octobre, 2010

S’il est une facette de la sécurité que soignent scrupuleusement les grandes entreprises commerciales –notamment les banques-, c’est bien la préservation de l’image de marque, par l’entretien permanent d’un aréopage d’hagiographes conscients ou inconscients de leur dépendance.

Or, en ce début de semaine, plusieurs journaux Français ( Libé, 20 Minutes et bien d’autres ), ont réagi avec vivacité à la découverte d’un dépôt de brevets portant sur le possible filtrage de contenu des SMS expédiés depuis les mobiles Apple. Brevet sur un moteur d’analyse sémantique capable de repérer des contenus jugés indécents par la Sainte Inquisition de la Jobs’s Company. Et nos confrères de s’émouvoir –avec des exemples troublants de ressemblance- sur les possibles « faux positifs » cinématographiques que pourraient provoquer la mise en application d’un tel programme. Aucun confrère, en revanche, qu’il soit Français ou Américain, ne fait remarquer que ce qui devrait être censuré, ce n’est pas la grossièreté des propos que peuvent dactylographier nos chères têtes blondes lors d’un échange de texto, mais la profonde vulgarité que représente l’idée même d’une censure des mots (et par conséquent de la pensée) de ses propres usagers. Fussent-ils mineurs. Certes, des grossièretés à la Père Ubu (Merdre, Cornegidouille, par ma chandelle verte ! Connard, Cornard, Savoyard !) sont l’expression d’un dictateur. Mais c’est l’idéologie du dictateur que dénonce Jarry, c’est l’insanité de ses idées qui est condamnable… qu’importe la manière avec laquelle il incendie ses palotins. Et c’est en alexandrins que Jean Yanne disait à ce propos

« Plantier, vous êtes un con. Vous me trouvez grossier,

et moi, mon cher ami, je vous trouve vulgaire.

…

Vendre la merde, oui, mais sans dire un gros mot

Tout le monde est gentil, tout le monde il est beau

L’autre aspect passionnant de cette histoire linguistique réside dans l’importance que de nombreux confrères ont cru bon donner à cette péripétie qui ne concerne après tout qu’un simple dépôt de brevet, et non la mise en application de ladite censure. Et des brevets de ce genre, il doit s’en empiler quelques centaines dans les tiroirs de Cupertino, de Redmond, de Santa Clara ou de Los Altos.

Car il n’y a pas 5 ans, entre deux nouveaux iPhone et trois AppleExpo, jamais la moindre critique n’aurait filtré avec autant de « fermeté » et de consensus dans les médias Français. Pour preuve, les premières censures relevées dans la diffusion des œuvres et programmes disponibles sur iTune n’ont été dénoncées que par des spécialistes, quelques francs-tireurs isolés soutenus par un quarteron de geeks rapidement qualifiés de Windowsmaniaques aigris. L’image d’Apple serait-elle en train de prendre un coup de vieux ? L’idolâtrie systématique et la pensée unique Appelienne (qui a pris sa source dans les années 80 parmi les premiers aficionados du BBS Calvacom et dans le charisme de Jean-Louis Gassé) tournerait-elle au vinaigre ? Ou plus simplement, tout comme cela s’est déjà passé dans le monde Windows, pour l’épopée Google, pour la folie Facebook, cette désacralisation ne marque-t-elle pas le passage du stade « marché vertical » adolescent à celui de « vecteur industriel grand-public et généraliste » adulte ? Jusqu’à présent, Apple devait son succès à deux choses : de bonnes machines dans un habillage marketing élégant, une coquille séduisante visant un public d’adulescents*. Si le folklore et la mystique de la Macintosh Company ne font plus recette, il ne restera plus alors que les « bonnes machines ». Pas de quoi s’inquiéter et revendre ses actions.

*Ndla Note de l’Auteur : Ce qui ne définit heureusement pas l’ensemble de la clientèle Apple, est-il nécessaire de préciser.

