mai 4th, 2011

ComputerWorld publie un article fort amusant, rédigé après une intervention publique de Janet Napolitano, patronne du Department of Homeland Security (DHS). Elle y dénonce notamment la lenteur avec laquelle le secteur privé a pu réagir au moment de l’attaque Stuxnet. Interrogé par nos confrères de ComputerWorld, un expert en sécurité -Bob Radvanovsky-, réagit à ces propos et rappelle que si Siemens a connu effectivement un certain « retard à l’allumage », le DHS lui-même, durant toute cette histoire, n’a pas particulièrement brillé pour sa célérité lorsqu’il s’est agi de bien « communiquer » et informer les industriels à propos de la menace. Les Cert, pour leurs parts, sont restés cois, imitant ainsi dans cet assourdissant silence les antivirus et autres firewall qui, lorsqu’ils étaient présents dans les infrastructures industrielles visées, n’ont ni bronché, ni désinfecté au passage dudit Stuxnet. Ou alors très tardivement. Et notre expert d’ajouter que les premières réactions et analyses, principalement celles de Ralf Langner, de Kaspersky et de Symantec, provenaient bien du secteur privé, n’en déplaise à Madame Napolitano.

Généralement, lorsqu’un Ministre ou équivalent de Ministre critique de manière générale un secteur particulier de la société –ici celui des industries privées impliquées dans la fourniture d’équipements destinés aux réseaux Scada-, c’est pour faire le lit d’une proposition de loi qui n’aurait aucune chance de passer en temps normal. Cette attitude s’est particulièrement vérifiée durant les périodes de campagne électorales et chaque fois que les sondages indiquaient une baisse de popularité des nombreux « Security Czars » qui se sont succédés à la Maison Blanche.

Les hackers , surtout les plus noirs, ont, depuis longtemps, inspirés les réalisateurs. Ceux de War Game, Avalon, ExistenZ, Hackers ou Operation Espadon. Avec Subject : I love You , il faudra également compter avec les malwares, qui méritent eux aussi une parcelle de gloire hollywoodienne. Une belle brochette d’acteurs connus joue l’épopée d’un amoureux éconduit qui écrira le « virus du siècle » par désespoir. I love you (the movie) est assez loin des réelles motivations d’ I love you (the virus), fait remarquer Graham Clueley (Sophos), qui espère au passage que cette bluette façon « série Harlequin sauce binaire » n’ira pas inspirer les jeunes générations. Peut-être notre chez Graham regrette-t-il les œuvres amoureusement diffusées par Gigabyte, hackeuse Belge de talent. Lesquelles œuvres se présentaient sous la forme d’un « jeu d’entartage »* mettant en scène précisément les figures de MM William Gates et Graham Clueley. C’était il y a si longtemps…

Avec Subject : I love you, Hollywood tient là un filon inépuisable. Bientôt, sur nos écrans, une nouvelle version encore plus réaliste de Die Hard XVII intitulé « Insert USB Key : Stuxnet Ready », un remake de Fast and Furious ( RBN, The Russian Mafia strikes again), une suite de Midnight Express ( Turkish skimmers, the fatal ATM), un épisode hard core avec L.o.i.c. en guest star ( OSS117 : Sony ne répond plus), une version geekisée des œuvres de Terry Gilliam ( Phisher King) etc… , chaque sortie provoquant à son tour une série de réflexions profondes de la part des patrons marketing du monde de la sécurité sur le ton « pourvu que ça n’inspire pas les script kiddies ». On parlerait même, dans les milieux autorisés, d’une modification des avis des comités de censure qui, à côté d’un « PG 14 » ou d’un « interdit aux moins de 16 ans » serait accompagné par des précisions du style « scène de nudité de code C++ » ou « écrans IDA Pro non floutés : pour public averti ».

Ndlc Notre de la correctrice : la Belgique n’est-elle pas la patrie du Gloupier? Par solidarité féminine, je me dois de préciser que Gigabyte n’a jamais « diffusé » ses œuvres sous forme de binaire exécutable. Seulement le source en Ascii, comme n’importe quelle autre « proof of concept ». Faute qu’elle a très cher payé d’ailleurs.