A méditer?
Par Véronique Rabuteau le mardi 19 août 2008, 22:27 - Communauté - Lien permanent
Deux affaires de piratage semblent "défrayer la chronique" en Angleterre et aux Etats-Unis: l'une concerne un groupe d'étudiants/chercheurs de l'Université Radboud en Hollande (Institute for Computing and Information Sciences) et l'autre un groupe d'étudiants du MIT (Massachusetts Institute of Technology ) aux Etats-Unis. Les premiers ont démontré une faille dans le système de cartes de transports en commun du métro de Londres (Oyster cards) - ils ont effectué une petite démontration en voyageant gratuitement et en pénêtrant dans un immeuble - les autres dans celui de Boston.
Je n'ai pas trouvé d'articles faisant le lien entre ces deux histoires, mais la technologie piratée dans la première semble bien être la même que la seconde(1). Il s'agit de la puce Mifare (fabriquée par Philips - NXP), utilisée pour les pass sans contact (en France on pourrait prendre l'exemple du Navigo de la RATP, bien que je ne sache pas s'il s'agit du même système). Ce système est utilisé dans beaucoup d'autres villes (aux Etats-Unis, en Asie, en Amérique du Sud, en Europe), et pour d'autres usages également. Je ne vais pas tenter de rentrer dans le détail du fonctionnement dudit système, même dans les grandes lignes (!). Ce qui m'intéresse, ce sont les réflexions et actions suscitées par ces deux cas.
Les premiers ont déjà publié un papier (un second est en attente de publication). La cour de justice hollandaise saisie sur l'affaire a débouté la plainte du fabricant. Les seconds n'ont pas publié. Ils devaient le faire lors de la Defcon Conference (Las Vegas) des hackers, mais un référé (établi à la demande de la société de transport MBTA de Boston les en a empêché).
Si il s'agit bien de la même technologie ceci n'aura pas servi à grand chose (d'autant que si un système est défaillant, il vaut mieux le savoir). D'après Bruce Schneier (l'un des experts mondiaux en sécurité informatique, responsable de celle-ci chez British Telecom), ceci n'est pas très étonnant. Le système en question n'était pas considéré comme sécurisé (le fabricant a depuis sorti une première version, puis une seconde en préparation, normalement plus sécurisée). Bruce Schneier rappelle au passage que plus un fabricant vous indique que sa technologie doit rester secrète...moins elle l'est en réalité.
Les juges hollandais ont débouté la société qui tentait d'interdire la publication en indiquant que les responsables ne sont pas ceux qui effectuent cette publication, mais bien le fabricant qui a mis en circulation un produit ou un logiciel qui comportait des risques évidents.
Aux Etats-Unis, le même type d'affaire provoque des réactions sur la liberté d'expression et le premier amendement de la Constitution (voir Internet Evolution et le billet de Ira Winkler. En argumentant sur le fait que les étudiants peuvent(doivent) s'exprimer de façon responsable et publique sur la question; le référé a-t-t-il lieu d'être; ne vaut-il pas mieux que la société de transports soit au courant, etc...
La différence est suffisamment criante pour attirer l'attention. Dans tous les cas de figure, elle rapelle que les utilisateurs d'internet que nous sommes (et des services utilisant ces technologies et la cryptographie), sommes de loin dépassés! Nous devrions nous transformer en experts en informatique, mathématiques, cryptographie, etc pour commencer à y voir clair et protéger vie privée et données des failles des outils et services.
Il me semble toutefois que les juges hollandais sont pleins de sagesse...
(1)Tout en écrivant, j'ai finalement trouvé cet article: ZDnet.fr EDIT: autre article sur le sujet paru dans Wired (21/08 et signé Bruce Schneier.
Commentaires
On est bien peu de chose...... jusque quand les juges seront-il à la hauteur???
Belle analyse. Effectivement nous sommes souvent dépassés, mais heureusement des experts veillent (comme dans ce cas, même si visiblement ils ont soulevé le problème plutôt que de le régler). Reste l'éternelle lutte entre black hats et white hats (mais là c'est plus du ressort de Bertrand ^_^)
@luptidej (j'aime bien ce nom là!): pour l'instant, en Europe en tout cas, ils tiennent la route!
@Modérateur: en fait, du côté de Bruce Schneier il y a des solutions, et chez d'autres aussi je pense, mais bon, chacun défend sa chapelle! Pour le reste...oui!
@luptidej: je repensse à "on est bien peu de choses" (oui, je suis blonde, et donc, il me faut un peu de temps pour réfléchir!!)
Le but du billet, c'est plutôt d'attirer l'attention sur ce que génère comme réactions ce type "d'incidents". Aux Etats-Unis, ils sont en plein débat sur la protection de la vie privée, avec des mesures qui se préparent, et qui, comme quasi toujours, vont finir par arriver par ici. Ca veut dire encore une fois (ds le désordre): copyright, droits d'auteurs, traçabilité des utilisateurs (prévue directement dans les logiciels et matériels, etc), articles de loi (il y a un juriste aux states qui publie là-dessus, sur la notion de "preuve" juridique via les e-mails, via les photos, etc); il serait urgent qu'on réfléchisse un peu( en France) si on ne veut pas se retrouver dans un univers Web à la fois inconscient et qui à peur (pour prendre les deux extrêmes)....
Il y a la Cnil en France pour le respect des libertés. N'y avait-il pas un projet de permis de conduire informatique initié par la Commission européenne, pour le respect de la "nétiquette"? L'avenir du Web 3.0 dépendra probablement du succès du Web 2.0. En France, j'ai l'impression que nous sommes loin derrière les allemands, les anglais, les indiens, les coréens du sud, les japonais et les américains, bien sûr. ZDnet.fr semble très lu par les acteurs réels de l'informatique... En plus des aspects humains de la sécurité des réseaux, la sécurité des composants dépend aussi des circuits imprimés... Merci pour ces télégrammes de Brest.
Erreur sur le lien, avec mes excuses.
Merci pour le passage et le commentaire Gé.
Merci pour ton passage et ton commentaire pendant mes vacances ton blog est sympas je viens de faire un petit tour passe un bon Week end
Avec plaisir! Merci à toi , et bon dimanche aussi!
Nice... Merci pour l'info.
Merci de ton passage. On apprend plein de choses chez toi.