La première journée des Assises de la Sécurité 2010, qui se tient traditionnellement à Monaco, a respecté la tradition : soleil de plomb, mer bleue, ambiance affairée, nombre de participants en remarquable progression… mais il flottait dans l’air un parfum « d’après ». Fragrance d’autant plus prenante qu’au nombre des premières conférences qui se sont tenues durant ce « day one », se tenait une table ronde ayant pour thème sécurité et réseaux Scada et intitulé « Pourquoi les RSSI ne s’emparent-ils pas de ce sujet critique ? ». Un sujet qui n’aurait certainement pas fait salle comble il y a un an et qui, dans cette atmosphère d’après-stuxnet, d’après-première-véritable-opération-de-cyberguerre, posait enfin clairement la question : que peut-on protéger dans une infrastructure nationale ou industrielle d’importance stratégique.

Pour y répondre, Pascal Lointier, du Clusif, qui joue les Monsieur Loyal et brosse à grands traits le tableau des menaces possibles, l’accompagnent Cyril Moneron, DSSI du groupe Saint Gobain, Laurent Beaussart, Directeur Adjoint des systèmes opérationnels et RSSI de Cofiroute et Sylvain Thiry, RSSI à la SNCF.

Il serait long et vain de retranscrire par le détail les échanges de ces participants. D’autant plus qu’à aucun moment il n’y a eu contradiction ou divergence d’opinion entre participants : la lutte contre le risque Scada passe avant tout par une résolution d’une multitude de problèmes culturels. De culture d’entreprise, tout d’abord, comme le fait remarquer Silvain Thiry, citant l’exemple de la SNCF au sein de laquelle tout est fait pour que la sécurité soit polarisée sur les personne plus que sur les systèmes d’information (ce qui, dans le domaine du transport, peut sembler logique). Problème culturel également sur le plan organisationnel car si souvent, dans l’informatique « informaticienne », la sécurité (en l’occurrence le rssi) dépend souvent de la DSI, c’est plus rarement le cas dans le cadre des DSI industrielles. Problèmes de compétence également, car la protection d’une infrastructure industrielle ou de communication (la gestion de la sécurité des Autoroute est édifiante sur ce point) passe par une maîtrise pluridisciplinaire, polytechnique au sens premier du terme, qui est parfois fort éloignée des considérations informatiques ou logicielles. Problèmes de taille, enfin, car dès que l’on touche aux infrastructures d’envergure nationale, les capteurs, les actuateurs, de la barrière automatique à la caméra de surveillance en passant par la jauge de température, se comptent par dizaines de milliers, fournissant des flux dont l’interprétation repose sur des règles différentes pour chaque cas. Trois dépassements de point de consigne ou trois pannes de capteur éparses au cours d’une journée n’ont pas du tout la même signification ni les mêmes implications de risques que ces trois mêmes pannes ou alertes constatées ou relevées dans un même secteur géographique ou sur une chaine de traitement de processus unique. Ce cas typique d’une même information qui peut, selon les cas, générer des réactions différentes nécessite à la fois des méthodes, mais aussi des connaissances métier très vastes.

Mais ce n’est pas le pire.

« Autrefois », il n’y a pas plus de 6 ou 10 ans, le pilotage de processus industriels s’opérait principalement à grand renforts d’automates programmables, eux-mêmes généralement reliés à des systèmes de calcul de type « mini » ou à des microordinateurs relativement spécialisés. « Aujourd’hui, précisent les intervenants, nous utilisons des systèmes standard avec des noyaux Linux ou Windows (cas le plus fréquent) des réseaux non plus basés sur de architectures radio spéciales mais sur des routeurs wifi standards, des PDA, des cartes RFID classiques identiques aux MyFare utilisées dans les transports en commun, le tout « tournant » sur des PC qui ne sont plus « durcis » comme cela a longtemps été la tradition… tout çà étant généralement dicté par des contraintes budgétaires et un souci d’économie. Une normalisation des outils qui ajoute une part de risque informatique inconnue jusqu’à présent.

