Archives

A quoi peut servir un RFID ? et surtout qu’est-ce qu’un RFID ? Il y a quelques années, ces choses-là étaient claires : le RFID était le successeur pressenti du code à barre, fonctionnant en très grande majorité dans la bande HF des 13 MHz, avec une distance de lecture de quelques centimètres maximum. Au rencart la douchette, vive le sans contact, sans « sens de lecture », sans « orientation préalable ». Cette définition simple, simpliste même allait être bousculée par une foultitude de problèmes. A commencer par un usage abusif Outre Atlantique qui eut pour conséquence une campagne de dénigrement assez violente orchestrée par quelques défenseurs des libertés individuelles. A commencer par Katherine Albrech. Avec le développement des premiers RFID ont également fait surface les carences évidentes en matière de sécurité. Des « serial hackers » de talent, dont Adam Laurie et son site RFidiot ou Melanie Rieback de l’Université Libre d’Amsterdam, voire les Charlies Miller ou Cesare Cerrudo ne sont pas les moins connus dans la longue histoire de la chasse aux trous constellant les étiquettes « intelligentes ».

Tout comme les transmissions Wifi, excessivement fragiles à leurs débuts, puis de plus en plus résistantes avec l’arrivée des WPA de tous poils, les étiquettes radio ont pu combler peu à peu leurs défauts. La situation est encore loin d’être parfaite, mais elle est bien meilleure qu’il y a encore 5 ans. En outre, la majorité des usagers ont parfaitement intégré la notion d’analyse de risque liée à l’adoption de cette technique d’étiquetage radio. Tous les RFID n’ont pas nécessairement obligation d’être chiffrés ou d’être inaltérables, impossible à reproduire. Se sont donc constitués différentes strates de sécurité, empilées selon la destination finale et les exigences de leurs usagers.

Autre point délicat, celui du prix du RFID, considérablement plus élevé que celui du code à barre. De quelques dizaines de centimes par pièce, le RFID est passé en dessous de la barre des 8 à 10 cts dernièrement. Mais cette évolution ne s’est pas faite en un jour, et reste supérieure à ce que coûte une bande de 5 centimètres de papier autocollant recouverte d’un peu d’encre. Durant ce laps de temps également, le code à barre a reconquis quelques parts de marché là où on ne l’attendait pas. Dans le secteur Internet notamment, grâce à l’apparition des appareils photos sur smartphone qui ont popularisé les QRcodes. Des smarphones qui sont encore loin d’être tous équipés de lecteurs RFID d’ailleurs.

Ces petits hiatus ne sont rien comparés à la confusion croissante qui caractérise le monde des RFID dans son ensemble. Car le mot englobe beaucoup de choses. Les étiquettes 13,56 MHz elles-mêmes et leurs différentes normes (dont font partie par exemple les tags « myfare », clef d’hôtel, forfaits de ski, conteneurs biométriques des passeports etc.), les NFC de nos cartes bancaires et autres identifiants sans contact à très faible portée, mais également les dispositifs UHF consultables jusqu’à 10 mètres avec une vitesse de défilement de 50 km/h. Des RFID UHF qui, d’ailleurs, tendent de plus en plus à remplacer les étiquettes électroniques « old school » sur 13 MHz, car plus souples, plus faciles à « lire » , plus adaptées aux secteurs des transports, du stockage, voir même du contrôle d’accès, chasse gardée des RFID « HF » jusqu’à présent (et pour certaines, plus facilement hackables, ne serait-ce qu’en collectant les métadonnées). En utilisant des fréquences plus hautes, il devient plus facile, grâce à des antennes directives de taille acceptable, d’effectuer des lectures sectorielles, d’orienter un lobe de rayonnement de manière précise dans une direction donnée, de restreindre la distance de lecture de manière plus fine que ne le ferait un aérien dans la bande décamétrique.

