S’il fallait résumer Hackito Ergo Sum en 5 lignes, une fois n’est pas coutume, l’affaire serait simple : Renaud Lifchitz (BT) a exposé sur la place publique que les banques, dans le monde entier, étaient en train de diffuser une nouvelle génération de cartes de crédit dont l’usage peut s’avérer ruineux (au sens propre) pour leur clients, et le couple Jonathan Brossard / Florentin Demetrescu a expliqué comment sous-mariner n’importe quel ordinateur « Wintel » de manière permanente, à distance, et sans que la chose puisse être détectable (voir article suivant). Les autres présentations, plus techniques, plus verticales, étaient plutôt destinées à un public de spécialistes, et reprenaient en général des travaux souvent exposés au fil d’autres conférences sécurité.
…. Et malgré un contenu d’une gravité et d’une importance incontestable (car touchant soit aux données personnelles de tout informatisé, soit à son portefeuille), pas un seul médium grand public n’est sorti du traitement « convenu » de l’évènement : les hackers sont des spécialistes qui se réunissent de temps en temps… probablement dans le but de se reproduire. Une race qui n’appartient qu’à deux familles : celle des dangereux cyber-terroristes qu’il faut surveiller, museler, condamner à des peines de prison, et celle des gentils nerds dépassés par les réalités quotidiennes, professeurs Nimbus des temps modernes. Il y a là indiscutablement un problème de communication, de vulgarisation et de pédagogie qui concerne l’ensemble des professions de la sécurité informatique, et dont les conséquences sont bien plus graves qu’une simple histoire d’image de marque ou de couverture média d’un évènement en particulier.
Mais revenons sur le hack de Renaud Lifchitz, British Telecom. Sa présentation, Hacking the NFC Credit Card for Fun and debit, explique que la nouvelle génération de cartes de crédit “sans contact” (en gros, utilisant la même technique que les RFID pour la traçabilité de la viande bovine et la gestion des forfaits de ski) permet d’extraire, à plusieurs mètres de distance, les informations non chiffrées suivantes :
Sexe
Nom
Prénom
PAN (numéro de compte primaire)
Date d’expiration
Données contenues sur la piste magnétique
Historique des dernières transactions
Ainsi qu’un code CVV à usage unique ne servant qu’à des transactions de faible valeur
Excusez du peu. Ces cartes sont systématiquement distribuées depuis le début de l’année 2012.
Comme si cela ne suffisait pas, Renaud Lifchitz précise que cette absence de chiffrement pose plusieurs autres problèmes secondaires : sans protection des données bancaires et nominatives, la transaction financière (et pas voie de conséquence le département de la banque chargée de l’opération), n’est plus conforme aux normes PCI-DSS. La Cnil, quant à elle, s’inquiète du possible pillage de centaines de milliers d’identités à l’heure (un simple portique d’interrogation camouflé dans un couloir du métro par exemple). La gendarmerie, pour sa part, y voit un excellent moyen pour déclencher une bombe à distance à proximité d’une personne précise et spécifiquement visée… Cela ne suffit pas ? Lifchitz continue « les données peuvent être directement accessibles via des attaques MIM pour effectuer des achats plafonnés à 20 euros, somme limite autorisée pour les NFC. Voir pour fabriquer d’autres cartes clonées sur le marché du carding, cartes qui seront acceptées dans la majorité des pays d’Outre Atlantique notamment, lesquelles n’exigent ni « puce », ni contrôle du CVV. Les données peuvent également être utilisées sans le moindre support physique, pour effectuer des achats sans plafond, sur des sites de vente en ligne. Une rapide vérification des mécanismes de payement sur Internet nous prouve que la majorité des sites de vente dans le monde n’utilise pas le code CVV « véritable » pour authentifier la transaction, et lorsque ce code est demandé, il est souvent possible de fournir n’importe quel suite de 3 chiffres… il n’y a aucune vérification ».
