mars, 2011

Franchement, à voir vaciller les principaux piliers du monde commercial de la sécurité, on serait prêt à voir des pirates derrière chaque écran 21 pouces. Le « scoop du jour », c’est la promenade de santé que s’est offert YGN, the Ethical Hacker Group sur les serveurs de McAfee. Le « trou » aurait été découvert le mois dernier. Cette découverte est publiée sur la liste Full Disclosure, savoureuse ironie, la même semaine que l’est un rapport McAfee intitulé « Underground Economies, Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency ». Rapport qui déplore notamment le fait que les entreprises de grande et moyenne envergure ne savent pas ou mal protéger leurs « avoirs intellectuels » stockés sur leurs ressources informatiques. La rédaction de CNIS est intimement persuadée qu’un membre de l’Avert se dévouera pour expédier ledit mémorandum à qui de droit. D’ailleurs, le bras droit technique de « qui de droit » n’a pas non plus l’air au courant de l’affaire, puisque son dernier billet de blog remonte à début février et se penche sur le danger des APT qui viennent à pied par la Chine. En attendant, pour nos confrères de Network World, c’est presque la fin du monde : « McAfee’s website full of security holes ». Les vendeurs font un peu la tête… difficile de commercialiser des chaussures provenant d’un savetier qui a mal aux pieds.

Morte, la liste Full Disclosure ? Allons donc ! Cette même semaine, l’on y trouve également un message signé jackh4xor, qui décrit par le menu ce que l’on peut trouver sur les disques de MySQL, base de données Open Source, entité entrant dans le giron de Sun, lequel Sun appartient à Oracle. Bien que l’attaque ait utilisé une technique d’attaque par injection SQL « à tâtons » (ou à l’aveuglette), MySQL n’est pas en cause… seulement la structure du site Web.

Puisque l’on est au chapitre « désacralisation des icônes » achevons cette revue de hack par deux articles à caractère statistique. Le premier est publié par Maxiscience, et qui nous raconte comment la Nasa essuie près de 3000 intrusions par an (chiffre à prendre avec beaucoup de prudence). Nos confrères rappellent le hack de Jeremy Parker, en février dernier, mais passent sous silence celui de Gary McKinnon qui y cherchait la preuve de l’existence des petits hommes verts et qui est toujours sous le coup d’une procédure d’extradition vers les USA.

Mais au regard des derniers chiffres sur la sécurité des administrations fédérales des Etats-Unis, il semblerait que l’affaire McKinnon ne soit qu’une goutte d’eau dans un océan de hack. Entre Iraniens pugnaces, Chinois militants, altermondialistes hacktivistes, conspirationnistes avides et exobiologistes amateurs en mal de zone 51, l’on a frisé les 42 000 attaques dans l’administration américaine l’an passé. Chiffre en hausse comparé aux 30 000 tentatives de hack relevées en 2009 nous apprend Federal Times.

Mais à bien y regarder, tout çà relève de la sinistralité quotidienne des systèmes d’information, qu’ils soient étatiques ou privés. 31% de ces menaces avaient pour origine des « malicious codes », autrement dit de la vulgaire attaque virale. Le reste associant pêle-mêle les dénis de service, les login non autorisés, les usages impropres (accidentels ou non), les tentatives d’accès infructueuses et les sondes de scanners (ports, vulnérabilités, signatures etc.). Somme toute, une sorte d’inventaire à la Prévert uniquement destiné à faire grimper le FUDomètre au-delà des graduations « rouge vif ».

Ces tristes statistiques ne sont pourtant pas nécessaires. Chaque jour nous apporte la preuve que les « institutions honorables », jadis intouchées et intouchables, sont aujourd’hui désacralisées. Le « ils ne respectent plus rien » s’applique également aux crackers de sites, hacktivistes, techno-casseurs politisés, cyber-espions du secteur privé ou d’état.