Mais les étiquettes HF ont encore de beaux restes. Car dans cette famille, si l’on trouve des composants à lecture seule quasiment passifs, il existe également des systèmes intégrant un processeur ARM, un bloc de chiffrement DES, 32 k d’Eeprom, 28 k de mémoire ram, un capteur de température, un port externe pour récupérer les informations d’un accéléromètre (ou autre capteur), un port SPI… le tout communiquant par radio à un peu moins d’un Mb/s. Lorsqu’un paquet parvient à destination, l’on peut immédiatement savoir si le conteneur sur lequel il a été collé a été choqué, s’il a brisé la chaîne du froid, s’il a franchi telle ou telle étape de validation en fonction des données contenues en mémoire. Défaut de ses qualités, ce sont précisément ces performances techniques qui, associées à l’identité d’une personne, peuvent se transformer en véritable mouchard environnemental et contrevenir aux recommandations d’une Cnil quelconque …

Début octobre se déroulait à Marseille le Congrès International sur les RFID. Une manifestation qui, traditionnellement, s’attache année après année à un thème unique. Transports, secteur médical, distribution… Mais en 2014, tout change. Le comité d’organisation décide de mettre fin à ce cloisonnement et convie les fabricants et grands utilisateurs de RFID de tous bords. Les militaires du service de l’Intendance discutent avec les professionnels des transports aériens, qui eux-mêmes regardent avec attention ce qui se pratique dans le secteur médical ou, plus prosaïquement, dans la gestion des couettes de la SNCF ou l’étiquetage des bouteilles de vin.

Car le RFID, après des années de ratés au démarrage et de mauvaise presse, commence peu à peu à s’imposer. Politiquement tout d’abord, avec un sous-groupe du plan industriel « objets connectés » (qui fait partie des fameux « 34 projets de reconquête industrielle » initié le 12 septembre de l’an passé par le Gouvernement).

Un groupe de travail qui sera chargé d’identifier des projets industriels porteurs, tout en assurant du respect de la vie privée et de la protection des données et en situant les « principaux enjeux de gouvernance et de standardisation sur lesquels les intérêts de l’industrie française doivent être défendus » précise le communiqué. La formule est belle, mais la course est loin d’être gagnée. D’autres pays, USA et Japon en tête, ont déjà des idées très précises sur leur façon de voir la standardisation et de développer des applications spécifiques.

Toute aussi politique est la décision de constituer un « Centre National de référence RFID » qui ouvrira dès le début 2015. Un centre dont la mission sera de présenter les « meilleures applications dans le NFC et permettre à toutes les sociétés de disposer de moyens techniques (téléphone mobile NFC, échantillons de tags représentatifs, moyens techniques de caractérisation) pour développer de nouvelles solutions NFC ». En d’autres termes, ce sera là une « plateforme de compatibilité opérationnelle », une sorte de « preuve de faisabilité » mais en aucun cas une collégiale ayant pouvoir de certifier, tant en matière d’interopérabilité que de sécurité des contenus, maîtrise des fuites d’information ou conseils en matière d’intégration technique. « C’est une plateforme qui reposera sur la notion de « best effort »précisait le Président du CNRFID à l’occasion du congrès annuel.

Trois chercheurs d’Akamai, Ezra Caltum, Adi Ludmer et Ory Segal, ont dressé un tableau des activités de Shellshock dans les 5 jours suivant sa révélation. Et le moins que l’on puisse dire, c’est que les auteurs d’exploits ont travaillé avec un zèle infatigable.

-67 % des attaques provenaient des USA, 7 % d’Allemagne et 6 % de Grande Bretagne (4% semblant émaner de France).

– Cherchez l’argent : l’immense majorité des attaques visait… les sites de jeu en ligne (environ 300 000 tentatives d’intrusion). La seconde cible par ordre d’importance (équipements électroniques grand public) ne dépassait guère 10 % de ce volume.

– Le pic de volume des attaques a culminé le second et troisième jour après la divulgation publique de la vulnérabilité bash (7400 et 8000 domaines frappés)

– Le nombre de vecteurs uniques d’attaque a atteint le cap des 10 000 dès le lendemain de l’annonce, 15 000 le surlendemain, 20 000 le troisième jour, pour retomber à 15 000 le 28 septembre.

Dell SecureWorks publie notamment une cartographie des tentatives d’injection bash dans le monde, qui confirme et complète l’étude d’Akamai.

Quelques autres spécialistes sécurité commencent à s’inquiéter du « bruit de fond » que ShellShock continuera de générer en visant notamment les routeurs et appliances directement reliés à Internet et utilisant des Linux embarqués.

