les pays anglo-saxons) à l’échec et aux déboires. L’« Epic Fail » est formateur, ce qui ne nous tue pas nous rend plus fort, il faut savoir se remettre en selle après une chute de cheval… et autres clichés du genre. Echouer n’est plus une infamie.

Et par conséquence, cette certitude de l’échec génétiquement nécessaire à tout employé cherchant à progresser justifie la mise en place de mesures destinées à amoindrir l’échec dans certains cas. Et voilà le RFID sous-cutané tout simplement légitimisé . Y renoncer, reviendrait à vouloir saper la sécurité de l’entreprise puisque l’échec est devenu une certitude et une nécessité. Or, si Alistair Dabbs est prêt à assumer fièrement sa propension au « plantage », il avoue : « Mon problème est que je ne me sens pas encore prêt à accepter l’échec à un niveau personnel ». Et le mot personnel, dans ce cas, est à entendre au sens physique du terme : « Assumer l’échec à bras le corps est à entendre au sens littéral lorsque l’élément défaillant se trouve à 4 mm sous la surface de votre peau ». Et de citer les innombrables cas de lecture erronée des RFID sous toutes leurs formes. De la carte de parking désespérément muette malgré les gesticulations de son porteur face à un lecteur sourd comme un pot, à la chatière récalcitrante qui refuse l’accès au matou familial dont l’implant n’a pu être reconnu.

Tout comme l’authentification à double facteur, le RFID intra-dermique déporte la responsabilité vers l’usager. Une façon de masquer les carences intrinsèques de certains systèmes sécurisés ? C’est effectivement un aveu d’échec et d’inadaptation de certaines des protections classiques mises en place. L’empilement de couches de technologie est loin d’être une solution de sécurité, l’approche globale de la sécurité restera toujours essentielle pour mieux protéger.

Mais quelle puce a piqué la presse pour que soudainement l’on débatte avec tant de passion du « sans-contact sous-cutané » ?

Tout commence avec un article du très Britannique Telegraph, lequel révèle que beaucoup de « grandes entreprises » d’Outre-Manche envisagent sérieusement d’implanter un identifiant RFID sous la peau de leurs collaborateurs. Simple rumeur ? Un peu plus que cela, puisque cette « révélation » viendrait de BioHax, une société Suédoise spécialisée dans ce genre d’accessoire. Même son de cloche sur les antennes de National Public Radio qui reprend le discours et ses éléments de langage en affirmant que les puces RFID sont pratiquement monnaie courante en Suède. Un moyen de prêcher le faux pour le transformer en vérité, puisque le même message est repris par Michael Snyder dans les colonnes de End of American Dream avec cependant un peu plus de sens critique. Trois papiers publiés dans des médias renommés, le Dir Com de BioHax peut se féliciter. Sa technique mérite un certificat ISO-14443-B.

Les boutiquiers de la mémoire-RFID-dans-la-peau font vibrer la corde de la sécurité, et n’hésitent pas à imaginer des situations dramatiques destinées, par exemple, à culpabiliser les parents peu soucieux du bien-être de leur progéniture. Un enfant « pucé » est un enfant « surveillé » laissent-ils espérer… ipso facto « sous l’attention permanente de ses aînés ». Cette dérive sémantique qui consiste à assimiler flicage et protection est strictement comparable à celle constatée dans le domaine de la surveillance vidéo débaptisée par l’ex Ministre Michèle Alliot-Marie et fidèlement reprise par ses successeurs. Et pourtant, jamais une caméra de « vidéo-protection » n’a volé au secours d’une victime agressée en pleine rue, jamais une ampoule « sans contact » ne sauva un enfant de la noyade ou d’un accident de la route. Mais que l’on se révolte contre la multiplication de cette bigbrotherification de la société, et l’on passe pour un sympathisant des hordes de pédo-kidnapeurs-poseurs de bombes-agresseurs nocturnes, puisque l’on cherche ainsi non pas à contester la « surveillance », mais à empêcher la « protection ». Miracle de la dérive des mots. Le marketing de la paranoïa peut-il se dissoudre dans la raison et le bon sens ?

Pas vraiment, puisque les exemples se font de plus en plus nombreux. Nos confrères d’Engadget témoignent que cette pratique s’est étendue à une partie du personnel travaillant dans un datacenter de l’Ohio. L’accès au sanctum sanctorum autorisé aux porteurs de ce sésame électronique stigmatise toute personne refusant cette chosification de l’humain. Pas de puce, pas de promotion/conservation de poste/emploi. Rien d’officiel, bien sûr. La terreur du non-dit est peu à peu imposée par les angoissés de la pseudo-sécurité.

La MIT Technology review, pour sa part, rapporte que 80 employés de Three Square Market, un spécialiste US des distributeurs de produits frais et boissons, se sont fait « pucer » dans le seul but de ne pas avoir à chercher de la monnaie pour acheter les quelques décilitres ou centimètres-cubes de nourriture  quotidienne. Pour ceux qui n’auraient pas compris le message, les RFID font partie de notre quotidien. Toute résistance est futile, cette évolution vers l’humain augmenté est inévitable, y compris pour des activités non essentielles. Transhumanistes 10, homo sapiens 0.