août, 2013

Identifier, trier, contextualiser et hiérarchiser les vulnérabilités de réseaux, c’est le travail du tout nouveau QRadar Vulnerability Manager. Sur les quelques 15 000 signes que compte le communiqué de lancement, à peine apprend-on l’existence d’un IBM Security Network Protection XGS 5100 qui serait capable d’identifier les attaques à signaux faibles SSL et déployer des patchs virtuels en cas d’absence de correctif publié par l’éditeur.

Mon entreprise est-elle truffée de wanabe Snowden ou de proto-Mannings en puissance ? Lorsque l’ennemi de l’intérieur est à la mode (intérieur de l’Etat ou intérieur d’un ensemble industriel), les vendeurs de solutions de protection chantent à l’unisson. Faut dire que le cas particulier, le storytelling, l’émotion de l’évènement à chaud, ça secoue un peu plus la fibre anxiogène que les froides statistiques. Et comme accessoirement ça fait vendre….

Chez Dell, on associe les employés frustrés et les cyber-activistes (pour peu, on écopait des terroristes). Attention, prévient le Enterprise Brand and Executive Threat Surveillance team, ces infidèles sont capables de conduire des attaques encore plus sophistiquées qu’un déni de service ! Tremblez patrons, fuyez DirCom. Si les conseils de prudence distillés tout au long de l’article sont bels et bons (cloisonnement du réseau et des services IP, listes de bannissement IP, proxy et autres outils anti-DdoS etc.), il peut également être intéressant de se demander s’il n’existe pas une raison qui légitimerait ces attaques … L’humain n’est pas une ressource, une ressource, ça ne réagit pas sous la pression. Un type de question ou de remarque malheureusement absentes dans ce papier de Dell Secureworks.

Certes, certains employés sont réellement indélicats. La preuve, explique Brian Krebs, celui-ci qui fit écrouler le réseau de son ex-employeur, la société Concepta (œuvrant dans le domaine de la sécurité des S.I.). Par le plus grand des hasards, Kevin Courtois, cet amoureux du Syn ACK, avait monté son propre cabinet de conseils en protection contre… les attaques en déni de service.

L’affaire prend une tournure radicalement différente lorsque les attaques affectent non plus seulement Concepta, mais également le fournisseur d’accès de Concepta, l’opérateur Xittel. La presse s’en émeut, la police enquête, mais Xittel espère des résultats plus rapides, et engage un expert, Robert Masse. Lequel parvient sous couverture à obtenir des aveux du prestataire de services DdoS. Courtois est arrêté, Krebs narre par le menu la foultitude d’erreurs par excès de confiance commises par le pirate : quelques « like » sur Facebook de l’intéressé à l’attention d’un spécialiste des attaques DdoS, une intrusion consciencieuse de l’ordinateur de son ex-patron et quelques gaffes techniques dignes d’un débutant.

Il y a à peu près une semaine, ce sont 4 ingénieurs I.T. de la banque Goldman Sachs qui ont été relevés de leurs fonctions. Non pas pour avoir hacké les machines de leur employeur, mais pour avoir déployé une mise à jour plus que malheureuse ayant semé la perturbation sur les outils destinés aux traders. Les indications erronées ont à leur tour provoqué des échanges d’actions à pertes, et bien, précise l’agence Reuters, que plus de 80 % des ordres passés aient pu être annulés, Goldman Sachs a tout de même essuyé quelques pertes. La faute aux employés du service informatique, mais en aucun cas aux outils de « fast trading » et au système spéculatif dans son ensemble …

D’ailleurs, cette histoire prouve à quel point le monde de la finance sait que le crime ne profite jamais aux petites gens, mais aux cadres supérieurs et aux patrons. Ceux qui ont coûté le plus cher au système sont des Kerviel, des Adoboli, des Rusnak… encouragés en ce sens par quelques tonitruands « non-dits » les poussant à des pratiques très profitables. La science du storytelling est une arme à double tranchant.