Wuala, entreprise Helvétique rachetée par La Cie, laquelle sera ensuite absorbée par Seagate, s’était fait une place sur le marché du stockage en offrant deux services gratuits. L’un tout à fait classique, à l’instar de ceux qui deviendront ses concurrents plus tard (OneDrive, Dropbox etc.), l’autre participatif, offrant à chaque abonné un espace proportionnel à celui qu’il était en mesure de proposer lui-même. Cette seconde solution, copie conforme du projet universitaire open source Ocean Store, n’eût qu’un succès d’estime, la protection des données stockées dans le « nuage des utilisateurs-collaborateurs » étant toujours demeurée techniquement floue. Exit donc le stockage participatif, ne restait plus que l’offre « 5 Go gratuit ». Laquelle vient à son tour d’être abandonnée, faute de rentabilité, et en raison d’une concurrence sauvage menée par les « gros bras » du stockage externalisé à destination grand-public. Difficile effectivement de soutenir la comparaison avec les 15 Go offerts par Microsoft OneDrive, Mediafire ou GoogleDrive. Désormais, l’offre Wuala devient essentiellement payante explique le blog maison. 12 $ par an pour 5 Go, 48 $ pour 20 Go, il est peu probable que l’intérêt du public se maintienne avec de tels tarifs. Même l’offre professionnelle (100 Go pour 5 utilisateurs à 430 $ l’année) risque d’être boudée.

Car le cloud pas souverain du stockage nébuleux traverse un front de perturbation orageux. Le client professionnel se courtise à coup de propositions de plus en plus avantageuses. Microsoft, cette semaine, supprime la limite du 1 To par défaut et passe en forfait illimité pour tout abonné à Office 365, dont l’abonnement débute à 7 euros par mois. Tout semble indiqué que les hostilités ont atteint leur point culminant, et que dans moins d’un an, le nombre de prestataires stockage significatifs se comptera sur les doigts de la main.

S’il est un mystère encore plus grand que celui de l’existence de la matière noire et de la Sainte Trinité réunies, c’est bien celui des motivations de la Commission générale de terminologie et de néologie, plus connue sous l’appellation « Commission de la langue Française ». A période régulière, ladite commission est prise de frénésie et accouche d’un néologisme d’une perfection renversante, qui émeut son lecteur au point qu’il se demande souvent par quel miracle la vie, l’univers et le reste ont pu exister auparavant. Son dernier exploit (l’on parle de celui de la Commission) concerne le mot « Big Data », qui faudrait désormais traduire par « mégadonnées » (J.O. du 22 août 2014) (n.f.pl.). Définition: Données structurées ou non dont le très grand volume requiert des outils d’analyse adaptés. Note: On trouve aussi l’expression «données massives»nous apprend le Journal Officiel au fil de la note référencée CTNX1419323X.

Du coup, c’est l’intégralité des œuvres d’Huxley qu’il va falloir corriger, en y insérant le nom de MégaFrère. Car dans Big Data, l’on trouve le radical « Big », comme dans Big Brother. Emasculer le terme de son signifiant ôte à Big Data tout aspect dramatique, tentaculaire, ubiquitaire qui en faisait son charme indéfinissable. Big n’est pas méga (et encore moins Tera ou Exa), n’importe quel sémiologue Googlelien ou des rivages de l’Amazon le jurera. A moins que ladite commission n’ait écouté avec complaisance les avis des grands manipulateurs de données massives et n’ait souhaité éliminer toute trace anxiogène du terme. C’est très à la mode, cette tendance à la novlangue, qui transmute une caméra de flicage en équipement de « vidéoprotection » et une « bourde du service informatique ayant entraîné un plantage magistral » en un « hiatus de gouvernance ».

Il faut dire que la Commission n’en est pas à son coup d’essai. Sa page Ouèbe de présentation est émaillée de quelques palmes peu académiques qui, chacune, marquent une victoire contre les barbarismes numériques.