Mais il y a pire encore. Contrairement à ce que Renaud Lifchitz explique (par prudence scientifique) nul n’est besoin de dépenser 2000 euros d’amplificateur et 1000 euros d’antenne pour lire ces cartes de crédit NFC à plus de 1 à 15 mètres : un bon radioélectronicien un peu compétent dans le domaine des ondes courtes fabriquera son outil à pirater les cartes Visa « NFC » pour la modique somme de 100 euros (allez, poussons à 300 Euros si l’on ajoute un petit amplificateur HF de 50W PEP réalisé à coup de transistors FET sérieux). Mais ce n’est là encore qu’un aspect technique de la question. Le véritable problème vient des organismes qui ont mis au point un système de payement sans contact non chiffré, imposé sans demander l’assentiment des clients, sans la moindre information technique ou éclairage des risques encourus, technologie enfin sur lequel le légitime propriétaire n’a strictement aucun contrôle du genre « marche/arrêt ». Des constructeurs d’automobiles ont été contraints de rappeler des milliers de véhicules pour bien moins que çà, avec en prime une place de choix sur la première page des journaux. Pourtant, dans ce cas précis, aucun contre-pouvoir, aucune voix ne s’est élevée, contraignant ainsi les banque à retirer immédiatement leurs nouvelles cartes de crédit.
Pas une ligne en dehors de la presse spécialisée. Le lobby des organismes financiers et leurs avocats fait-il si peur à nos confrères ? Le message était-il formulé de manière trop « geekesque » pour être compris ? La crainte d’une annonce jugée catastrophiste aurait-elle soudainement préoccupé la conscience des reporters des quotidiens nationaux qui, il n’y a pas un an, rédigeaient des titres sur 5 colonnes alertant la population du très improbable danger Stuxnet ? Il se creuse là indiscutablement un « digital divide » entre ce qui pourrait réellement préoccuper les consommateurs Français et les grands canaux d’information. Si la presse généraliste ne peut pas transmettre de tels messages, il faudrait alors que soit remise sur le tapis la question de la création d’un véritable CERT grand public, un cyber-Ombudsman à la Suédoise comme en possèdent déjà la Grande Bretagne et l’Allemagne. Un travail que ne peuvent remplir les autres Cert nationaux, ni le « A », ni le « Renater », ni le « IST » pour d’évidentes raisons historiques et fonctionnelles… encore moins les Cert bancaires qui seraient, dans de tels cas, juges et parties, pas plus que des structures telles que l’Anssi, qui atteint ici les limites de sa compétence (le mot compétence désignant ici périmètre de mission, et certainement pas ses capacités techniques).
Sans l’autorité indépendante que serait ce Cert grand public, il est impensable que les banques elles-mêmes acceptent de perdre de l’argent en retirant du marché ces centaines de milliers de cartes déjà en service, et surtout divulguent elles-mêmes une information pouvant porter atteinte à leur bien le plus précieux : la confiance. Un Cert possède un pouvoir bien plus grand qu’une Cnil. Un seul de ses communiqués fait immédiatement réagir un Microsoft ou un Google. Les banques y seraient également sensibles. Etre accusé de spéculation sur les edge fund, passe encore, l’activité est jugée très virtuelle. Mais jouer au loto avec la sécurité des particuliers, il y a fort à parier que la pilule ne passe pas.
Il apparaît également qu’au cours des travaux de Mr Lifchitz, une remarque a été formulée par différents intervenants, revenant comme un leitmotiv : il ne faut pas affoler la population. Ignorance is a bless diraient les anglo-saxons. L’homme de la rue*se voit demander son avis sur l’avenir politique de l’Europe ou sur le choix du prochain Chef d’Etat, mais il est jugé incapable de déterminer si oui ou non le risque de lecture de ses coordonnées bancaires est un fait important.
En attendant, la Cnil est sur les dents, les fabricants de carte planchent sur la conception d’une solution chiffrée dont la date de disponibilité est inscrite dans les fumées éthérées de la pythie de Delphes, la gendarmerie ne rit pas (ce hack est vraiment à la portée d’un enfant de 10 ans), et la grande majorité des porteurs de cartes de crédit NFC dorment en paix. Quant aux rares personnes informées, elles se sont prises d’une passion soudaine pour les feuilles de mu-métal.
*NdlC Note de la Correctrice : L’homme de la rue est composé en moyenne par 50 % de femmes soit, sous un angle sociologique, 84% des personnes responsables de l’équilibre du budget des ménages.