Parfois, le système dérape sans même qu’il y ait le moindre échange de valeur boursière. Le juge d’instruction de Manhattan a inculpé cette semaine trois personnes coupables d’avoir volé des bouts de programmes issus de logiciels de trading automatisé employés par l’entreprise Flow Traders US LLC. Les portions de code étaient tout simplement exfiltrées à grands renforts d’échanges mails, nous apprend le WSJ. Tout le paradoxe de ce forfait est qu’il ne vole pas directement les richesses de l’entreprise, mais une partie de l’outil qui permet de fabriquer des richesses elles-mêmes créées sans que l’entreprise ne dispose du moindre outil de production ou du plus petit stock de marchandise. Des employés qui agissent à l’encontre d’une entreprise qui remplace l’humain par des robots, ça ne rappelle rien à personne ? Des entreprises qui se sont depuis toutes faites (ou presque) écraser par des concurrents asiatiques …

Sur l’air de Carmen, nos confrères de Die Zeit remettent sur le métier les suspicions portant sur le bon usage du TPM 2.0 dans Windows 8. Une première campagne, lancée peu de temps avant le lancement de Vista accusait déjà Microsoft d’utiliser la première version de la plateforme de confiance et les mécanismes d’authentification des exécutables comme une sorte de filtre à logiciels non approuvés par Microsoft d’une part, et un moyen de verrouiller les plateformes pour qu’aucun autre noyau ne puisse être installé sur les bases matérielles tépéhémisées d’autre part. Crainte paranoïaque de journaliste ? De source bien informée, affirment nos confrères, puisque l’alerte proviendrait du BSI, cousin germain* de l’Anssi. C’est ce même BSI qui avait été, il y fort longtemps à l’origine de conseils de prudence quant à l’usage de certains antivirus et autres outils de défragmentation de disques durs.

Lequel BSI émet une sorte de droit de réponse très diplomatique, expliquant qu’à l’instar des antivirus, les TPM constituaient un système capable de se prémunir contre bien des logiciels malveillants, mais que la nouvelle version pourrait devenir une arme à double tranchant pouvant se retourner contre son utilisateur dans le cas éventuel d’une erreur ou d’un bug situé soit dans la couche matérielle, soit dans la couche logicielle. Bug, qui, dans certains cas, pourrait devenir bloquant. Il n’est pas non plus inimaginable de voir en ces systèmes un moyen de sabotage à distance… l’usager doit garder cette possibilité en mémoire, surtout s’il dépend de l’Administration Fédérale. Et le BSI de préciser que l’idéal serait alors d’associer le TPM à un mécanisme opt-in qui permettrait à l’utilisateur, en fonction de son niveau de compétence et de ses exigences matérielles et logicielles, d’autoriser ou d’invalider l’action de la plateforme TPM.

En d’autres termes, la dénégation prudente du BSI, lue entre les lignes, pourrait revenir à dire « ce n’est pas au BSI de recommander un bannissement de Windows 8 au sein des rouages de l’Administration Fédérale, mais il y a là une sérieuse possibilité de cheval de Troie, à bon entendeur, salut. Mais nous restons en contact avec les éditeurs et OEM pour trouver une solution acceptable ». Si ça n’est pas à un coup de semonce, ça y ressemble beaucoup …

*Ndlc Note de la Correctrice : consternant… Ah que cet auteur est prévisible lorsqu’il flirte avec l’Almanach Vermot

Un scanner IP de plus, mais un scanner capable, affirment ses concepteurs, de balayer la totalité d’IPv4 en trois quarts d’heure, pour peu que l’on possède un accès Gigabit. Inutile de rappeler que l’usage, la détention, la promotion de tels outils est réprimée par la loi Française (probablement la seule au monde à faire preuve d’une telle « ouverture ») si l’on n’est pas soi-même professionnel du monde de la sécurité.

La publication universitaire traitant de l’outil tient dans un document de 15 pages. Zmap lui-même peut être téléchargé sur Github (les auteurs poussant d’ailleurs la simplicité jusqu’à indiquer comment installer libpcap… on frise la tentative de débauche de script kiddies).

Rappelons tout de même à nos quelques lecteurs qu’un scanner IP sert essentiellement à inventorier un réseau d’entreprise, effectuer une chasse aux appareils indésirables, détecter les numéros de version et failles probables d’un réseau.

Zmap a reçu les honneurs d’un article dans le quotidien du Sans ainsi qu’un papier de fond dans les colonnes du Washington Post, au fil duquel on apprend que le protocole HTTPS a progressé de 23% sur l’année, que l’Internet tout entier sommeille de 18 à 22 H ou que 16% des postes connectés au réseau des réseaux sont encore vulnérables à une attaque UPnP.