Le hack de Comodo a eu pour première conséquence la fermeture d’un certain nombre de sites utilisant et, pour certains, fournissant des services de certification. Et la principale victime semble être précisément la dernière citée de la liste des certificats « volés », le fameux « Global Trustee ». Une entreprise italienne, également fournisseur de certificats, affiliée à Comodo. Netcraft fait un bilan et compte les morts, nombreux de l’autre côté des alpes. Ce serait là la branche la plus touchée par les conséquences du piratage. Ce serait également et indirectement là l’origine qui aurait offert au black hat responsable de cette attaque les moyens pour parvenir à ses fins, à l’aide d’une simple injection SQL pour commencer. Depuis, les sites « interrompus momentanément » ont (presque) tous repris du service. A l’heure où nous rédigeons ces lignes, banksafe.it, comodogroup.it et cybercrimeworkingroup.org (sic) ne sont toujours pas sortis du coma avancé dans lequel leurs chirurgiens-webmestres les ont plongés pour faciliter l’opération chirurgicale.

Netcraft y fait allusion, Robert Graham y consacre 3 articles : le viol des serveurs Comodo serait l’œuvre d’un individu isolé, n’ayant aucun rapport avec le gouvernement Iranien. Revendication et explications techniques fournies sur Pastebin. L’ego du personnage est à la hauteur du scandale provoqué : « I’m single hacker with experience of 1000 hackers, I’m single programmer with experience of 1000 programmers, I’m single planner/project manager with experience of 1000 project ». Graham qui décroche, peu de temps après, une interview du pirate en question, et qui vérifie techniquement la véracité d’une partie de ses dires. D’une partie seulement, puisque l’aspect psychologique est, dans l’état actuel des choses, totalement invérifiable. Les propos fortement politisés et assez extrémistes émis par ce personnage ne sont en aucun cas la preuve d’une absence de manipulation ou d’opération sur ordre émanant d’une tierce personne ou entité (qu’elle soit Iranienne ou non). C’est là un avantage certain qu’ont les sociétés collectivistes ou théocratiques, qui peuvent invoquer l’action « de patriotes incontrôlés agissant de leur propre chef ». C’est là la conséquence d’une bonne maîtrise de l’agitprop. Encore un mystère qui ne s’éclaircira pas de sitôt.

Histoire de revenir sur une affaire légèrement plus ancienne (mais si, voyons, le hack des serveurs RSA…), le Sans continue son travail de conseiller bienveillant, en prodiguant moult enseignements sur l’art de lire les logs d’audit des serveurs RSA ACE. C’est le Dir Com d’EMC qui doit être content, et remercier chaque jour son concurrent Comodo d’avoir éloigné rapidement les feux des projecteurs médiatiques. Si le Sans pouvait arrêter ce genre de publication, tout le monde l’aurait déjà oublié.

Et hop, trente-quatre failles d’outils de contrôle de processus (dont une grande partie « exploitable ») divulguées par le plus grand chasseur de trous de tous les temps, Luigi Auriema. A côté de çà, Stuxnet fait figure de pistolet en plastique ou de roman noir pour fillette. Avec un tel score, Auriema aurait pu lancer un « month of Scada bug » et le faire perdurer durant plus d’une année. Non seulement parce que le chercheur transalpin est un véritable génie de la découverte de failles, et ce, depuis son adolescence, mais en outre parce que les logiciels en question ont, de tous temps, été moins contrôlés que le plus simple des traitements de texte. La clientèle est moins nombreuse, moins encline à pousser ces logiciels dans leurs moindres retranchement (la production industrielle a des impératifs d’efficacité, parfois incompatibles avec une remise en cause des outils installés). C’est donc un cri d’alarme que pousse Auriema, un cri qui nous rappelle que ces logiciels de supervision sont utilisés pour piloter une station d’épuration d’eau, ils sont également utilisés dans des usines pétrochimiques, nucléaires et autres secteurs dignes d’être classés « Seveso ++ ».

Avertir, mais peut-être aussi couper l’herbe sous le pied de Gleg, entreprise Russe qui offre à la vente 22 modules « anti-programme Scada » contenant 7 ZDE… pour commencer, précise la page web. Gleg est un représentant sérieux et patenté de Canvas, l’outil de pentesting d’Immunity Sec. On est dans le business du test de pénétration, pas dans la revente de code mafieux… mais certains puristes y trouveront certainement à redire sur le plan éthique.

