Vols d'identités : la culpabilité des utilisateurs de WEP
Joanie Wexler, de Network World, revient sur l'affaire TJX, l'un des plus beaux vol d'identité qu'aient connues les TIC. « La faute incombe notamment à la vétusté des appareils, notamment des douchettes de lectures de codes à barres » explique Wexler. Des équipements qui utilisaient encore un chiffrement WEP, à une époque ou le minimum requis doit être WPA. Et de faire remarquer, avant de lancer un vibrant appel pour l'adoption généralisée du Payment Card Industry Data Security Standard (PCI DSS) v.1.1, que l'usage forcené d'outils tombés dans la plus profonde des obsolescence est une constante de l'industrie. Autrefois, on utilisait un crayon infrarouge qui stockait ses données dans un terminal mobile « non communiquant » autrement que par son port série, et on le conservait au moins 15 ans... alors les douchettes dotées d'un protocole Wep « hard coded » et « in silicium buriné », ça devrait bien pouvoir tenir aussi longtemps, non ? Oui, mais voilà, Wep a été cassé en 2001... 6 ans plus tard, il est toujours utilisé, non seulement par des particuliers, mais, ce qui est plus inquiétant, par des professionnels -qui ne sont pas nécessairement des professionnels de l'informatique-. Ce que notre honorable consoeur élude pudiquement, c'est que cet « esprit de conservation » peut s'appliquer, et s'applique autour de nous, dès que la chose informatique tente de s'immiscer dans les rouages du quotidien « grand public ». Un passeport « avec RFID et données biométrique impossibles à répudier » est valable 10 ans... un fonctionnaire de l'Intérieur peut-il garantir la solidité des mécanismes de ces données sur la totalité de cette période ? A moins que, dans son immense bonté, la Place Beauvau ait décidé d'offrir à chaque citoyen les 60 euros nécessaires à l'établissement d'un « Document de Voyage » chaque fois qu'un Adam Laurie aura décidé de publier un billet de blog intitulé « how to crack a french RFID Passport ». Verra-t-on un jour l'industrie des « transmetteurs par courant porteur » rénover le parc de leurs plus anciens clients, le jour ou ce mode de transmission radio (le CPL n'est pas une technique de transmission par cable) lorsque tous les script-kiddies du monde disposeront d'outils de hack à distance et« open source » ? La réponse est bien entendue négative. Et l'on ne peut espérer que le public comprenne qu'il faille s'astreindre à « changer d'appareillage » sous prétexte de mise à jour logicielle impossible. En France, pays du rationalisme, on ne change de moulin à café que lorsque l'on change de tension secteur, ironisait à une époque un sous-traitant de Moulinex. Cette remarque est valable également pour les équipements informatiques grand public et... professionnels. L'on pourrait également mentionner les opérateurs télécoms du monde entier qui, en grande majorité, offrent des « box » de connexion Internet WiFi préconfigurées avec un protocole Wep. « Les utilisateurs ont la possibilité de changer ce paramètre très simplement » rétorquent les intéressés. Lorsque ce particulier est notre chère maman -la même que celle dont le nom de jeune fille est utilisée par notre banquier- ou notre inestimable beau-frère, premier prix de subtilité au camping de La Bourboule, 1966, on se demande si tout çà ne frise pas l'irresponsabilité. Schneier pourrait, après tout, bien avoir raison, en en appelant à la responsabilisation pénale des défenseurs du moindre effort. Schneier et d'autres experts européens même (voir interview à paraitre du 17 mais prochain).Il est vain de tenter d'évangéliser les millions d'usagers de Wep, pour la simple raison que près de 90% d'entre eux n'ont probablement pas la moindre idée de ce qu'est un protocole de chiffrement. « C'est protégé, c'est écrit sur la boite, comme pour Vista ». Le mal, à l'image de toute lutte épidémiologique, doit être attaqué à la racine, directement chez le principal diffuseur, celui qui également possède la maitrise technique de toute l'infrastructure. Encore une couche de Wep, avec cette interview de Erik Tews et Ralf-Philipp Weinmann, les hommes qui cassent Wep en moins de 120 secondes, les auteurs de Aircrack-ptw. Le papier, superbement vulgarisé, explique à des non spécialistes les aspects innovants de leur travaux et la déconcertante fragilité d'un protocole qui a définitivement vécu. C'est à lire dans le « Reg », et c'est signé Frederico Biancuzzi.