août 23rd, 2011

Le chercheur en sécurité est un être étonnamment inventif. Bien plus parfois que ne l’est l’exploitant « black hat » à la recherche d’un profit immédiat. Pour le spécialiste de la détection des hacks vicieux, un rien peut donner naissance à un scénario catastrophe… et c’est pour ça qu’on les aime : Ils nous offrent sur Internet des montages aussi rocambolesques que ceux d’une superproduction Hollywoodienne qui, elle, coûte au moins le prix d’une place de cinéma.

Brian Markus, Joseph Mlodzianowski et Robert Rowley ( Aires Security), à l’occasion de la dernière Defcon de Las Vegas, se sont amusés à construire une borne gratuite de rechargement pour téléphones portables. A la différence près qu’il n’y avait pas que les fils Vcc et Vdd câblés sur le connecteur USB de recharge. Cette version moderne du posdslurping est une variante connue du « faux kiosque » : distributeurs de billets bidon avaleurs de cartes ou lecteurs de codes PIN et bancaires, affiches publicitaires à « extension Bluetooth » diffuseuses de virus téléphoniques, clefs USB ou CD-ROM publicitaires distribués sur les salons professionnels et pouvant contenir des programmes compromettants… certaines menaces sont bien réelles, d’autres relèvent de l’imagination la plus débridée. Mais la leçon est toujours la même : tout ce qui est public, gratuit ou non, bénéficie d’un niveau de confiance absolu. D’ailleurs, la dernière fois que le rédacteur de ces lignes a emprunté un parking souterrain, il a un bref instant trouvé un air bizarre au lecteur de carte « acceptant Visa, Moneo, CB etc. »… Zut, encore une « prez » et un sujet très « buzz » que l’on aurait pu conserver pour la prochaine Hackito Ergo Sum…

Quelle sont, de l’avis même de ceux qui les utilisent, les applications Web les plus dangereuses ?La question est posée par le Sans, qui demande à chaque personne se sentant concernée de répondre à son QCM.