Du 31 mai au 1 juin prochain, dans la ville du Havre, se dérouleront les rencontres Seagital qui seront placées sous le signe de la « marétique ». Ce néologisme désigne toute activité du monde maritime et fluvial en matière de technologies numériques. Ce serait nouveau, ce serait tendance… et de grands acteurs tels qu’IBM et EADS possèderaient déjà une offre appétissante en matière de numérisation batelière.
En fait de nouveau domaine d’activité, il n’y a strictement rien de particulièrement révolutionnaire. Les infrastructures de communication et de traitement des données dans le transport maritime et fluvial font partie des infrastructures dites Scada, de celles qui ne datent pas d’hier. Les marins ont été parmi les premiers à utiliser des outils de communication sans fil dès les années 1910/1915. La transmission de l’inventaire de chargement (le « connaissement » disent ceux qui aiment faire des phrases), les routes maritimes empruntées, les rôles d’équipages et autres documents précèdent l’arrivée du bâtiment au port depuis les années 50-60, via des réseaux de télex et de transmission Tor (protocole radio sans rapport avec l’onion router). Passons sur les Tabarly, Pageot, Kersauson ou Riguidel (tadadaaaa) qui ont popularisé l’usage de la téléphonie par satellite, de la géolocalisation GPS et balise Argos, de l’analyse météorologique basée sur la réception directe du réseau NOAA… Celui qui tient bon la barre et tient bon le vent, de nos jours, a plus souvent l’œil fixé sur son écran plat 20 pouces que le « nez dans la plume » bref, les TIC chez les marins, c’est un peu comme les inaugurations de chrysanthèmes pour les hommes politiques : une question d’habitude et une seconde nature.
Reste que les choses changent. Car lorsque l’on invente un terme marketing pour vanter les mérites d’une informatisation unifiée, l’on sous-entend très souvent le mariage d’une multitude de métiers via un réseau unique pas toujours étudié pour. Des moteurs au calcul de cap, en passant par la gestion/optimisation du fret, la coordination des logistiques terre/mer, le suivi de flotte etc., tout pourra être interconnecté nous promet-on afin de simplifier la transmission des flux entre métiers. Et c’est dans les détails que se cachent généralement les défauts les plus diaboliques. Les inquiétudes relatives aux récentes attaques et accidents «involontaires » ayant affecté des infrastructures Scada ont montré que le danger se situait toujours au niveau des jointures logicielles plus ou moins calfatées, des passerelles d’interopérabilités sabordées, des changements de technologies lof pour lof. Sans parler de l’arrivée d’équipements plus modernes censés à la fois faire économiser beaucoup d’argent et améliorer l’ergonomie générale des commandes de processus complexes. C’est ainsi que l’on a pu découvrir la présence de virus sur des architectures Wintel installées dans des complexes nucléaires, et que l’on est esbaudi des fournisseurs d’énergie ou de traitement des eaux qui ont eu le bonheur de retrouver les descriptions de leurs installations sur Pastebin… Sans oublier le jour où la Marine Française (nous savons ce qu’elle nous dit, la Mârine Frangsaiseu) a écopé d’une homérique invasion de Conficker en octobre 2009. A4-B9, Charles de Gaule touché-coulé. Depuis, les marins marris se marrent lorsqu’ils entendent parler de navigation et d’électronique. C’est plus l’homme qui prend la mer, c’est l’amer qui prend l’Ohm.
L’arrivée de la Marétique est donc une excellente nouvelle pour la profession de chasseur de failles, RSSI ou CSO en quête d’un bel uniforme. Ce terrain de jeu aux richesses insoupçonnées sera un très probable vecteur de fuites d’informations personnelles et industrielles. Car quelle que soit la méticulosité dont feront preuve les équipementiers, quelle que soit l’attention et le professionnalisme des intégrateurs, ce Scada marin prendra l’eau « par construction et par définition » pourrait-on dire. Espérons simplement que les « patch Tuesday » y seront appliqués avec célérité, et que l’on pourra sans état d’âme continuer, dans cette noble profession, à saluer tout ce qui bouge et repeindre tout le reste.