Presse et sécurité : mélange exothermique
Cette semaine, deux très beaux fait-divers ont illustré à quel point la presse pouvait se comporter comme une francisque, arme lourde à double tranchant. Tout d'abord, l'histoire de Jeremy Clarkson, qui fait actuellement la hune de tous les journaux, à commencer par la BBC ou le blog de Chris Soghoian sur C.Net. Clarkson est un présentateur TV réputé en Grande Bretagne, animateur de l'émission automobile « Top Gear », grand spécialiste de la destruction de caravanes, expert dans l'art de ravager des Trabans et pourfendeurs de cinémomètres abusifs. Qu'est-ce qui a poussé ce chevalier de la Clef à Molette à déclarer que les risques liés au vol d'identité bancaire étaient une galéjade inventée par journalistes en mal de copie ? Et quel esprit malin a poussé notre présentateur à lire, en public, son propre numéro de compte, afin de prouver que nul n'y pouvait y effectuer la plus petite opération... hormis un dépôt à son bénéfice ? Toujours est-il que peu de temps après cette émission, 500 Livres Sterling étaient virés de son compte vers une association caritative, sans même qu'il soit possible de découvrir l'auteur réel de l'opération. Le présentateur, Honteuzéconfu, juramézunpeutardquonnelyprendraitplus. Un autre prince de la provocation a signé, jeudi dernier, un article qui n'est pas passé inapperçu dans le landernau de la sécurité. Il s'agit de Bruce Schneier qui, dans Wired, affirme haut et fort que son point d'accès Internet « sans fil » est dépourvu de tout WPA, exempt du plus petit Wep, vierge de tout VPN chiffré Blowfish ou Twofish. Pour un cryptoanalyste et expert es-sécurité aussi réputé, voilà qui peut surprendre. « Steal This Wi-Fi » dit-il pour inciter les lecteurs à pirater son accès Internet. Et d'expliquer que le partage d'accès au réseau public, malgré les « risques » avancés par les marchands de sécurité, ne sont statistiquement pas si élevés que çà. Ajoutons à çà, précise l'auteur, que l'idée d'un réseau WiFi libre et communautaire a fait son chemin depuis longtemps. La sécurité est affaire de jugement et de compromis, répète-t-il. Il faut préciser que Mr Schneier est l'une des rares personnes qui laisse sont ordinateur portable abandonné dans les salles de presse des principales expositions et symposium consacrés à la sécurité. Et ce pour une raison assez simple : c'est probablement le seul participant dont le disque dur est chiffré de la racine du MBR à la pointe du dernier secteur. Et ce n'est pas là la seule précaution prise par le fondateur de Counterpane. Ok, alors volons son WiFi !, rétorque tout de go Adrian Pastor sur GnuCitizen. Pastor fait remarquer que fliquer le trafic de Bruce Schneier ou tenter d'attaquer le susmentionné ordinateur portable n'est pas franchement la chose la plus intéressante. « Mais son routeur ? » s'interroge l'auteur de cette invective. « On peut y faire plein de vilaines choses, à commencer par une modification des paramètres DNS -et ainsi détourner les requêtes Internet par DNS Pharming-, intercepter des cookies, afin de rejouer le hack de Gmail qui fit tant de bruit fin 2007, voir encore tenter de truander ses communications protégées par SSL dans le cadre d'une attaque « man in the middle » ». Schneier, tout gourou qu'il est, estime Adrian Pastor, fera comme tout le monde, et ignorera l'écran de popup l'avertissant de la non-validité du certificat en cour (ndlr : nous pouvons affirmer que Pastor se trompe). « Bruce, invitez nous un instant chez vous, et nous vous convaincrons que vous êtes dans l'erreur », conclue Pastor. Rappelons que ce dernier, pas plus tard qu'hier, publiait une alerte dans GnuCitizen, affirmant que les adaptateurs ADSL de BT de type « BT Home Hub » pouvaient être piratés à l'aide d'uPnP. Achevons avec un dernier bruissement de papier provocateur, en signalant l'épitre de Saint Tristan au FaceBookiens. Au cours de cette homélie homérique, le Timonier de la branche européenne de la Fondation Mozilla relate une conversation tenue avec un notre confrère, qui manifestement semblait toucher du doigt certains dangers relatifs aux réseaux sociaux. Il n'est pas nécessaire d'espérer pour entreprendre ni de réussir pour persévérer. Mais ce qu'un journaliste ignare peut découvrir par hasard, -car un journaliste se doit d'être ignare, y compris et surtout ceux de CSO France- un spécialiste sécurité peut-il l'ignorer ? Car, disons le tout de suite, le fait qu'un fichier nominatif tombe entre les mains d'un vendeur de réclame est un moindre mal. Il est un peu plus délicat de voir exploité ledit fichier afin de déterminer les « environnement psychologiques et sociaux » des intéressés. Tout RSSI ou CSO inscrit sur LinkedIn par exemple, peut à son tour consulter la liste de contacts de ses confrères de premier niveau. Et ainsi découvrir un second niveau de personnes qui, parfois, entrent dans la catégorie « je n'ai pas de carte de visite » ou « appelez ma secrétaire si vous souhaitez me joindre ». Il est tout aussi intéressant de noter qu'il existe bien souvent 1 seul niveau de distance entre Monsieur le Colonel X, détaché à la SICRCCBB (ou service proche), et 0urzAnt1-8iz0ux, hacker gris foncé et généralement asthmatique à la vue d'un uniforme. L'on serait donc tenté de croire que les RSSI, CSO, colonels et hackers auraient tendance à craindre LinkedIn comme la peste. Or il n'en est rien. Ce serait même plutôt le contraire. On cause, dans la sécurité. On blogue parfois, on forumise souvent, on socialise à trames rabattues. Ce doit être génétique. L'analyse d'un tel réseau social par une cartomancienne de la sécurité est bien plus révélatrice et plus indiscrète que son exploitation par des jeunes loups du marketing direct. Et encore... Risque latent deviendra grand. Car le fichier de LinkedIn ou FaceBook n'est rien comparé aux fichiers issus de résultats concaténés à l'aide de Spock ou par le bais des API Google. Et l'on frémit à la pensé de voir un jour ces liens « animés » dans le cadre d'une application cartographique précise, avec l'aide d'outils aussi indiscret que Twitter. Ce bigbrotherisme autoalimenté -bien des personnes publient sur ces sites des informations qu'elles refuseraient de donner à certains proches parents- ne devient dangereux que lorsque la « bulle du village global » percute avec violence la « sphère de la vrai vie ».