C’est d’ailleurs tant de la motivation que de la dangerosité potentielle que traite l’article assez long publié par Beau Woods sur le blog SecureWorks.. Pour reprendre les propos d’Auriema tenus que le Bugtraq publie, le manque d’application avec lequel ont été conçus et rédigés ces programmes est tel qu’il faut relativement peu de travail et de temps avant de découvrir une faille exploitable. Ne perdons pas de vue que Auriema est quasiment capable de découvrir des failles en dormant… il est donc loin de représenter «l’ average bug hunter ».

De prime abord, toutes ces « menaces sur les complexes industriels », surtout depuis l’affaire Stuxnet, semblent relever du fantasme le plus échevelé. Fantasme amplifié par la presse généraliste pour une raison très simple : une attaque informatique contre le Ministère des Finances, ça n’est pas très palpitant. Tout au plus peut-on rêver que tous les ordinateurs de Bercy soient frappés d’amnésie et que plus personne n’ait, un an durant, à payer ses tiers provisionnels. Parce que franchement, un octet qui se « crashe » contre une limite mémoire, ou un buffer overflow qui fait fuir de l’octet, ça n’est ni télévisuel, ni traumatisant. En revanche, une opération commando à coup de virus Scada sur une vanne de la raffinerie de Feyzin, c’est du Bruce Willis à la une, de l’explosion sur 5 colonnes… enfin quelque chose qui pourrait se voir et faire peur.

D’autre part, il faut bien admettre que s’enquiquiner à pondre un virus retord capable de modifier un point de consigne est une opération bien plus complexe et bien plus aléatoire quant au résultat, qu’une résistance de 220 ohm insérée discrètement derrière une jauge de température, ou qu’un détournement de « boucle V24 » chargée de piloter à distance une vanne, un vérin ou un relais. Pourtant le résultat sera certainement explosif, selon la fonction de ce capteur, de cette vanne, de ce vérin ou de ce relais. Bon nombre de circuits utilisés dans le contrôle de processus industriels sont totalement dépourvus de protocoles de contrôle et de sécurité, ce qui fait de l’attaque physique un moyen plus efficace qu’une compromission par des voies informatiques. Efficacité brutale du gourdin contre la subtile progression d’une menace cérébrale.

Mais la publication de Luigi Auriema montre qu’il n’est absolument pas nécessaire de dépenser des trésors d’astuce et des débauches de moyen pour fabriquer un Stuxnet vite fait sur le gaz (ou la réserve d’essence, c’est selon). Ce qui renvoie les futurs Stuxnet au rang de techno-matraque utilisable par des non-spécialistes. Sommes-nous sur le chemin d’une industrie du « kit générateur de virus Scada » ? L’on peut prévoir qu’après l’apparition des Cert bancaires, l’on commence à voir fleurir des Cert chimiques, nucléaires ou des transports et fluides, portant les blasons d’Elf, de la Cogema, des grands vendeurs d’eau ou des entreprises de transport ferroviaires et aériens.

Hackito, J-12 : Plus que deux semaines avant le début du cycle de conférences Hackito Ergo Sum, organisé cette année dans les amphis de l’Esiea. Pour s’y inscrire ou participer au « crack me » se rendre sur le site de la manifestation

Un Cocorico avec ce clin d’œil à la société Hervé Schauer Consultants qui vient de décrocher un partenariat avec le célèbre Sans Institute. Un Sans Institute mondialement reconnu pour le niveau des formations proposées en sécurité, certifications à la clé. Le Sans écume littéralement la planète pour les dispenser en s’appuyant sur des experts sécurité, eux-mêmes également réputés dans leurs spécialités. Des formations non seulement pointues mais aussi à la pointe.
C’est donc une certaine forme de reconnaissance internationale pour HSC que de pouvoir aujourd’hui, dispenser à son tour ces cours avec, cerise sur le gâteau, une localisation du contenu. A la clé, les stagiaires français obtiendront une certification labellisée GIAC, Global Information Assurance (www.giac.com) reconnue mondialement.
Il est à noter que les deux premières sessions proposées par HSC concerneront « l’Analyse forensique avancée et réponse aux incidents » (SANS FOR508) prévue entre le 2 et 6 mai 2011 et « Tests d’intrusion par la pratique » (SANS SEC60) planifiée entre le 26 et 30 septembre de cette année.

