La seconde journée de la conférence HES était, en partie, destinée à un public un peu moins technique, grâce à trois présentations plus « humaines ». C’est Alex Triffault qui ouvrait le bal, en détaillant par le menu le travail d’un expert en recherches de preuves spécialisé dans le crochetage de serrures. Si, par tradition, chaque conférence sécurité possède qui son atelier, qui sa présentation traitant de l’art de savoir tutoyer les verrous, loquets et autres cadenas, il faut savoir, explique Triffault, que chacune des méthodes préconisées par les chatouilleurs de pistons et des cylindres laissent de légères griffures ou tonches indélébiles sur le métal des serrures. D’autant plus indélébiles que biens souvent les outils de crochetage sont en acier et le mécanisme des cadenas en laiton, plus tendre. D’un coup de binoculaire, l’expert relève immédiatement la signature de l’effraction, le type d’outil employé, et indirectement le degré d’expérience de l’adversaire. Parapluie ou crochet, vibreur ou « bumper », la marque de l’intrus est enregistrée et ce témoignage peut être versé dans les éléments de preuves au cours d’une enquête de police.
Venait ensuite l’une des présentations les plus attendues, celle de Raul « Nobody » Chiesa sur la sécurité des aéroports. Allait-on apprendre la présence de nouvelles failles spécifiques ? Qui donc, après une telle causerie, oserait encore monter dans un avion ? En fait de conférence, Chiesa a relaté les résultats d’un audit de sécurité et d’une campagne de pentesting effectués « intra » et « extra » muros d’un aéroport, campagne qui a révélé… ce dont tout le monde se doutait depuis longtemps : failles de sécurité dans les infrastructures WiFi destinées au public mais révélant des porosités avec le LAN interne, certificats dépassés ou dangereux, bug SSL, trous RDP Windows, avalanches de configuration et de mots de passe par défaut… il n’y a guère de différence avec ce que l’on a coutume de rencontrer en entreprises, que celles-ci appartiennent au cercle restreint des OIV ou non.
Bien sûr, à partir de certaines de ces failles, outre une attaque en chiffrement sauce Cryptolocker ou un déni de service généralisé, l’on pourrait imaginer quelques forgeries d’identités capables de faire passer un dangereux terroriste pour un innocent quidam, quand bien serait-il inscrit sur une « no flight list ». Bien sûr aussi peut-on craindre des fuites de données personnelles ou bancaires. Mais peut-on imaginer un péril frappant le moyen de transport lui-même ? Sur ce point, Raul Chiesa se contente de reprendre (tout en émettant des doutes légitimes) les affirmations de Chris Roberts, et tente de classer au rang des vulnérabilités les échanges en clair des transmissions ADSB et Acars. C’est, doit-on rappeler, également le cas des communications en modulation d’amplitude des aéronefs entre eux, mais également entre les aéronefs et la tour de contrôle, sans oublier les communications « au sol », que l’échange concerne un A380 ou le plus humble des « tagazous » monomoteurs. La verve transalpine pousse parfois le bouchon un peu loin.
Reste que l’avertissement de Chiesa mérite toute l’attention des sociétés de gestion aéroportuaires. Fin septembre, un groupe Anonymous s’en était pris aux systèmes de Saudi Airline. Au début de cette année, c’était Malaisia Airline qui avait fait les frais d’une opération-éclair orchestrée par le Lizard Squad, et en juin, c’était au tour de LOT, la compagnie nationale Polonaise, ainsi qu’une partie de l’aéroport Chopin de Varsovie, de succomber à une attaque informatique, causant l’annulation d’une dizaine de vols et un retard considérable dans le trafic national et international. Les compagnies aériennes ont, de tous temps, fait l’objet de menaces, car elles représentent leur pays d’origine. Les alertes à la bombe (et attentats réels) qui ont régulièrement frappé les agences d’Aeroflot ou de Turkish Airline prouvent à quel point ce risque a toujours été présent.
On peut presque regretter que l’équipe Chiesa se soit limitée à un pentesting réseau purement informatique. La périmétrie radio (télémétrie, services au sol, radars, systèmes de guidage et d’approche) de ce genre d’infrastructure est encore plus complexe et, par certains aspects, plus fragile compte tenu de l’évolution des techniques d’émission-réception depuis ces 20 dernières années. D’un point de vue purement binaire, la sécurité informatique des aéroports est préoccupante.
Ajoutons à la liste des hacks « compréhensibles par tous » la présentation (en anglais) d’un jeune homme de 13 ans « perceur de coffre-fort », et accessoirement fils d’un spécialiste de la sécurité des systèmes bancaires… la pomme ne tombe jamais très près de l’arbre. Le challenge n’était pas évident : comment récupérer un téléphone portable ou une console de jeu confisquée par d’indignes parents et enfermés à double tour dans un coffre-fort à clavier ? La réponse est presque trop simple : en installant discrètement une petite caméra dans l’axe du clavier en question et en attendant qu’un des parents y accède, révélant ainsi la combinaison. Et c’est sous un tonnerre d’applaudissement et l’œil ému de son père que le jeune orateur terminait son « lightning talk », en affirmant haut et fort « I’m a hacker, not a thief ».