Le flop de Windows 8 /Surface aura eu raison de « l’Autre » patron historique de Microsoft. Steve Ballmer quittera la direction de l’entreprise dans les 12 prochains mois, après y avoir émargé durant plus de 33 ans. Sa fortune personnelle est estimée à plus de 15 milliards de dollars, il demeure l’un des principaux actionnaires de la Windows Company. Il laisse également aux autres actionnaires un trésor de guerre de 77 milliards de dollars, jalousement conservés et réinvestis par l’entreprise.

L’Autre, et non pas Le timonier de Microsoft. Gestionnaire volontaire,il cachait, sous un sourire jovial une rigueur pouvant aller jusqu’à la brutalité, « <i> dans notre pays, nous avons des lois contre des gens comme vous </i>» lança-t-il un jour à un journaliste un peu trop curieux … Adulé des « commerciaux », craint des techniciens, son règne fut marqué par la perte de personnalités marquantes comme de successeurs potentiels, le départ notamment de Jim Allchin ou Ray Ozzie.

L’Autre, et non pas Le timonier de Microsoft, jamais il ne parviendra à faire preuve d’autant de charisme que son prédécesseur. William Henry Gates III parlait à ses développeurs et partenaires avec un langage bien à lui, avec des mots « d’homme du sérail », conservant, dans ses complets mal coupés et ses impossibles paires de lunettes, un vernis geekesque. Gates savait juger un homme très rapidement, et s’entourait de talents qui profiteraient tôt ou tard à l’entreprise, quand bien même ce talent ne correspondait pas au profil d’informaticiens performants en complet-cravate. « Bill » parti, le temps des gourous et des divas s’achève, celui du « trait de génie » également. Certes, la logique d’entreprise et les impératifs de gestion d’une multinationale étaient déjà très éloignés du monde des krosofties des tous débuts. Mais les apparences étaient encore sauves.

On ne peut s’empêcher de penser à l’autre départ d’un autre « gestionnaire-qui-n’était-pas-le-gourou-technique », Steve Jobs d’Apple, qui a longtemps joué le rôle de l’Autre comparé à Wozniak. Un Jobs qui a su ne pas sombrer dans la jovialité exubérante, entretenant son image de marque et faisant de celle de l’entreprise un objet de culte réservé à une « élite de consommateurs ».

Ballmer a marqué la fin des « fuites organisées » et du teasing Windowsien, remplaçant la politique des petites phrases et des confidences savamment distillées par d’interminables campagnes « Beta Marketing ». Il y perdra beaucoup d’audience grand public, mais y gagnera également beaucoup sur le créneau de l’informatique d’entreprise : la famille Windows Server détient aujourd’hui une position quasi monopolistique- ainsi que sur le marché du Cloud Computing grâce au développement d’Azure.

Il laisse une entreprise avec une image de marque sérieusement écornée sur le créneau de la grande consommation, battue en brèche par Apple et surtout Google sur les fronts de la téléphonie mobile et des tablettes. Ballmer aura-t-il l’audace, même pour une courte période de transition, de demander à Gates de revenir à la barre, pour rendre à « krosoft » l’élan d’inventivité et la part de rêve qui a disparu avec lui ? La recette a bien marché pour Apple, mais elle a coûté cher à certains amours-propres.

Depuis le 9 de ce mois,le fournisseur de service mail Lavabit n’affiche plus qu’une seule page sur son site Web : l’annonce de la fermeture (temporaire ou définitive) de ses serveurs de messagerie, sous prétexte que l’entreprise ne peut plus assurer à ses clients la moindre confidentialité de ses correspondances depuis le début du scandale Prism. Une attitude, de la part d’une entreprise US, qui tranche très nettement avec le mutisme des Hotmail Microsoft, Gmail Google et autres prestataires tant de messagerie que de services Cloud.

Ladar Levison, le patron de Lavabit, fait de nouveau parler de lui dans une interview accordée à NBC, en déclarant « Je pourrais être arrêté pour cet acte ». La fermeture de son service peut être en effet considérée comme une obstruction au travail de la justice et des agents engagés contre la lutte antiterroriste. Lutte d’autant plus acharnée depuis que Edward Snowden aurait utilisé un compte Lavabit pour organiser une rencontre avec quelques journalistes dans l’aéroport de Moscou.

Pour Levison, il s’agit là d’un cas de conscience. Donner accès aux contenus de ses serveurs le rendrait « complice de crime contre le peuple américain », dans l’autre, il deviendrait hors la loi en refusant de se soumettre à une disposition gouvernementale justifiée par des motifs de sécurité nationale. Ethique contre civisme ou respect de la loi et de l’ordre, la décision n’est pas facile à prendre. Levison (et ses employés) sont sur le point d’être tous au chômage. On est très loin d’une simple question rhétorique.