L’on remarque ainsi la mise en exergue de « mécénat » et « parrainage » censés traduire au mieux le mot « sponsoring ».Le sponsoring est un contrat commercial, le mécénat est un acte désintéressé… mais ce genre de détail sémantique est de peu d’importance aux yeux des commissaires. Ce qui compte, c’est que ça sonne Français. Et ce n’est certainement pas le cas du mot « commanditaire », trop Français, trop ancien, et qui compte plus que trois lettres qui forment le mot…

Victoire de la commission, encore, mais à la Pyrrhus, avec cédérom, traduction de l’anglicisme CD-Rom paraît-il. Il est vrai qu’en langage parlé, la différence saute aux oneilles. Mentionnons au passage que cette même commission bannissait de notre vocabulaire il y a quelques années les termes RAM et ROM pour y substituer les sigles MEV et MEM. Pour Mémoire électrique Vive et Mémoire électrique Morte. La vie d’une mémoire ainsi francisée soulève la douloureuse question de la donnée ontologique, de la survivance de l’âme des bits après le trépas (car peut-il exister une mémoire morte qui ne soit d’abord née et n’ait jamais vécue ?) le tout soulevant le formidable problème de l’éventuelle immortalité des données en cas de copie d’ycelles. La commission Hadopi, aussi indispensable, salvatrice et nécessaire que la Commission de la Langue Française, travaille avec ardeur sur ce point théologique. D’ailleurs, une sous-commission planche également sur la publication d’un article correctif au journal officiel qui confirmera la traduction de CD-Rom par cédémème et celle de DVD-R par dévédémève. Quelques esprits subversifs ont même suggéré que le mot cédérom n’était pas politiquement correct et qu’il serait préférable de dire cédégensduvoyage. Mais ce ne sont là que lazzis infondés.

Ne figure toutefois pas au panthéon Ouebesque de la Commission le mot Ordinateur, tout empreint d’une solennelle déité, et que deux sous de réflexion auraient pu lui faire préférer « Computeur », du latin Comput, et qui fit le quotidien des spécialistes du Canon chargés de calculer les fêtes mobiles et néanmoins religieuses. On s’étonne également de l’absence du très familier « Bug » qu’il faudrait, parole de Commissaire, appeler bogue, probablement en raison du caractère très épineux de ce qu’il désigne. Logique imparable si l’on considère qu’une bogue électronique peut occasionner une châtaigne et une bogue informatique faire marron son auteur.

En revanche, « Puce » est un titre de victoire affirmé. C’est la traduction du mot « Chip », cette rognure de silicium qui se cache généralement sous l’épaisse protection de résine époxyde de nos circuits intégrés. « Court et imagé, puce n’a pas eu de peine à s’implanter dans le grand public » affirme l’auteur de la page de présentation de ladite commission. Il faut admettre que le grand public a probablement quelques difficultés à utiliser une « puce » compte tenu de la rare disponibilité des machines de bonding (de couture électronique) dans les merceries-épiceries les mieux achalandées. Du coup, forcément, l’usage rarissime du terme peut probablement passer pour une victoire. A moins que ladite commission ne s’enorgueillisse de l’involontaire synecdoque qui consiste à désigner la partie pour le tout, et appeler « puce » un circuit intégré. Mais ce ne serait là que pure médisance.

La dernière mise à jour du rapport Microsoft sur les demandes d’informations formulées par les gouvernements place la France en troisième position si l’on considère uniquement le nombre de requêtes, et en tête des pays exerçant le second plus fort flicage sur ses citoyens si l’on rapporte ce chiffre à l’importance de sa population.

Au cours du premier semestre de cette année, Microsoft a reçu un total de 34500 demandes portant sur 58500 comptes, contenus Skype y compris. Dans le détail, le Gouvernement Fédéral US a émis un peu moins de 7000 demandes pour son propre compte durant les six derniers mois, demandes visant environ 16 000 comptes (1 pour 18 800 habitants, ratio comptes/population globale).

En Allemagne, pays dans lequel près de la moitié de la population encore vivante a subi et se souvient de l’inquisition de la Stasi, le Gouvernement Fédéral a émis 5183 demandes visant 8300 comptes (1 pour 9937 habitants). C’est le champion toutes catégories de la surveillance Internet.

En France, la justice a formulé plus de 4200 demandes portant sur plus de 6000 comptes (1 pour 10075 habitants). Ce qui nous place presque ex-aequo avec la Turquie, près de 4100 demandes visant 4500 comptes (1 pour 15600 habitants).