A ce choc technologique s’ajoute le choc des langages et des cultures, celles des informaticiens qui est parfois très éloignée de celles des automaticiens, eux-mêmes parfois pas toujours au fait de la façon de voir les choses des électroniciens, des mécaniciens et des chimistes. Comment établir une politique de sécurité unifiée et cohérente, capable d’assurer un dialogue et des bonnes pratique n’offrant aucune (ou peu) point de vulnérabilité aux « jointures » technologiques, là ou l’informatique laisse le pas à l’automatisme, à la pneumatique, voir même à l’électricité et aux courants forts ? c’est un long travail à la fois de communication, de formation, de dialogue, qui est loin d’aboutir.

Mais grâce à Stuxnet, pourrait-on dire, l’on assiste à un réveil des consciences. Ce rootkit a prouvé qu’un vecteur d’attaque Scada n’était pas un « malware comme les autres, qu’il faut combattre avec les moyens traditionnels ». Stuxnet est aux réseaux Scada ce que Vendredi 13 fut à la microinformatique en général, un électrochoc que l’on espère salvateur.

23 « fix » pour le lecteur Adobe 9.3.4 et versions antérieures… C’était un beau record incitant une fois de plus à passer sans hésiter à la version supérieure, que l’on soit utilisateur de machines sous Windows, Unix ou OS/X. A peine le bulletin d’alerte a-t-il été publié que la chercheuse Mila Parkour nous offre une analyse de ce qui fut un ZDE d’origine probablement Coréenne et porte l’immatriculation CVE 2010-2883. C’est à lire à tête très reposée sur le blog de l’auteur.

Kostya Kortchinsky signe, une fois n’est pas coutume, un papier de vulgarisation et de synthèse lisible par tous. Et c’est à propos de Stuxnet, de ses multiples origines hypothétiques, et surtout des principaux éléments nocifs qui le constituent. L’on y croise donc deux ZDE décortiqués par l’équipe de Dave Aitel, un trou « connu mais non comblé » (MS10-061 en l’occurrence, qui ne peut donc prétendre officiellement au rang de ZDE), et une caractéristique intéressante des fichiers MOF (Managed Object Format) qui, une fois déposés dans system32\wbem\mof, se font compiler automatiquement et permettent une élévation de privilège et une exécution de commande de tout fichier téléchargé sur le disque principal. Parions que celle-là, on va nous la resservir à toutes les sauces.

Plus le temps passe, plus l’analyse de Stuxnet est instructive. Nicolas Fallière, de l’équipe de Symantec, publiait il y a peu de temps un article remarquable de clarté sur les méthodes d’infection et de propagation dudit Stuxnet. Tout çà est prodigieux de machiavélisme, d’adaptation au terrain et d’élégance technique. Une « version longue » – 49 pages de pure technique et d’analyse-, est plutôt réservée aux chercheurs et aux spécialistes. F-Secure se lance dans une longue FAQ très didactique accompagnée d’une séquence vidéo sur le sujet prise lors du dernier VB2010.