A peine rendue publique, la décision de Levison en a entraîné une autre, celle de l’occultation de GrokLaw, un site d’informations légales et juridiques situé entre le blog et le serveur d’archives. On y trouve notamment tout l’historique du procès SCO/IBM/Novell/RedHat, Microsoft vs la Commission Européenne…

Sans messagerie, il est impossible d’assurer le fonctionnement de Groklaw. Là est le hic. Et « if we knew what he (Ladar Levison, ndlr) knew, we’d stop too » est-il écrit en première page du site. Le « Grok » de Groklaw vient d’un verbe inventé par Robert Heinlein, dans le roman « En terre étrangère ». Il signifie boire, absorber, comprendre dans toute sa plénitude. Une compréhension qui n’est possible que lorsque toutes les conditions d’accès à l’information et à la préservation de l’anonymat des sources sont garanties.

Cela faisait longtemps que l’on n’avait entendu parler d’une régression aussi intéressante : une vulnérabilité relativement confidentielle (autrement dit non exploitée « dans la nature ») a fait l’objet d’un colmatage lors du précédent patch Tuesday du 13 août dernier. La rustine en question rectifiait une instabilité dans un rouage plutôt critique des infrastructures serveur : les Active Directory Federation Services. Jusque-là, tout va bien… ou presque, puisque certains blocages ont commencé à se produire après application du remède, allant parfois, affirme Graham Clueley, jusqu’à bloquer le service d’authentification inter-annuaires. Redmond a donc dû « repousser » un correctif en date du 19 août, passé pratiquement inaperçu.

Cet incident ne concerne que les entreprises travaillant avec une fédération d’annuaires hétérogènes ne dépendant pas nécessairement d’un même domaine ou forêt. Ces entreprises de taille respectable possèdent en général une équipe de sécurité qui effectue systématiquement des tests de non-régression avant tout déploiement de correctif, surtout si celui-ci concerne une pièce maîtresse telle que les Active Directories. Cette habitude remonte à l’époque des « service pack maudits » qui étaient, à la haute époque NT 3.5/NT4.0, capables de ravager une armée de PDB/BDC aussi sûrement qu’une charge de uhlans déferlants sur Somosierra.

Sur l’air de « on regrette, on a peut-être exagéré », McAfee, en la personne de son CTO Mike Fey revient sur l’estimation des « pertes occasionnées par le cybercrime », lesquelles était estimées par le vendeur d’antivirus à près de un trillion de dollars . Un trillion anglo-saxon (échelle courte) correspond à mille milliards de dollars, soit l’équivalent d’un de nos billions. Ouvrons ici une parenthèse pour rappeler que le trillion non-anglo-saxon (échelle longue) correspondant à un milliard de milliard, ce qui n’a pas franchement embarrassé certains de nos confrères qui ont repris à l’époque l’information avec son erreur de traduction. Les grands massacres ne comptent pas les morts avec une précision inférieure à 3 ou 6 zéros. Dans tous les cas, le chiffre est difficile à avaler, et montre à quel point les boutiquiers de la sécurité adorent surfer sur les vagues anxiogènes.

L’estimation des pertes suite à un sinistre informatique connaît généralement deux méthodes de calcul : en premier lieu, celle des compagnies d’assurance, qui repose peu ou prou sur les pertes directes lorsque celles-ci sont prouvées, factures à l’appui. La seconde méthode consiste à additionner tout ce qui tombe sous la main du Directeur Financier. A commencer par les coûts de renforcement des outils de défense périmétrique et de détection d’intrusion, investissement en général constamment reporté par ce même Directeur Financier sous prétexte de rentabilité impossible à prouver. L’estimation du hack du New York Times par Adrian Lamo est un des exemples les plus criants de cette façon de voir les choses.

S’ajoutent à ce coût du laxisme par procrastination économique diverses dépenses connexes, notamment celles incluant les pertes conséquentes probables. Par exemple, le vol d’une identité bancaire peut à son tour induire une perte par vol pour le possesseur du compte. Se confondent alors les notions de risque et de sinistre, rares étant les médias capables de distinguer, dans cet embrouillamini comptable, le montant exact des pertes.

On ne peut que remercier Mike Fey pour sa franchise. Il reste à espérer que cet aveu soit transformé en une véritable politique de transparence et d’exactitude. Les « cybercrime annual report » publiés à grand frais par les multiples commerçants du monde de la sécurité n’en deviendront que plus crédibles… peut-être.