Un cas à part, que l’on hésite à faire entrer dans ce classement, celui du Luxembourg, avec 84 demandes, 847 comptes (sic… probablement une pratique ancrée du pseudonyme et du prête-nom propre aux paradis fiscaux) qui détient le record mondial des demandes d’enquêtes (1 pour 553 habitants). Reste qu’il y a statistiquement peu de chance pour que la majorité de ces comptes soient réellement détenus par des ressortissants Luxembourgeois. A noter que le Lichtenstein est ignoré des statistiques Microsoftiennes.

Cet amour immodéré de la cyber-surveillance et de la techno-perquisition semble nettement moins développé dans les pays à forte population et forte progression économique. Ainsi, l’Inde (un petit milliard d’habitants) a émis 378 demandes concernant 675 comptes. Le Brésil, environ 186 millions d’habitants, une des plus fortes progressions mondiale de l’usage des TIC, a demandé 1250 communications d’informations pour un peu moins de 1900 comptes.

L’on notera que, malgré quelques timides tentatives de la part des institutions policières qui ne se faisaient probablement aucune illusion quant à l’acceptation de leur demande, la Chine, le Qatar, la Fédération de Russie, les Etats Arabes Unis, la Biélorussie ont tout de même envoyé une ou deux demandes qui, l’on s’en doute, ont été refusées.

Il n’a pas lu Steve Bellovin, le patron du FBI. Dans les colonnes du Huffington Post, du Mercury News ou du Reg, le directeur de la police intérieure des USA James Comey vitupère contre l’attitude d’Apple et l’absence de backdoor dans le système de chiffrement du tout nouvel IOS8. Selon ce super-flic, l’utilisation d’un tel système place les citoyens « au-dessus de la loi »… ce qui est naturellement inacceptable pour un pandore consciencieux, inlassable chasseur de pédoterroristes amoureux des téléphones dernier cri. Chiffrer sérieusement est donc hors la loi aux yeux du premier policier des Etats-Unis. Une variation sur l’antienne « Un citoyen honnête n’a rien à cacher et n’a rien à craindre de la police ».

C’est là la toute première réaction d’un haut fonctionnaire Fédéral, ce ne sera probablement pas la dernière. Ce coup de sang prouve au moins deux choses.

– Si la colère du patron du FBI se déverse sur Apple et non sur d’autres éditeurs et fournisseurs de services… c’est que les « autres » fournisseurs de service ont peut-être «backdoré » leurs systèmes. Ce n’est en fait un secret pour personne, mais une confirmation supplémentaire ne fait jamais de mal

– Les pratiques des services de police et de renseignements ont radicalement changé durant ces dix dernières années, à un tel point qu’il leur est quasiment impensable de ne plus opérer sans ces outils de cyber-surveillance. C’est là une loi purement socio-économique : le renseignement traditionnel, le travail sur la matière humaine (infiltration, surveillance de l’entourage, profilage, enquête de terrain) coûte cher en ressources, en temps et en argent. Bien plus cher qu’une simple pose de « bretelles » virtuelles sur les équipements d’un opérateur. La décision d’Apple ne va pas franchement remettre en cause cette tendance générale à l’automatisation des techniques de barbouses et la généralisation du flicage des citoyens. Mais elle risque d’ouvrir une brèche, de créer un précédent qui pourrait entraîner d’autres acteurs (concepteur de vpn, de firewall, de systèmes de chiffrement utilisés dans d’autres domaines) à observer la même attitude. Ce qui contraindrait les services de police à recourir aux anciennes méthodes, plus lentes et plus coûteuses. Le cri d’indignation de James Comey ne traduit pas l’élan du cœur d’un réactionnaire paranoïaque qui voit des islamistes partout, mais l’inquiétude d’un chef de service de renseignement qui s’inquiète de ses frais de fonctionnement et de l’efficacité de son service.

« Un rapport de McAfee révèle que les entreprises préfèrent la performance aux fonctions de sécurité évoluées, quitte même, pour certaine, à devoir désactiver lesdites fonctions pour gagner en bande passante ». Le communiqué de presse de McAfee, devenu Intel Security, était le leitmotiv de la réunion annuelle Focus14 qui se déroulait cette semaine à Las Vegas. Selon ladite étude, 32 % d’un panel d’usagers impliqués dans la SSI avouent avoir désactivé des fonctions liées aux firewall afin d’en améliorer les performances, et 39% affirment refuser d’activer des fonctions de filtrage qu’ils soupçonnent de pouvoir affecter la bande passante de leurs équipements de commutation. Antivirus grand public ou boîtiers professionnels, même combat.

