mai 31st, 2011

La Toile en a bruissé tout le long du week-end : les serveurs de Lockheed Martin (ex Martin Marietta), auraient été victimes d’une « fuite» par APT (Attaque Probablement Terroriste) dont le déclenchement n’aurait été possible que grâce à un vol d’informations après APT (Attaque Peut-être Terrifiante), laquelle avait été perpétrée dernièrement contre RSA. Lockheed Martin est un gros avionneur américain, spécialiste des systèmes d’arme et notamment de l’avion multi-rôles F35 ou des propulseurs de missiles. NSS Labs rappelle l’historique de la compromission des serveurs de RSA, initialement qualifiée « d’extrêmement sophistiquée » alias APT (Attaque Par Traîtrise) et qui s’est avérée par la suite d’une déconcertante facilité, et surtout mettant en évidence une impressionnante succession de mauvaises pratiques. Cette APT (tout compte fait Attaque Pas Tortueuse) a immédiatement provoqué une réaction apaisante destinée aux média : rien d’important n’aurait été atteint durant ce cyber-casse… C’est donc une APT (Attaque Pas Terrible). Rien d’important non plus n’avait été atteint durant le hack des machines RSA, reste à espérer que les Riens chez un fabricant d’armes est un peu plus petit que le rien chez un commerçant en sécurité.

Plusieurs journaux américains rapportent les propos anonymes et non confirmés d’une « source généralement digne de foi » qui aurait précisé que Lockheed Martin n’était pas le seul sous-traitant des armées à avoir été victime d’un tel cyber-pilonnage. Pour l’heure, cette « fuite de Lockheed » ne semble pas donner trop de jeu à la Direction de l’entreprise.

Le site Boston.com révèle l’histoire de cet homme qui, depuis plus de 4 ans, fabriquait de fausses cartes de transport valides sur le réseau MBTA de Boston. L’homme aurait (conditionnel du District Attorney) ainsi fabriqué plus de 20 000 cartes, donc 400 « seulement » auraient été mises hors circuit par la régie. A 175 $ l’abonnement, le faussaire avait de quoi s’offrir quelques voitures de luxe et éviter de prendre le métro de Boston. Les fausses cartes étaient distribuées par divers canaux de vente par correspondance, notamment via Craigslist, le site d’annonce dont tout le monde envie l’élaboration graphique de ses pages.

Le pot aux roses est découvert le jour où un contrôleur remarque les couleurs ternies d’un « pass » qui avait séjourné involontairement dans une machine à laver. Le sous-traitant chargé de la production de ces cartes et de la mise en place du service se trouve dans une position délicate, son « client » lui demandant un dédommagement à la hauteur du nombre de cartes falsifiées. Le sous-traitant comme le transporteur clame à qui veut bien l’entendre que le système était hautement sécurisé… propos douteux, surtout pour ceux qui se souviennent du passé « sécu » de la MBTA.

Car la MBTA, c’est celle-là même qui, afin de garder au secret les catastrophique pratiques de mauvaise sécurité entourant l’intégration de son système de carte d’abonnement, avaient assigné en justice un groupe d’étudiants ayant publié différentes méthodes de hack visant ladite carte. Fort heureusement, la plainte a été retirée, car probablement les avocats de la MBTA ont craint la réaction de l’EFF qui avait volé au secours des chercheurs. L’affaire remonte à 2008… cela faisait déjà plus d’un an que le faussaire fabriquait du faux RFID à la petite semaine, au nez et à la barbe de la police du métro de Boston, laquelle poursuivait des chercheurs plutôt que de véritables escrocs : les premiers sont plus faciles à localiser, puisqu’ils publient et s’adonnent aux plaisirs de la conférence.

Le plus étonnant dans cette histoire, c’est que l’escroquerie ait pu durer plus longtemps. Car 20 000 complices qui ne « parlent » pas, qui jamais ne commettent de bévue ou d’indiscrétion, et qui possèdent des cartes ne nécessitant aucun rechargement de crédit, cela relève de l’exploit. De l’exploit ou de la surdité de la part de la MBTA, qui, à aucun moment, n’est parvenu à recouper ses statistiques d’usagers et ses volumes de cartes vendues. Pourtant, une différence de 20 000 clients sur 4 ans, ça aurait dû passer difficilement inaperçu. D’autant plus que les marchands de RFID orientés transport, mettent précisément en avant le « tracking » des trajets et le flicage des usagers, dans le but de réduire les fraudes aux faux tickets et d’optimiser la régulation des lignes et la fréquence de passage des rames selon les directions et horaires.

L’autre aspect étonnant de cette histoire, c’est que seul Boston semble faire les frais de ces mauvaises pratiques. Il est très probable que d’autres grandes villes utilisant un système de contrôle d’accès (par carte RFID en général et MyFare en particulier) soient également victimes d’escroqueries à aussi grande échelle.