La vision que les quotidiens US (y compris ceux que l’on pourrait soupçonner d’opinion conservatrice) est assez critique lorsqu’elle traite des récents évènements ayant secoué les TIC ces dernières semaines. Pris au hasard, ou presque, trois articles du PilotOnLine (Norfolk). A commencer par l’annonce de la sentence à 35 ans de privation de liberté pour Bradley Manning. Traître à la patrie ou défenseur de l’honneur militaire ? Le tribunal s’est montré « moyennement clément » pour l’homme qui a révélé les bavures de l’armée US sur les terrains d’opération (notamment l’assassinat de journalistes) et diffusé plus de 700 000 documents confidentiels traitant des guerres d’Iraq et d’Afghanistan. Mais les charges d’entente avec l’ennemi et d’espionnage n’ont pas été retenues contre lui, ce qui fait dire à certains (les porte-parole de Wikileaks …) que grâce aux mécanismes de liberté conditionnelle, Manning pourrait voir le ciel dans 8 ou 10 ans.

On ne peut s’empêcher de se demander dans quelle mesure le procès de Manning n’était pas aussi une sorte de procès Snowden par contumace. Il est difficile, voire impossible pour un jury ou un juge, de ne pas être influencé par l’actualité et par les propos extrêmes proférés par nombre de sénateurs. Et le quotidien de Norfolk n’est pas le dernier à faire le parallèle.

Encore une tranche de PilotOnLine, du lendemain cette fois, avec les « révélations » sur les dérapages de la NSA considérés comme contraire à la Constitution des Etats-Unis. Une information rendue publique grâce à l’EFF suite à un procès contre le gouvernement. L’EFF réclamait l’application de la loi sur la transparence de l’information (FOIA) à propos des avis émis par la Foreign Intelligence Surveillance Court. Laquelle condamnait les agissements de la NSA, condamnation émise en 2011 mais demeurée secrète jusqu’à présent.

Si l’on tourne une fois de plus une page du PilotOnLine, on tombe sur une… affaire d’espionnage. Cette fois, il s’agit d’un ancien militaire chiffreur de la Navy qui vendait des informations secrètes à des espions Russes… lesquels espions n’étaient autres que des agents sous couverture du FBI. Lorsque les barbouzes se font rares, il suffit d’en inventer, et de tenter le premier lampiste venu dans le cadre d’une opération de provocation. Entretien du climat psychotique général ou cours normal de l’espionite aiguë qui frappe les Etats-Unis ? Par moment, on se croirait revenu aux grandes heures du Maccarthysme. Mais contrairement aux années 50, l’ennemi n’est plus réellement le « rouge ». Il est diffus, il prend tantôt le nom de terroriste, tantôt d’ennemi intérieur, tantôt de djihadiste, ou encore d’adversaire économique.

De tous temps, les USA ont eu besoin d’un pendant militaro-politique pour canaliser leur énergie. L’unité nationale contre l’Angleterre coloniale, puis contre l’Espagne, plus tard l’Allemagne, puis contre l’URSS. Lorsque s’est effondré l’adversaire historique, le Grand Large s’est senti totalement déstabilisé, période marquée par le début des opérations militaires extérieures anti-terroristes et la quête d’un sparring-partner à sa mesure. Cet ennemi existe-t-il ailleurs que dans la vision que l’Amérique porte sur le reste du monde ? Pour l’instant, le Nouveau Monde boxe dans le vide, incapable de frapper un insaisissable et invisible adversaire

Si l’on se rapporte aux documents déclassifiés, on se rend compte que les démons seront difficiles à combattre. L’espionnite a métastasé tout le tissu administratif US. En 2011, le juge James D. Bates révélait que, trois ans durant, la NSA a fouillé dans les emails et archives téléphoniques de plus de 56 000 citoyens Etats-Uniens qui n’avaient strictement aucun lien avec la plus petite enquête anti-terroriste. Pis encore, ce même juge s’étonne que les membres du gouvernement se soient rendus coupables de « présenter sous un jour inapproprié » (l’expression exacte est « fausse déclaration », misrepresentation) l’étendue du programme de surveillance électronique de la NSA (This court is troubled that the government’s revelations regarding NSA’s acquisition of Internet transactions mark the third instance in less than three years in which the government has disclosed a substantial misrepresentation regarding the scope of a major collection program) Trois mensonges en trois ans, on peut se demander si cette attitude n’a pas perduré après 2011.

