mars 18th, 2010

Pioché dans Wired, cette étonnante affaire qui a traumatisé bien des automobilistes d’Austin, Texas. Un matin, à l’heure où les « commuters » quittent leurs foyers pour rejoindre leurs lieux de travail, une centaine d’habitants d’Austin n’ont pu démarrer leurs véhicules. Cette épidémie de pannes s’est même traduite, sur certains modèles, par un déclenchement intempestif de l’avertisseur sonore, forçant ainsi leur propriétaire à débrancher la batterie.

Le mystère de ce H1N1 mécanique a rapidement été résolu : tous les véhicules incriminés étaient équipés d’un système d’immobilisation préalablement installé par les sociétés de crédit, dispositif pouvant être déclenché à distance si les échéances venaient à ne plus être respectées. On imagine aisément que tôt ou tard, un touche-à-tout finirait bien par trouver une faille dans le système et s’amuserait à déclarer « insolvable » un certain nombre de clients… avec les conséquences que l’on devine. Le touche-à-tout en question s’appelle Omar Ramos-Lopez, ancien employé de la chaine Texas Auto Center victime d’une réduction de personnel, et qui manifestement avait une dent envers son ancien employeur. L’accès frauduleux au système informatique de déclaration d’impayé a été effectué sous l’identité d’un autre collaborateur de l’entreprise, c’est donc le fait de ce que les américains désignent par l’épithète de « insider » ou « disgruntled employee ». Administrateur : 0, Omar Ramos-Lopez : 1

Reste que titrer sur le « hack d’une centaine de voitures » fait vendre plus de papiers que d’informer sur une politique de gestion des ACL un peu trop légère, d’une sensibilisation interne inefficace ou d’une attribution de privilèges chaotique.

Le véritable hack, s’il avait eu lieu, n’aurait d’ailleurs pas eu à recourir à un traficotage du fichier central des impayés. Ce système d’immobilisation des véhicules utilise probablement un dérivé des « pagers », tant prisés Outre Atlantique. A l’époque où même l’inviolabilité du GSM fait l’objet de conférences à l’occasion des conférences CCC, il ne doit pas être très compliqué de tutoyer le mécanisme radio « anti-mauvais-payeur » qui doit très probablement être « spoofable » à l’aide d’une SDR (Radio à définition logicielle). La récolte de preuves et le traçage de l’intrus auraient été considérablement plus difficiles à réaliser et le terme « hacking » aurait alors mérité d’être utilisé.

« To be clear, I’m not revealing 20 apple bugs at #cansec, I’m revealing how I found 20 apple bugs. ». Charles Miller, le compagnon de recherches de Dino Dai Zovi, tente d’écarter le sensationnalisme des titrailles qui font la une d’une presse peu soucieuse d’exactitude. A l’occasion de la prochaine CanSecWest (Sheraton Wall Centre de Vancouver, du 24 au 26 mars), il ne dévoilera pas le détail de ses travaux, mais s’étendra sur la manière avec laquelle il est parvenu à découvrir les trous de sécurité. On est donc relativement loin d’une nouvelle édition du MoaB de LMH. Dai Zovi, par le passé, a déjà remporté avec brio le concours « P0wn20wn » de CanSecWest.