Suites de différentes affaires ayant secoué la blogosphère sécurité ces derniers jours :
Joanna Rutkowska signale la mise à disposition du rapport et des « transparents » de sa toute dernière causerie traitant du hack de l’Intel TXT (Trusted Execution Technology) mentionné vendredi dernier à l’occasion de la Black Hat 2009 de Washington. Le rapport de recherche porte le titre de Attacking Intel Trusted Execution Technology, les « slides », quant à eux, sont de « belles images sans le son ». Le mélange des deux devrait faire comprendre à de rares experts la substantifique moelle du discours Joannien.
Egalement mentionné vendredi dernier, dans le cadre de Schmoocon, les travaux de Chris Paget sur le clonage des passeports à RFID « UHF » destinés aux frontaliers des USA. A force de malmener les « étiquettes intelligentes » et de prouver que leur usage est parfois –souvent même- mal adapté aux capacités dudit composant, un sénateur du Nevada a décidé d’interdire toute communication ou action spécifique au hack des RFID. Ce n’est, pour l’heure, qu’un projet de loi. Mais un projet fort gênant, si l’on considère que c’est au Nevada que se déroulent la BH d’été et la Defcon, principaux théâtres d’opérations où sévissent les spécialistes du genre. Loi prouvant une fois de plus que la « sécurité par l’obscurantisme » et la censure demeurent trop souvent l’unique réaction des politiques par rapport à un sujet qui les dépassent. Rappelons qu’en France, des textes semblables condamnent la publicité, la distribution, la détention et l’usage des principaux outils de tests de pénétration à partir du moment où l’usager n’est pas un expert patenté, reconnu et agissant dans le cadre précis d’une campagne de tests définis par contrat. Ceci probablement pour coller au plus près à la « réalité du terrain », celle des pirates… les vrais.
Après les barbouzes de la NSA, c’est au tour des Euroflics de s’inquiéter de l’imperméabilité de Skype. Paul Meller, de Network World, indique que la question des « écoutes VoIP » constituera l’un des principaux débats à l’occasion de la prochaine réunion EuroJust. EuroJust est un comité Européen de coordination des enquêtes et des poursuites judiciaires, chargé d’améliorer les communications entre autorités judiciaires des différents pays de l’Union. Ce serait l’Italie qui aurait le plus violemment attiré l’attention sur ce problème en particulier. Depuis un certain temps, les portes-flingues de la Mafia auraient pratiquement délaissé les lignes téléphoniques terrestres et les cellulaires de tous crins au profit de Skype, de sa fiabilité et de son chiffrement. Bien sûr, le « coupable » est montré du doigt, qui refuse de communiquer de quelque manière que ce soit l’art et la manière de poser des « bretelles » sur son réseau pour écouter les communications de ses abonnés.
Info ou intox ? Nul ne sait réellement –forces de polices mises à part- dans quelle mesure et surtout avec quelle rapidité il est possible de piéger un ordinateur tentant d’anonymiser ses communications, que ce soit à l’aide d’un programme VoIP propriétaire ou sous le couvert d’un tunnel tel que Tor, l’Onion Router. Nul ne sait non plus –faute de prise de position claire à ce sujet- quelle sera l’attitude d’eBay sur ce point : il est peu probable que la « récompense » promise il y a peu par la NSA ou que les pressions amicales des autorités d’Outre Atlantique ne l’incitent à garder le silence trop longtemps.