Mais ce qui ressort le plus souvent en parcourant la presse d’Outre Atlantique, c’est l’étonnement face au fait que la Raison d’Etat et le caractère « top secret » de ces informations aient pu aussi facilement servir à camoufler des agissements qui ne relevaient absolument pas du secret d’Etat. Le « confidentiel défense » au secours des bavures de basse police en quelques sortes. Ce qui jette un discrédit général (bien que non ouvertement exprimé) de la presse sur le coupable aveuglement tant des Députés que des Sénateurs, dont le rôle est précisément de veiller au respect de l’esprit des lois et de la Constitution du pays.

Plus qu’une vague affaire d’espionnage, l’Amérique pourrait bien souffrir d’une crise de confiance politique. Tout ça à cause d’un abus de nouvelles technologies, d’emails, de flux VoIP et autres Internetteries, si faciles et si tentantes à surveiller.

Matthew M. Aid, auteur d’ouvrages sur la NSA et éditorialiste-blogueur, attire l’attention de ses lecteurs sur l’aspect « effrayant » de petits quadcopters télécommandés.

Pourquoi « effrayant » ? Parce qu’au cours d’une manifestation en Allemagne, l’un de ces appareils équipé d’une caméra a pu pénétrer dans l’espace aérien d’un camp de la NSA et prendre quelques images du parking attribué à cette fascinante synthèse de l’esprit et du muscle que sont Les Barbouzes.

Il n’est pas inutile de rappeler que l’aéromodélisme, que l’on désignait autrefois sous le sobriquet de « F1000 » (du nom de la licence d’exploitation radio qu’il fallait alors détenir) est une activité ludique qui existe depuis une bonne cinquantaine d’année, tant en France qu’aux Etats-Unis. Que la mode des quadcopters et autres ballons captifs, si elle a largement contribué à rajeunir le mouvement, n’a en rien, ou presque, modifié ses pratiques. Et qu’une agence de super-espions dont les secrets seraient compromis par une caméra montée sur hélices aurait quelque intérêt à revoir en profondeur ses fondamentaux.

Mais là n’est pas le fond de la question. A périodes régulières, des éditorialistes s’émeuvent des risques que représenteraient les jardiniers, utilisateurs de désherbants à base de chlorate (alors on interdit le chlorate par décret), craignent que l’usage généralisé de raticide entraîne une vocation chez certains lecteurs d’Agatha Christie (et l’on réserve la vente de certains produits au seul usage de professionnels), s’imaginent que la possession d’un scanner IP ou d’un CD de Backtrack transforme le primo-informatisé en dangereux pirate (et l’on promulgue une loi sur la confiance numérique qui stigmatise chaque usager et la lui fait totalement perdre, cette fameuse confiance numérique). La science, qu’elle soit chimique, électronique, physique ou mécanique, fait peur à certains politiques, et notamment à ceux particulièrement doués d’imagination pour tout ce que Bruce Schneier appelle les « incredible movie plot », ou scénarii catastrophe hautement improbables.

Monter un four à plasma, jouer avec un quadcopter miniature, fabriquer de toute pièce un émetteur-récepteur logiciel capable de décoder quasiment tous les types de modulation possibles traînant sur le spectre radioélectrique, apprendre la chimie et la biologie par la pratique, synthétiser des nanoparticules de carbone, plancher sur l’art et la manière de mettre à mal, puis renforcer, les défenses périmétriques d’un réseau informatique, cela s’appelle du hacking. Et c’est, pour l’heure, la meilleure filière de formation pluridisciplinaire, polytechnique qui soit. C’est par le développement de hackerspaces et fablabs, par l’encouragement de ces structures de recherche et d’échange de connaissance qu’un Etat peut espérer voir « aussi » se développer des compétences qui donneront naissance à des pépinières de startup : le culte du garage qui donna naissance à des Microsoft, à des Apple ou HP existe toujours. Mais prenons garde à ne pas tuer dans l’œuf ces élans d’inventivité sous prétexte de risques probables.

Les radioamateurs (hackers d’installations wireless) existent depuis les années 20, les chimistes amateurs depuis plus longtemps encore, et le fardier de Cugnot, bricolage diabolique qui terrorisa quelques vaches et détruisit quelques murs, est contemporain de la Révolution Française. Ils n’ont, jusqu’à présent, provoqué aucun Armageddon.