Il faudra attendre encore quelques temps avant de tirer les premières conclusions sur une autre forme d’infection qui envahit non pas les machines intégrées dans les chaines de commande de processus industriel, mais dans les rédactions des différents médias, grand-public ou professionnels. Certaines clameurs accusatrices, relayées par des confrères, accordent la paternité de Stuxnet aux S.R. israéliens et affirment que la victime n’est autre que l’Iran… sous prétexte qu’il se dénombrait plus d’infections dans ce pays que partout ailleurs. Argument qui serait risible s’il n’était pas tenu par des faiseurs d’opinions. D’autres journalistes et blogueurs regardent également du côté de la Chine, dont on sait l’intérêt pour les cyber-armes et les efforts pour constituer des corps expéditionnaires virtuels sur un champ de bataille binaire. Hypothèse raisonnable que soutient le journal Forbes, comme pourrait également l’être celle d’une action des Services Action de l’Allemagne Fédérale ou un assaut (moins plausible) des agents d’un satellite de la NSA américaine. Et puisque l’on en est au stade des prédictions frisant l’astrologie, l’on pourrait également mettre le FSB dans le bain, avec le concours amical de la mafia Russe. Délire de folliculaire ? Pourtant, il y a dans Stuxnet des relents d’attaque Estonienne. Il y a également dans Stuxnet une exploitation de la fameuse « faille .lnk » qui est liée au mécanisme d’usurpation de certificats Verisign, certificats qui auraient pu être glanés par le virus Zeus, lui-même lié aux actions de la cyber-mafia des pays de l’Est. Stuxnet peut avoir n’importe quelle nationalité. Dans l’état actuel du code rien ne permet d’affirmer quoi que ce soit à ce sujet… et quand bien même une « signature » significative aurait-elle été découverte qu’elle pourrait être considérée comme une tentative de brouillage de piste.

Une seule chose est quasi certaine : Stuxnet est un acte de guerre d’Etat, non pas en raison de la « qualité de son code » -bien que ce soit là un indice sérieux- mais en fonction de son mode de fonctionnement (cible unique Scada, démonstration de force non camouflée, action directe, espérance de durée de vie courte), mais également de ses systèmes d’adaptation et de ses redondances de fonction selon le noyau utilisé… et surtout de la débauche de moyens techniques, de ZDE, de roublardises innovantes (l’usurpation de certificats par exemple). Un tel étalement de force n’est pas dans l’habitude –la tradition ?- des auteurs de malwares, que ceux-ci soient d’obédience mafieuse ou politique, comme nous l’avions déjà évoqué dans nos colonnes.

La cible est-elle Iranienne ? Là encore, l’affirmation est à prendre avec des pincettes. Tout désigne d’ailleurs trop facilement ce pays. Dans un monde d’espionnage politico-stratégique où le faux-semblant et l’intoxication sont élevés au rang d’art, cette victimisation paraît trop crédible pour être honnête. D’autant plus que, dans l’orgie de l’orgie de pseudo-preuves évoquant d’éventuels retards dans l’installation de centrales nucléaires Iraniennes, l’on retrouve des photographies et captures d’écrans prises par des « témoins objectifs » qui sentent le faux (ou le pétrochimique… mais certainement pas le nucléaire) à plein nez.

Il y a donc deux niveaux d’exploitation de Stuxnet. L’un est purement psychologique et entre dans la catégorie désinformation et propagande. Une campagne orientée par quelques « sources discrètes », qui pourraient paradoxalement ne pas provenir des auteurs de Stuxnet mais émaner d’un autre gouvernement qui exploiterait les conséquences médiatiques de l’affaire. Si le « coup » a été monté par la Chine ou la Russie, on imagine mal des officiers supérieurs intenter un procès en paternité et atteinte à l’image de marque de leur service « malware flingueurs et rootkits-bazookas ».

Le second niveau est radicalement technique, et repose sur la fabrication du malware ainsi que sur l’analyse de son comportement en fonction de l’hétérogénéité des plateformes qu’il infecte. C’est cet aspect des choses qui nous en apprend le plus, bien plus …