Contrairement à l’aveu public de Art Coviello la semaine passée, l’annonce du piratage de Comodo et du vol de 8 certificats importants est entouré d’une discrétion remarquable. Tout au plus peut-on découvrir une page d’une sécheresse toute technique visiblement pas du tout conçue pour informer les clients, un billet de blog rédigé par Melih Abdulhayoğlu, fondateur de Comodo, dont la teneur est proche du vide intersidéral, et enfin, en date du 23, un autre billet de blog signé Phillip Hallam-Baker qui fournit quelques explications sur l’attaque en social engineering qui aurait été à l’origine du vol des certificats. Mais toujours pas de communiqué de presse, pas la moindre annonce sur la « home page » du site principal. La seule alerte de sécurité officielle est publiée par Microsoft : un billet sur le blog du MSRC, un bulletin d’alerte 2524375. Les certificats compromis concernent

login.live.com

mail.google.com

www.google.com

login.yahoo.com (3 certificats)

login.skype.com

addons.mozilla.org

sans oublier un « domaine de confiance générique » baptisé Global Trustee, sans autre forme d’explication.

La répudiation a été « presque » immédiate et il faudra 3 jours pour que les principaux éditeurs de navigateurs puissent modifier et pousser leurs correctifs. Si, comme le raconte Phillip Hallam-Baker, le raid sur les certificats, a été conduit avec un professionnalisme extrême, l’on peut estimer que ces trois jours ont été nécessaire pour que les attaquants aient pu obtenir ce qu’ils cherchaient. La possession d’un certificat valide permet de spoofer n’importe quel client en lui faisant prendre un site lanterne pour une vessie. Jusqu’à présent, les soupçons se tournent vers l’Iran, les numéros IP tracés provenant tous de ce pays… une « certitude » qui demande une certaine prudence quant à son interprétation. Ce qu’une commission comme l’Hadopi peut considérer comme une preuve formelle et recevable, un Quai d’Orsay ne peut politiquement l’accepter. Certains croient en l’existence d’un firewall Open Office, d’autres en la réalité des Open Proxy. Simple question de compétence. En attendant que soit résolu cet insondable mystère, on ne peut qu’émettre des doutes sur l’authenticité de la provenance de l’attaque… trop cohérente et trop évidente pour être vraie. Ou alors, c’est là une « anti-preuve» d’une sournoiserie remarquable.

Vient ensuite la question de la révocation des certificats.« Largement inutile, presque vaine » fait remarquer un participant actif de l’équipe Tor, l’ognon router, qui, au fil d’une analyse relativement technique, en profite pour pointer sur un article d’Adam Langley sur le sujet. Sans même aller aussi loin que ne le font ces deux savants (au sens étymologique du terme), l’on peut imaginer qu’un humain normalement constitué est incapable de comprendre ce qu’est un certificat, et se moque dans 99% des cas des messages d’alerte abstrus affichés par un navigateur.

Les vendeurs de confiance en berne

Il est assez cocasse de se rappeler que c’est ce même Comodo qui, en juin 2010, tentait de torpiller l’image de marque de son principal concurrent, Verisign, en signalant une brèche dans la gestion des certificats SSL. Les « vieux » RSSI se souviennent, quant à eux, des conseils de prudence de Fred Cohen, auteur du célèbre « 50 Ways », notamment dans les 50 ways to defeat your firewall , « 50 ways to defeat your PKI » et 30 lies about secure electronic commerce. L’inventeur de la notion de virus informatique et père des premiers honeypots conseillait déjà, il y a plus de 20 ans, la « confiance sans illusion » à l’égard du business des certificats.

