crédit : Arya Ziai
Il existe pourtant quelques hacko-sceptiques, dont certains parviennent même à décrocher une page dans Scientific American, ainsi David Pogue qui signe « Pourquoi le hack d’une voiture est pratiquement impossible ». Le contenu de l’article peut faire sourire plus d’un spécialiste sécurité. Pourtant, les arguments sont intéressants et méritent d’être examinés.
– Les chercheurs (ndlr Charlie Miller et Chris Valasek) qui ont réalisé ce hack ne pourraient plus le faire aujourd’hui, la faille a été immédiatement comblée par le constructeur
– Ce sont des chercheurs, pas des pirates, disposant d’un savoir et de moyens hors de portée du « vulgum truandus »
– L’affaire a été montée en épingle par des journalistes en mal de sensationnalisme
Ne retrouve-t-on pas, dans ces propos, les mêmes arguments que l’industrie informatique employait il n’y a pas 10 ans ?
– « Dormez en paix, les trous ont été comblés, et d’ailleurs personne ne s’est plaint » était un moyen comme un autre pour que les attentions soient polarisées sur la consolidation d’un logiciel plutôt que sur l’existence probable d’autres défauts… l’avenir a prouvé que la sécurité « by design » est une vue de l’esprit que le patch attire le trou, qui entraîne le patch, qui attire le trou…
– Le moto « Les chercheurs ne sont pas des pirates et leurs travaux sont à des lieux des capacités intellectuelles des malfaiteurs » rejoint, par exemple, les assurances d’absolue sécurité des premiers réseaux « sans fil », trop complexes à écouter, nécessitant des moyens trop importants… or, il n’y a jamais de moyens trop importants, plutôt des cibles dont les espérances de gain justifient précisément l’importance des moyens. « Donnez-moi un levier bancaire, et je soulèverais n’importe quel protocole de sécurité », est le principe fondamental du cyber-Archimède contemporain. D’ailleurs, les constructeurs automobiles l’ont bien compris, eux. Voir le précédent Volkswagen qui menaçait de poursuites Flavio Garcia s’il publiait quoi que ce soit sur les failles de l’antidémarrage Megamos. Ajoutons au passage que, le jeu des sous-traitants et des pressions sur les prix aidant, ces constructeurs utilisent les accessoires d’un nombre de plus en plus restreint d’équipementiers. Mondialisation et dumping sont les deux mamelles du fuzzing. Or, le fuzzing est l’arme favorite des blackhats, qui y voient un moyen de rentabiliser le plus possible l’exploitation d’une faille en l’étendant à tous les objets semblables. Ce que David Pogue (et tant d’autres) oublie, c’est l’évolution de la cyberdélinquance qui, du « script kiddy », est devenue d’obédience mafieuse, puis, lentement, s’est étendue aux pratiques courantes de la guerre économique industrielle (petits hacks et espionnages entre amis) puis aux Etats-Nation. Ne perdons pas de vue que l’automobile et son réseau routier associé, c’est aussi une infrastructure Scada.
– « La presse, caisse de résonance du sensationnalisme » est l’un des arguments populistes les plus en vogue, car il ne nécessite que peu d’explication. Une simple affirmation ne constituant pas vraiment une preuve… Le journaliste bouc émissaire est également un élément de diversion, un report de culpabilité sur un acteur tiers qui n’est pas en rapport direct avec le problème.
Mais l’argument le plus contradictoire qu’avance Pogue est certainement : « lorsque j’entends ce genre de propos, j’ai envie de dire à ces reporters « pirate-moi ça » en leur présentant ma vieille Honda modèle 2009, dépourvue de la moindre liaison cellulaire ». Outre le fait que ce n’est pas au journaliste d’avancer la preuve de ce qu’il rapporte, mais au chercheur qui en fait l’annonce, cet argument montre à quel point le problème de fond échappe à l’auteur, du moins dans la première partie de son article. Miller ne condamne pas l’attitude des professionnels de l’industrie automobile, mais alerte sur l’emprise croissante de l’Internet des Objets, et sur les erreurs d’intégration parfaitement prévisibles à venir. Car le germe est dans l’œuf, tout comme le germe du botnet est dans Internet et celui du buffer overflow est dans le noyau ou l’application.
L’article de David Pogue ne doit surtout pas faire l’objet de rejet ou de condamnation ex abrupto. Il est intéressant car il reflète l’incrédulité générale, et notamment la confiance aveugle qu’une majeure partie de la société de consommation ressent spontanément envers les vendeurs censés veiller à leur bien-être.
