Avis de courants d'air dans Oracle et les RFID
Comme chaque année à la même époque, la Black Hat DC 2007 est l'occasion de pouvoir écouter les plus grands chercheurs es-sécurité. Et cette année encore, l'équipe Lietchfield de NGSS est présente et fait encore parler d'elle, avec une communication intitulée « Une nouvelle méthode pour exploiter les injections PL/SQL, et contre-mesures envisageables ». Très schématiquement, David Litchfield explique qu'il n'est pas nécessaire de posséder -comme le prétend Oracle- les droits de « création de procédure » et de « fonction » pour lancer un exploit. Un simple « Create Session » peut suffire... et le maître de le prouver. Et ce, sans tirer parti d'une faille du produit, et quel que soit la version d'Oracle. Parions que l'habituel échange d'amabilité sur la dangerosité réelle des découvertes de NGSS va faire la hune de certains journaux en quête de sensations. Il faudra être plus patient, en revanche, pour entendre un discours probablement aussi critique de la part d'un autre expert es-bases de données : Cesare Cerrudo. Celui-ci ne s'exprimera pas avant le 30 mars prochain, à l'occasion d'une autre Black Hack Conf, celle qui se tiendra à Amsterdam. Le titre est à lui seul une invitation à l'achat d'un billet Thalys : Hacking Databases for Owning Your Data. Glissons au passage que ce sera également l'occasion de rencontrer Adam Laurie, le hacker de RFID, qui y tiendra une conférence. « Le hacking RFID par la pratique... et sans fer à souder ». On ne peut être plus clair. Sans fer à souder, et probablement avec quelques avocats, car une démonstration semblable vient d'être étouffée durant la Black Hack DC par quelqu'industriel -HID Global- ne souhaitant pas que puisse se divulguer le savoir de Chris Paget, d'IOActive. Le Focus en fait ses choux gras, et rappelle la censure qui avait frappé Michael Lynn il y a quelques années. Cisco avait alors exercé des pressions fantastiques sur l'employeur du conférencier, ISS, pour que le contenu des « transparents » soit expurgé et que toute information technique sur le hacking en question soit effacée des mémoires. Depuis, le « powerpoint maudit » continue de tourner sur Internet, l'image de Cisco a gagné deux points dans la course aux Big Brother Awards, et l'avenir de Lynn est florissant. Cette réaction d'une violence toute infantile et irraisonnée prouve à quel point les industriels du monde des RFID ne sont pas tous conscients des limitations de leurs propres inventions. Les RFID ne sont jamais qu'un « moyen » supplémentaire pour simplifier la traçabilité des biens... mais pas des personnes. Tenter d'étendre cette « super-étiquette de supermarché » au domaine de la gestion des identités, c'est s'attendre à ce que les fraudeurs tentent d'en tirer parti. Ce n'est pas l'outil qui est remis en question, mais l'usage que l'on souhaite faire de l'outil. Et ce n'est pas en bâillonnant les chercheurs en sécurité que l'on évitera les hackings mafieux exploitant les inévitables faiblesses conceptuelles de ces composants. A moins que l'industrie des RFID elle-même y trouve un quelconque intérêt, ou y voit une « porte de sortie » plus éthique que l'on ne pourrait le croire de prime abord. Après tout, il est des circonstances -rares heureusement- ou la fabrication de faux-papiers relève du salut de la Nation...