Steve Gibson (GRC), dans son papier du 19 mars, déclarait déjà « any company using RSA SecurID tokens should consider them completely compromised and should insist upon their immediate replacement ». En d’autres termes, tant qu’il n’y aura pas une totale transparence sur ce qui s’est passé tant chez RSA que chez Comodo, les utilisateurs de certificats devront se méfier de leurs clefs. Un sentiment que partage totalement notre confrère Dan Goodin du Reg, qui titre « RSA won’t talk? Assume SecurID is broken ». Le Sans Institute est nettement moins catégorique, mais donne dans le détail une sorte de « check list » des mesures de mitigation à appliquer. Vérifier l’application des correctifs pour parer à tout exploit distant, garder un œil sur les logs, vérifier la solidité des politiques de mots de passe et de PIN… en bref, faire comme si la confiance envers RSA avait été sérieusement entamée. Les mots n’y sont pas, mais le décryptage de l’understatement anglo-saxon l’indique clairement.

L’on ne peut clore le sujet sans saluer un remarquable exercice de vulgarisation, dans le style « dessines-moi une autorité de certification », écrit par Robert Graham d’Errata Sec. C’est simple, compréhensible même par un journaliste, mais malgré tout trop complexe pour être expliqué à un beau-frère ou à une grande tante.

Cent treize milliards de pourriel par mois, 100 000 « bots » dans le monde pilotés par moins de 30 C&C (centre d’administration des tribus de machines zombifiées), telles sont les statistiques difficilement imaginables d’une seule famille de botnet spécialisée dans l’envoi de spam. C’est une machine de production intensive, avec ses gangs spécialisés, ses sous-réseaux hiérarchisés, ses bases de données contenant des milliards d’adresses mail actives, ses mécanismes de contournement de protection, notamment les fameux outils destinés à casser les Captcha, explique un impressionnant rapport universitaire de 8 pages, fruit de la collaboration de l’UCSD et de l’Université Allemande de Bochum. C’est la première fois qu’une telle étude est réalisée en considérant le problème non pas sous l’angle de la menace, mais sous celui de l’administrateur de botnet. Le spam vu par les truands en quelques sortes. A ne pas lire le soir avant de s’endormir si l’on est administrateur de messagerie. Les quatre universitaires ont, des mois durant, analysés les 2,3 To de données et 24 bases de données contenues sur 16 serveurs ayant servi au botnet Pushdo/Cutwail. Etude qui a notamment abouti à la fermeture d’une bonne partie dudit réseau de bot et amputé des deux tiers le nombre de C&C opérationnels. Las, certains hébergeurs sont trop impliqués dans le business rentable de l’industrie du spam pour que la totalité du botnet ait pu être réduite au silence.

Parfois, les actions de quelques professionnels de la sécurité et associations antispam (notamment SpamHaus) s’avèrent payantes. Le plus récent exemple (et probablement le plus significatif depuis l’affaire McCollo), c’est la fermeture du botnet Rustock : 250 000 bots, entre 800 000 à un million d’ordinateurs infectés, 26 C&C devenus muets depuis le 15 mars dernier. L’an passé, c’était l’enterrement de première classe de Mega-D, alias Ozdoc, aussi important que Cutwail ou Rustock. Un récent billet de SecureWorks (désormais Dell-SecureWorks) plaçait Rustock en tête, devant Pushdo/CutWail (voir ci-dessus), considérablement affaibli depuis l’été dernier (la comptabilisation des 100 000 bots remonte à « avant » l’action des chercheurs de l’UCSD et de Bochum). Mais il reste encore Lethic, Grum, Festi, Maazben, Bobax, Xarvester, Waledac (botnet de 5ème zone qui essuya le feu de Microsoft), Bagle l’ancêtre…

Les métriques de ces deux analyses, aussi denses que précises, répondent en partie à une question « dans le vent » : il ne faut pas chercher très loin quel type de recrutement opèrera une cyber-armée qui souhaiterait en découdre avec les installations informatiques d’un pays ennemi. Les botnets mafieux sont « récupérables » et très probablement retournables, avec ou sans l’avis de leur bot herders. Cela expliquerait-il en partie la relative mollesse avec laquelle les gouvernements tant américains que Russes (les deux superpuissances) chasseraient les réseaux de spam à l’heure actuelle ? Certes, certains réseaux tombent lorsqu’ils commencent à devenir trop gênants, mais les troupes fraîches ne manquent pas, et les coups d’arrêt donnés à certains ne durent que l’espace d’un soupir. Soit parce que le botnet est « récupéré » par remplacement de ses C&C grâce à des mécanismes de sécurité intégrés aux vecteurs d’infection eux-mêmes, soit parce que la place laissée libre par la disparition d’un acteur majeur est immédiatement occupée par une dizaine de plus petits prétendants, lesquels, après une période de concurrence fratricide, se transformeront en un unique et tentaculaire « nouveau » botnet majeur.