Cette sorte de constat d’échec, Intel compte bien le transformer en un argument commercial. En insistant notamment sur le fait que « chez nous, nos firewalls de nouvelle génération sont considérablement plus rapides que ceux de la concurrence », benchmarks à l’appui. Mais surtout en tentant de faire comprendre que l’avenir du SI de l’entreprise est en train de subir des transformations telles que ce genre d’attitude ne peut plus avoir cours sous peine de périr sous les avalanches de malwares. En premier lieu parce que la vague Byod et les risques posés par la multiplication des périphériques de la catégorie « Internet des objets » impose une surveillance permanente du réseau. Cette multitude de points de vulnérabilité potentiels, totalement confondue avec le système d’information, rend caduque les anciens concepts de défense strictement périmétriques. De ce point de vue, le périmètre n’existe plus, la défense doit donc s’appliquer « en profondeur ».

Disparition du périmètre également avec la « cloudification » du SI et l’apparition d’une nouvelle forme de gestion des réseaux. Software defined infrastruture (SDI architecture réseau logicielle), software defined network SDN (réseaux logiciels), intégration de ces deux nouvelles générations d’équipement à géométrie variable dans des architecture virtualisées, associées à des équipements de sécurité tout aussi virtualisés (virtual patching et solutions associées), là encore, on ne peut plus ni compter sur la présence d’un mur protecteur, ni sur une cartographie précise du SI, dont certaines parties peuvent se trouver à des milliers de kilomètres du service d’exploitation, ou dont le schéma de fonctionnement peut, pour quelque raison d’amélioration des performances, être modifié d’une heure à l’autre (un des atouts du SDI). Jamais il n’a été autant nécessaire de multiplier les points de contrôle de sécurité. Et, par conséquent, jamais il n’a été aussi nécessaire de pouvoir superviser et centraliser lesdits points de contrôles entre SDI et SDN : c’est le rôle de l’Intel Security Controller, la partie émergée la plus visible d’une « software defined security »

Ce qui est intéressant dans cette approche, c’est que l’on peut voir le couple Intel/McAfee rejouer, avec de nouveaux instruments, une pièce déjà entendue par tous les administrateurs, tant réseau que sécurité. Le morceau s’intitule « le marché de la console d’administration 2.0 ». Et il est quasiment certain que, dans les prochains mois, les concurrents vont annoncer la sortie de produits équivalents. Intel, qui n’est pas un acteur de longue date dans ce domaine, et dont la toute nouvelle science n’a été acquise qu’à coups de croissance externe, saura-t-il résister au choc ? Pas impossible, estimaient les participants de ce Focus’14. Car précisément les entreprises absorbées (Stonesoft, McAfee, ValideEdge) ont du répondant. Mais également parce qu’Intel peut offrir à sa nouvelle branche quelque chose que ses concurrents n’auront pas, son savoir-faire dans le royaume du semi-conducteur. Chris Young, le nouveau Timonier de McAfee (un ex VP Cisco) mentionnait par exemple l’éventualité de voir un jour au catalogue des processeurs de chiffrement. « Il est des fonctions qui sont excessivement consommatrices de temps et de puissance cpu, et qu’il ne serait pas inutile de voir intégrées dans du silicium ». Encore de la vitesse, mais avec sécurité. Bien que le sujet n’ait pas directement été abordé, on imagine également la puissance de feu que ce nouveau tandem pourrait déployer sur le secteur des systèmes embarqués et des outils d’authentification de périphériques ou d’applications. Reste à savoir comment l’équilibre entre le « hard canal historique Intel » et le « software defined virtualisé » façon McAfee nouvelle école pourra se maintenir.

Le programme détaillé de BotConf, qui se déroulera du 3 au 5 décembre dans les terres du roi Stanislas, vient d’être rendu public.

Le Nist Américain publie un mémento de 37 pages consacré aux bonnes pratiques de déploiement et de sécurisation des hyperviseurs .