Spécial sécurité - ACTA : les ministres intègres existent… encore
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, feuilletonnent sur le thème des projets de lois sécuritaires, en s’appuyant, pour commencer, sur la signature d’Acta par une ministre slovène, en s’interrogeant sur les conditions d’accès aux données privées par les autorités, puis en pointant du doigt la loi sur le secret des affaires. Nos confrères inscrivent ensuite dans notre agenda la nuit du hacking helvète, Insomni’Hack 2012, avant d’attirer notre attention sur des méthodes de hacking de terminaux iOS.
Sommaire
1 - ACTA : Les Ministres intègres existent… encore
2 - Les ministres intègres sont-ils toujours informés ? (suite)
3 - Les ministres intègres sont-ils toujours informés ? (fin)
4 - Il t’emmène au bout de la nuit, le démon du hacking…
5 Casser de l’iPhone « for fun and profit »
1 - ACTA : Les Ministres intègres existent… encore
La nouvelle a fait le tour de la blogosphère en l’espace d’un Twitt : Helena Drnovšek Zorko, dépendant du Ministère des Affaires Etrangères de Slovénie, ayant rang d’Ambassadeur au Japon, publiait en fin de semaine une lettre d’excuses pour avoir, « par négligence politique », osé signer Acta ( accord commercial anti-contrefaçon ). Un accord dicté par sa hiérarchie, mais qui a valu à cette grande servante de l’Etat une avalanche d’emails de protestations et d’explications. Laquelle avalanche de protestations a permis à Madame Drnovšek Zorko de reconsidérer sa position et convenir qu’elle avait joué un rôle de « député godillot ». Cette attitude de contrition responsable tranche avec l’usage Français, de droite comme de gauche, qui consiste soit à demeurer « droit dans ses bottes », soit à « fermer sa gueule ;[et] si ça veut l'ouvrir, à démissionner ».
2 - Les ministres intègres sont-ils toujours informés ? (suite)
Il faut dire que les occasions de voir des ministres ou grands fonctionnaires ruer dans les brancards manquent de moins en moins dans le domaine des lois sécuritaires. Mais les réactions sont moins épidermiques sur l’axe Brest-Strasbourg. Malgré une dangerosité mille fois moins élevée qu’un week-end de pentecôte, le risque de vol et d’usurpation d’identité a fait passer sans anicroche le projet de loi sur le fichage biométrique des « gens honnêtes ». Le blog Barabel donne une analyse dépassionnée de la question. En omettant toutefois de tirer deux perspectives, l’une historique, l’autre technique.
La première perspective, c’est celle qui consiste à se demander non pas « si », mais « quand » les institutions ayant un droit d’accès à ces fichiers, et notamment la police nationale, systématiseront les accès à ces données menant à un usage abusif de ces dernières. Les lois considérées comme justifiées aujourd’hui peuvent se transformer en redoutables instruments de bigbrotherisme demain… la démocratie est une chose si fragile et surtout si instable dans le temps. La seconde perspective est purement technique. En gravant dans les tables de loi ce fichage biométrique systématique de tous les citoyens (ou de tous ceux demandant une carte d’identité ou un passeport), on prend le risque de transformer ces mesures d’identification en objets d’authentification… Dans le domaine informatique, le propre d’une authentification est d’être répudiable… Remember Diginotar, remember RSA, des accidents pourtant réputés hautement improbables… voire impossibles. Comment s’appelle alors la procédure de répudiation d’une signature biométrique conservée par l’administration ? Combien de députés se sont posés la question ?
L’on pourrait également s’interroger sur la façon dont une telle loi a été présentée. Aurait-on suggéré de créer un fichier d’empreintes biométriques de tous les automobilistes verbalisés pour stationnement interdit (voir même d’excès de vitesse) que l’on aurait entendu une clameur monter de tous les fauteuils de l’Assemblée. Mais aucune réaction lorsqu’il s’agit d’éviter d’« ouvrir une centaine d’enquêtes dans le cadre d’une plainte pour vol d’identité », un argument par défaut qui met en avant l’efficacité des outils offerts à la Police chargée de rechercher les voleurs d’identité, et non le fichage des personnes innocentes.
Ajoutons qu’après l’article de nos confrères d’Owni, Mediapart a également abordé le sujet. Aucun écho dans la presse audiovisuelle.
3 - Les ministres intègres sont-ils toujours informés ? (fin)
Encore une dernière loi dictée par des impératifs de sécurité et passée pratiquement sous silence. Il s’agit de l’invention de la notion de « secret des affaires », qui donne à une entreprise le droit d’estimer ce qui relève du secret professionnel et ce qui peut être rendu public. De manière très schématique, ce texte, voté par l’Assemblée Nationale et proposé par le député UMP Bernard Carayon donne aux Directions de la Communication un droit de vie et de mort sur la liberté d’information en France, dès qu’elle touche à une entreprise… particulièrement de grande envergure. Notre consœur Sophie Fay, du Nouvel Obs, pose la question de manière synthétique : aurait-on, aujourd’hui, le droit de soulever une affaire comme celle du Mediator ou des implants mammaires ? Aurions-nous encore la possibilité de douter et de critiquer les déclarations d’un porte-parole d’Areva suite au piratage d’un de ses réseaux ? Et dans quelle mesure cette loi Carayon ne rend-elle pas totalement caduque les obligations de déclarations à la Cnil en cas de perte ou de vol de fichier nominatif ? Faute inavouée et protégée par le secret des affaires n’est pas à pardonner.
4 - Il t’emmène au bout de la nuit, le d&eacu te;mon du hacking…
Le vendredi 2 mars prochain aura lieu l’incontournable nuit Helvétique du hacking, la désormais fameuse Insomni’Hack 2012. Il s’agit là probablement du CTF le plus important de la région alpine. Cette manifestation, organisée par SCRT, se déroulera dans le centre de Genève, à l'HEPIA, 4 rue de la prairie (prévoir un compte off-shore pour s’acquitter des 40FS de vignette autoroutière, à usage unique pour certains)
Un cycle de conférences techniques débutera, pour la deuxième année consécutive, dans la journée précédent le concours de hacking. Passé 20 heure, les organisateurs tolèrent l’usage de certains produits dopants tels la Tome de Savoie, l’Abondance ou le véritable Gruyère (sans trou). L’usage de liens Internet par liaison GSM est très mal vu des compétiteurs, les ressources locales mises à la disposition des participants devant a priori suffire. Cette générosité ne va tout de même pas à fournir les outils de première nécessité (Backtrack, Wireshark et autres Nmaps ne sont pas offerts par la maison).
5 - Casser de l’iPhone « for fun and profit »
Security Exploded vient de mettre en ligne un guide entièrement consacré à l’analyse forensique des machines sous IOS, guide reposant sur l’utilisation des outils développés par les laboratoires de Sogeti. Même si l’on ne s’intéresse ni aux techniques de dump mémoire avancées, ni aux subtilités des attaques en brute force, on peut parcourir les premiers paragraphes qui expliquent de manière très didactique les méthodes employées. Une séquence vidéo commentée détaille les différentes étapes nécessaires pour retrouver le numéro de téléphone disparu de Tante Ursule.