Stuxnet risque-t-il d’inspirer d’autres auteurs de malwares ? La réponse est évidemment « oui ». Verra-t-on des mutations de Stuxnet ? C’est peu probable compte tenu de la complexité du désassemblage nécessaire, même si des imitations partielles sont à prévoir. Si ce virus est bien un code « militarisé », il a été conçu pour ne servir qu’une fois. Il n’est pas dans les habitudes d’un soldat ou d’un tacticien, quel que soit la couleur de son uniforme, d’utiliser deux fois de suite des ressorts ayant servi à exploiter un « effet de surprise ». Ceci étant dit, plusieurs variantes de Stuxnet (au moins 4) ont permis d’établir une sorte de calendrier des « tirs d’ajustement » précédant le « coup au but »… dont personne ne sait s’il a échoué ou non, à l’exception des parents du virus, bien sûr. Verra-t-on de nouveaux virus mafieux ou codés par des groupuscules politico-religieux s’inspirer de ce genre de conception ? Là encore, c’est très peu probable, si l’on considère l’organisation nécessaire tant à la conception, au déploiement et à l’exploitation dudit virus (et notamment sa « sélectivité » dans l’attaque). Les organisations mafieuses ou politico-religieuses recherchent des moyens plus expéditifs, moins coûteux, quelques fois affirmant ouvertement leur appartenance politique ou d’école de codage, visant plus large, et surtout ne disposant pas d’autant de moyens de contrôle et de « non-agression » lorsque la plateforme infectée ne correspond pas à l’ordre de mission.

Philippe Langlois, accusé virtuel d’un faux-procès organisé fin septembre à la Cantine, a finalement été relaxé et ne passera pas ses jours derrière des barreaux imaginaires. Cédric Blancher revient en détail sur les rebondissements de cette pièce de théâtre interprétée par des acteurs jouant leur rôle avec un naturel absolu… chacun tenant plus ou moins celui qui correspondait à sa vie quotidienne et à sa culture. On en parle également dans le forum Kitetoa. De manière lapidaire, une faille « par négligence » découverte sans « outils de hacking » et dont le signalement au responsable informatique concerné ne provoque aucune réaction peut échapper au glaive de la Justice.

Si les conclusions de ce pseudo-procès n’ont surpris personne, elles ont en revanche fait comprendre à bien des « geek » les différences de points de vue qu’il pouvait y avoir entre l’optique techniciste d’un professionnel ou d’un pratiquant, celui de la justice –qui repose sur une évaluation « morale » et non « technique » de la situation-, et de la partie civile qui a tout intérêt à attaquer celui par qui le scandale arrive pour mieux faire passer sous silence de coupables négligences…

En attendant qu’une âme de bonne volonté puisse fournir un lien donnant accès à l’enregistrement vidéo des débats, quelques photos prises par Ludovic Penet permettront de faire patienter les personnes n’ayant pu participer à cette évènement. A quand une suite sur les thèmes « licencié pour avoir tenu un blog », « remercié pour avoir utilisé Wireshark sur le lieu de travail » …

Que fait un spécialiste de longs-métrages gynécologiques lorsqu’il s’exaspère de voir ses productions sur les principaux réseaux Peer to peer ? En Grande Bretagne, il mande un cabinet d’Avocats (ACS:Law) pour jouer les cowboys : repérage des adresses IP des téléchargeurs, requête auprès des opérateurs afin d’obtenir une correspondance IP-patronyme, puis envoi d’une lettre comminatoire particulièrement menaçante. Seuls les Britanniques ont eu, pour l’instant, de telles idées, à savoir recourir à des mesures aussi arbitraires qui ne font appel à aucun moment à l’appareil judiciaire traditionnel : ils établissent une culpabilité sur des éléments non probants et utilisent des ressorts psychologiques qui frisent l’on pourrait presque dire le racket. Le pot aux roses est dénoncé par Slick News, suite à une formidable attaque en déni de service visant le site Web du cabinet d’avocats en question. Une attaque Ddos provoquée probablement par l’ire de quelques amateurs de films coquins œuvrant dans un garage londonien.

