Mort de NAC, vengeance du fer à souder
Dialogue de hackers en hune de Matasano. Nate Lawson et Thomas Ptacek se livrent à une joute oratoire sur le thème « prévision sécurité pour l'année 2008 », un peu après tout le monde, certes, mais pas nécessairement avec cette volonté absolue de vouloir couvrir tous les aspects du problème.Voyons cela plus comme une sorte de conversation entre experts. Certaines remarques font pythie et frisent la littérature de quai d'augure.
A commencer par « la renaissance du hack harware »prédite par Lawson. Ah, voilà de l'exploitation des ports Jtag, du détournement à des fin d'attaque en brute force de colonies de FPGA, du titillement de boitiers BGA amoureusement dessoudés des modules TPM... l'an 2008 sera placé sous le signe du ROHS*, de la gravure de circuit imprimé et de l'odeur du flux de brasure dans l'air frais du petit matin. « Mieux encore, rétorque Ptacek, dans les douze mois, nous assisterons à l'exploitation d'un « hard hack » de portée mondiale, reposant sur une astuce tellement simple que ma chère maman serait capable de le comprendre ». Et de nous promettre la découverte d'une faille béante dans un système de cartes d'accès, de modules de télépéage ou d'équipement de facturation de type eau-gaz-électricité. C'est peut-être prendre la chère maman de Monsieur Pacek pour une demeurée. Car, de la fausse CP8 pour « set top box » à l'aiguille glissée dans le compteur du gaz, de la dérivation sauvage de tuyaux à l'aimant permanent plaqué contre le boitier du compteur, il n'a pas fallu attendre les outils mobiles, PDA de rondiers et autres outils de téléfacturation informaticodomestiques pour que le « système D » tendance frauduleuse se répande dans les foyers. Il est vrai que si, comme la rumeur semble le confirmer, des organisations telles qu'EDF envisagent d'utiliser les CPL pour effectuer les relèves de compteurs, les hackers pourront s'en donner à coeur-joie.
De l'eau dans le gaz, celle qui fait la hune des grands quotidiens, celle qui met en scène un terroriste cherchant à déstabiliser le réseau électrique américain à la façon Die Hard 4 (ceux qui visent à l'intégrité des réseaux SCADA, disent les savants), il y a peu de chance que cela nous tombe dessus avant la prochaine Saint-Sylvestre, nous rassure tout de même Lawson. Il est vrai que la dernière fois qu'une menace de ce type a véritablement affolé l'Amérique, c'est lorsque les sectateurs de Timothy Leary on envisagé de verser quelques sacs de LSD dans le réservoir de Beverly Hill.
Ce que craint en revanche Lawson, c'est une disparition des divulgations de faille, le retour à un hacking « underground », non plus pour des raisons idéalistes, mais plus simplement parce qu'absorbé par le crime organisé. La « prime au bug » génère une économie de marché. Un argument que réfute Pacek, qui estime qu'avec le niveau technique nécessaire pour vivre de la vente de vulnérabilité, n'importe quel bon hacker peut trouver un place et un salaire enviable dans n'importe quel cabinet d'audit en sécurité. C'est là, reconnaissons le, une vision assez américano-américaine de ce qui peut constituer un « salaire honnête ».
Il serait maladroit de dévoiler le reste de ce duo concertant parfois déconcertant. Il faut le savourer sur le site Matasano. De l'illusion des « vulnérabilités WebApps » au recyclage des vieux exploits, de la vulnérabilité « variable mal initialisée », sans oublier la futilité des DRM, de la « faille Tsunami » cachée dans un langage script populaire (le python venimeux, la perle dans Perl, le crapaud dans Ruby, les écrouelles dans SQL...), le « Zero day massif qui carbonisera FaceBook » et la mort de cet inutile NAC (lequel achèvera sa vie sous la forme d'obcure fonction intégrée au équipements). Pacek et Lawson ne sont certes pas plus fiable que Madame Soleil... certaines de leurs idées ne sont qu'amusantes, d'autre hautement probables.
NdlC Note de la correctrice : Afin de préserver la planète et éviter la prolifération de résidus de métaux lourds dans les décharges électroniques, nos brillants écolocrates ont inventé la « soudure sans plomb », dite « ROHS ». L'absence de plomb dans les brasures élève le point de fusion du métal, ce qui oblige les constructeurs de composants à repenser leurs productions en conséquence. En outre, l'absence de plomb provoque la génération spontanée de sortes de cristallisations arborescentes qui, avec le temps, occasionnent des courts-circuits dans les équipements ainsi assemblés (allez refaire une soudure «vite fait » dans un satellite ROHSisé). Quelques petits malins se sont aperçu qu'en ajoutant de l'argent au mélange, l'on retrouvait des points de fusion acceptables... mais le monde actuel subit une forte pénurie d'argent. Tout ceci n'a strictement aucun rapport avec le sujet de l'article, mais les remarques anti-féminines de Mr Pacek à propos d'un hacking « que comprendrait même sa mère » (voir plus bas) méritaient cette mise au point : cerveau féminin n'est pas synonyme de désert technologique.
Na !