Le Social Science Research Council vient de publier un rapport de près de 450 pages intitulé « piratage des médias dans les pays émergeants ». Une copie de l’étude peut être consultée en ligne sur Scribd. Ce rapport est placé sous licence « Consumer Dilemna » (8 euros pour les lecteurs des « pays riches », 2000 $ pour les éditeurs). 450 pages de rappels historiques et de constatations simples : si les « efforts » consentis par les Majors sur les médias semblent de prime abord très élevés, leur coût d’usage est identique, voir supérieur lorsque ramené au pouvoir d’achat moyen en Afrique du Sud, Brésil, Russie, Mexique, Bolivie ou Inde. Ce n’est pas le manque de « moralité » qui fait d’un pays un foyer de piratage, mais la conjugaison de plusieurs facteurs, notamment la faiblesse des revenus, les prix élevés des biens de consommation de l’industrie du divertissement et le faible coût des technologies facilitant l’écoute (ou la visualisation) et la diffusion des contenus numériques.

A cette fracture économique et numérique s’ajoutent les mesures parfois discriminatoires des grands réseaux de diffusion de contenu. Les Netflix, les Hulu, les Apple, les Microsoft visent un marché mondial… mais à prix unique. Un prix aligné sur le pouvoir d’achat des pays riches, que ne peuvent supporter les consommateurs des pays moins fortunés. S’ajoute à cette discrimination par l’argent une autre forme de ségrégation, imposée, quant à elle, par les diffuseurs eux-mêmes, qui bloquent la vente de leurs contenus dans certains pays, blocages parfois liés à des ententes entre éditeurs, parfois justifiées par des considérations protectionnistes (découpage des réseaux de jeux en ligne en Amérique du sud, discrimination de certains diffuseurs de streaming en Europe). De là à dire que ce sont les éditeurs qui sont principalement responsables du piratage, il n’y a qu’un pas que les auteurs du rapport n’hésitent pas à franchir. Situation d’autant plus ubuesque que ces mêmes éditeurs entament, dans tous les pays, des campagnes de lobbying incitant les gouvernements à mettre en place des moyens de rétorsion et des arsenaux législatifs pour lutter contre le piratage. Le piratage, prévient le préambule de l’étude, ne semble être la conséquence que d’une inadéquation entre l’offre et la demande

L’étude s’achève avec un chapitre captivant, consacré au piratage des livres au travers des âges, notamment durant la période mouvementé du XVIIème et du XVIIIème siècle en Europe. Cette perspective historique, les conséquences des monopoles octroyés par le régime élisabéthain aux éditeurs de bibles ou d’abécédaires a été le premier vecteur de piratage par des imprimeurs francs-tireurs estime l’auteur. L’on peut y voir une allusion directe au monopole de fait des quatre Majors du monde de la musique et de la mainmise annoncée d’un Amazon de plus en plus omnipotent.

Le Reg « hardware » nous offre 5 pages de pure nostalgie à l’occasion du trentième anniversaire du ZX81 (ou plus exactement de la sortie de son grand frère, le ZX80, livré en « kit » et en livrée blanche). 5 pages émaillées de publicités de l’époque, de remise en perspective par rapport aux produits concurrents d’alors.

Pour la rédaction de CNIS, le ZX81, c’est çà… et un peu plus.