L’affaire prend une tournure cocasse lorsque Sky Broadband, l’hébergeur dudit cabinet, décide de suspendre l’accès à ce site un peu trop encombrant en terme de QoS, puis de le « rebrancher » une fois l’alerte passée. Remise en service de courte durée mais funeste, puisque c’est à partir de ce moment précis que cette histoire anglaise capote … La coupure momentanée de l’image et du son IP, suivi de sa remise en service a soudainement offert un accès public au répertoire racine du serveur d’hébergement. Las, les ressources aussi dénudées que les acteurs des productions susnommées ne se contentaient pas de contenir quelques pages Web. Il n’en fallait pas plus pour que l’on retrouve très rapidement sur Pirate Bay et quelques autres « trackers » d’échange P2P les fichiers de sauvegarde du cabinet, ainsi qu’une très grande partie de la base email de l’entreprise. Dans ces fichiers, des centaines d’adresses IP, de noms, prénoms, adresses personnelles, le tout accompagné du titre du film pornographique supposé téléchargé par le présumé coupable. Plus de 4000 personnes pourraient être concernées par cette fuite d’information. Dans le pays qui inventa l’Habeas-Corpus, la réaction ne se fit pas attendre, nous apprennent toujours nos confrères de Slyck. Dans la journée suivante, une association de défense des libertés individuelles, Privacy International, déposait une plainte auprès de l’ICO (Information Commissioner’s Office), organisme gouvernemental de défense des droits publics. Pour le cabinet d’avocats, l’amende sanctionnant cette faute pourrait s’élever à 500 000 £. Ce qui, compte tenu de l’atteinte à l’image de marque résultante, laisserait ce cabinet dans le dénuement le plus complet.

NdlT Note de la traductrice : ouvrage de Jean-Loup Chiflet intitulé « Sky my husband, dictionnaire de l’anglais courant », qui fait rapidement comprendre que sans maîtrise des idiotismes, l’on risque parfois de raconter beaucoup d’idioties.

T’as vu, Barnabu ? Depuis 2006, nous narrent les baveux de la presse « quoti », un « gang des aspirateurs » frappe avec une régularité métronomique les magasins de l’enseigne Monoprix et, selon la formule consacrée « tient en échec les meilleurs limiers de la Police Nationale ». Non, j’t’arête tout de suite. C’est pas un rimake de Rififi chez les hommes, c’est de la haute technologie dépressionnaire capable de rendre dépressive toute la maison Royco. Et pas un gramme de hacking réseau ou de scénar à la Mission : Impossible 5. Voilà le topo :

La chaine en question a équipé certains de ses établissements d’un dispositif pneumatique pour que les employés de caisse puissent envoyer directement la recette du jour dans le coffre. Oui, comme le « pneu » des postes parisiennes d’avant 1984, que les gamins d’aujourd’hui ne peuvent pas connaître… l’email a dépoétisé ces pistolets épistolaires, ces sarbacanes à soupirs express. Au siècle d’avant-avant, c’était de la haute techno. D’ailleurs, on disait « recevoir un pneumatique »… alors qu’on cause de « pneu de voiture ». Avec « matique » au bout, c’est plus noble, plus « aille-tek ».

Mais je reviens sur ce casse qui manque pas d’air. Les confrères ont donc très simplement détourné ces tuyaux d’acheminement aéro-propulsé, si possible au plus près du coffre, pour les faire aboutir dans le sac d’un aspirateur « un peu puissant », qu’ils précisent, les plumitifs. Un hold-up en grandes pompes, en quelque sorte. T’imagines ? le fric-frac au Dyson ? Le braquage à l’Electrolux ? Chérie, j’t’emprunte le Tornado, j’ai des courses à faire ! Du coup, dans le mitan, on les appelle les « Shadock », rapport à ce qu’ils n’arrêtent pas de pomper, puisqu’ils ont signé plus de 15 braquos comme çà. Ou encore la bande à l’aviron… aviron, les rames… Eram le fabricant de croquenots, les pompes… soit à c’qu’on t’dit ! par moment, tu décroches, Barnabu.

Et j’te jure que le résultat n’est pas funèbre : 10 000 euros de recette dans le pire des cas, 60 000 dans les bons jours. Que de la petite coupure usagée, non numérotée… du chrome au sens premier du terme. Les bourres sont à la ramasse… à la balayette qu’on pourrait les cueillir. Et ils n’ont pas l’ombre d’une poussière d’indice. Ils manquent autant d’inspiration que leurs braqueurs ont d’aspiration. Bon, faut admettre, côté truand, qu’il y a quelques faux positifs dans l’histoire. Les chèques notamment, pas franchement utilisables sans le secours d’un artiste du maquillage. Alors, si t’as pas dans ton équipe un Rembrandt de l’Effet Fiduciaire avec la paluche d’un Franck Abagnale, tu risques de perdre du temps. Mais tu as des compensations, tout de même. Pas de lance thermique, pas de serrures compliquées à tutoyer, à ce train-là, le crochetage ne sera plus pratiqué que par les spécialistes en sécurité qui cherchent à tuer le temps entre deux séminaires à Kuala-Lumpur et une analyse de logs. T’as plus qu’à poser des tuyaux dans le sous-sol, comme Robert de Niro dans Brazil. C’est tout comme les bretelles des systèmes téléphoniques et informatiques de 80 % des boîtes : pas la peine de violer une salle blanche quand tu peux coller des sucettes sur un brassage collé dans le parking souterrain. Tu contournes les firewalls grâce à une « absence de présence d’esprit » des différents corps de métier. En informatique, un brassage « à la cave », ça prouve que les gourous de la sécu ou de l’informatique n’ont pas eu leur mot à dire dans l’établissement des chantiers « bâtiment ». Et y’a toujours un rond de cuir des services généraux qui envisage l’installation de caméra IP dans ce fameux parking souterrain… sur un câblage commun bien sûr. Economie de moyen. Là, c’est pareil. Le type qui a posé les tubes pneumatiques, il l’a fait sous les ordres d’un spécialiste de l’optimisation des coûts. Le taylorisme vu par les petits chefs. Tu crois qu’il aurait pensé demander son avis au responsable sécurité de la boîte ? Tu rêves… tout çà pour économiser le poste d’un « chef des agents de caisse » et de deux portes-flingue Securitas chargés de vider les boîtes à pognon. On devrait les décorer, ces petits génies de l’organisation du travail.

Mais revenons à nos artistes du nettoyage par le vide.

Franchement, une astuce de ce calibre, ça te rend fier d’être Français. Leur trait de génie leur a ouvert la voie des grands médias. The Sun par exemple. Même Bruce Schneier en cause dans sa lettre, c’est dire la consécration ! J’en connais qui tueraient père et mère et achèteraient même de l’exploit aux enchères pour mériter un entrefilet dans Cryptogram. Tu crois qu’un jour un gars du mitant sera invité à Brucon ou à Hack in the Box pour faire une « prez » intitulée « subverting vacuum network for fun and profit » ? J’vois d’ici le Powerpoint : repérage des lieux, confirmation des données balancées par la « source » -faut pas me faire croire que ces mecs travaillent en aveugle-, accès aux locaux techniques, repérage des tuyaux, découpage et branchement, choix du modèle conseillé – non madame, si vous voulez satisfaire monsieur, sachez que la ménagère des temps modernes préfère le SuperSyphon BX 3000-. Dans cinq ans, je te fiche mon billet qu’en level 15 du prochain Capture the Flag de la Nuit du Hack, on aura épreuve de nettoyage des sols carrelés, et qu’à Clairvaux ou la Santé, on en sera revenu au balai-brosse pour ne pas inspirer les jeunes générations. Paraîtrait même que le Ministre de l’Intérieur envisage d’inscrire Rowenta à la liste des appareils condamnés par la LCEN et d’exiger un permis de port d’arme pour les Karcher de plus de 21 kiloPascal. Leur nom même pourrait être changé en « système de vido-protection dépressive » …