– La file d’attente devant les portes de la seule boutique parisienne pour repartir avec le « kit » le plus convoité de l’époque

– La bataille acharnée pour récupérer les deux ouvrages indispensables d’alors : la ROM désassemblée du ZX par Ian Logan : Tome 1, de 0000H à 0F54H, Tome 2 de OF55H à IDFFH

– Les publicités du Financial Times clamant « pourquoi dépenser plus de 60 dollars pour vous apercevoir que l’informatique vous dégoûte ? »

– Les dépressions nerveuses provoquées par les plantages successifs lorsque les faux-contacts de « l’extension 16K » provoquaient un BSOD (black screen of death… le ZX était monochrome)

– Le bruit caractéristique des programmes enregistrés sur cassette… qui se transformait en chant mélodieux après utilisation du « fast load monitor »

– Les premiers hack matériels consistant à améliorer le signal de sortie vidéo, la mise en forme des signaux à l’enregistrement ou les extensions d’entrée-sortie à grands renforts d’UART AY3-1015

– L’absence totale de virus et de faille logicielle « in the wild »… car à quoi aurait servi un « programme d’infection de programme » sur une machine dont l’uptime dépassait difficilement 4 heures et dont les données en mémoire disparaissaient définitivement à la moindre coupure de courant ? D’ailleurs, il aurait fallu 10 minutes et 15 tentatives successives pour pouvoir le charger.

– Le livre 100 programmes Basic pour ZX

– Les « zaides au ZX », rubrique d’afficionados, blottie entre les « Tics du T.I. », « Vic en Vrac » et les « Charmes du Sharp », à l’époque où l’Ordinateur Individuel était encore un journal technique.

– Le clavier à membrane qui, avec l’âge, nécessitait une pression de plus en plus insistante, donnant aux primo-informatisés de l’époque une poigne digne de celle d’Arnold Schwarzenegger

– GOSUB-RETURN et RND USR sans GOTO ou DATA/RESTORE…

– L’exploration de la mémoire par Peek et Poke… ou comment provoquer des Buffer Overflow sans savoir que cela existe

– L’imprimante thermique sur papier argenté qui laissait présager le « business » des consommables : les constructeurs d’imprimantes « jet d’encre » doivent lui dire merci.

Passé un léger temps de réflexion, les experts sécurité qui réfléchissent avant d’écrire émettent enfin leurs avis. Cédric Blancher ouvre le bal, en déclarant un « Kerckhoffs #FAIL ? ». Et d’expliquer en termes simples (ou presque) comment fonctionne un token RSA et comment le secret entourant l’intégration de ce mécanisme de sécurité ne devrait pas être un secret susceptible d’amoindrir la fiabilité du système s’il venait à être éventé. Les amateurs de littérature sur le chiffrement peuvent consulter une version Française du principe ici discuté sur le site de Fabien Petitcolas, Kerckhoffs Fail également pour Jeff Jarmoc Dell Security, ex-SecureWorks, ex-Luhrq. Là également, une approche méthodique. Kerckhoffs Fail encore, avec un véritable cours dispensé par l’un des plus prestigieux professeurs en la matière, Steve Bellovin. Article assez didactique pour que même un journaliste ait l’impression de comprendre de quoi il ressort. Plus de passion et de rancœur pour Steve Gibson, qui critique également ce mauvais usage du secret autour de l’implémentation du mécanisme. Un Gibson qui, au passage, écorne lui aussi la culture du secret médiatique et de la langue de bois cultivée par Art Coviello. « It would have been difficult for any bureaucrat to be less clear about what they know ». Propos nettement plus tranchés que ceux de Jeff Jarmoc « Due to RSA’s public nondisclosure of specific details regarding the nature of the compromise, the impact of this breach on their customers remains largely unknown ». Mais dans les deux cas, l’assourdissant silence de RSA est condamné. Bellovin se montre encore plus retors. Une faille d’intégration ? Allons donc… je suis persuadé qu’une entreprise aussi sérieuse que RSA a su éviter des écueils aussi évidents pour de vrais professionnels tels qu’eux, dit-il en substance. En revanche, le « back office » de RSA s’est montré faillible. C’est dans la gestion des comptes clients, des clefs, des renouvellements d’abonnement qu’il y a eu fuite, et c’est là qu’il risque d’y avoir un simple vol direct de clefs ou l’injection de fausses données. La crypto peut très bien être solide, mais qu’en est-il du logiciel qui l’administre ?