Spécial sécurité : la Hadopi, coupable mais pas responsable

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, se délectent des faux pas de la Haute autorité chargé de faire la police sur le Net (la fameuse Hadopi). Cette dernière a envoyé ses premiers messages d'avertissement aux internautes sous forme de mails. Déclenchant une vague d'exploitation mafieuse de son message, qui a désormais de bonnes chances d'être considéré... comme un spam.

Sommaire

1 - Hadopi : coupable, mais pas responsable

2 - Disque dur « chiffré » : la chambrière démoniaque joue du fer à souder

1) Hadopi : coupable, mais pas responsable

C’est probablement là la première réaction officielle de la Haute Autorité sur ce sujet, réaction que nous rapportent nos confrères du Monde, avec un papier intitulé « La Hadopi met en garde contre de faux courriels d'avertissement ». Car en choisissant, pour son premier avertissement, un moyen de communication non fiable, facile à usurper et impossible à certifier (voir le précédent Verisign / Stuxnet), la Haute autorité ne pouvait ignorer que sa décision entraînerait une vague d’exploitation mafieuse de son fameux « courriel de premier avertissement ». Quelques vagues folliculaires en mal de copie avaient bien des fois évoqué ce risque. On ne peut donc douter de la compétence technique des principaux responsables de cette Hadopi, et en conclure que personne en son sein ne pouvait manquer de prévoir ce genre de détournement. Ergo, la chose a été faite en connaissance de cause.

En connaissance de cause, ces mêmes membres de la Commission ne peuvent ignorer que le premier bénéfice du battage Hadopi a également été de sensibiliser les usagers sur la nécessité d’installer des logiciels de protection périmétrique, sous peine de se voir infliger une « amende pour incompétence informatique ». Depuis quelques mois déjà, firewalls OpenOffice, antivirus, antispam se déploient à tour de CD chez les particuliers… Avec pour première conséquence le fait que lesdits antispams filtreront très rapidement et avec efficacité tout ce qui ressemblera à un email de phishing portant l’estampille Hadopi, comme ils le font déjà avec tout ce qui porte la marque Viagra ou Cialis.

La conclusion de ce syllogisme semble donc indiquer que tout a été mis en œuvre pour que jamais ne soient reçus ces emails d’avertissement, et pour que la véritable « semonce » de l’Hadopi se fasse par lettre recommandée… avec la certitude alors de tenir un véritable « coupable » multirécidiviste.

Mais c’est bien connu, les syllogismes, c’est rien que de la phrase creuse qui sert à apprendre qu’un cheval bon marché est cher ou que Socrate était un chat. Les emails d’Hadopi sont techniquement prévus pour se faufiler entre les (e-)mailles des filtres et sauront déterminer avec précision la correspondance d’un alias de messagerie et d’une adresse IP (un RFC est d’ailleurs en cours de rédaction à ce sujet). Pas de quoi justifier l’intervention d’un juge ou d’un expert. D’ailleurs, si jamais un courriel d’hameçonnage venait à faire des ravages en copiant trop précisément ces fameuses « techniques de contournement », cette même commission serait à même de faire taire ces vils usurpateurs, qu’ils se cachent dans les bas-fonds de la banlieue de Saint-Pétersbourg ou aux confins du désert du Sin-Kiang.

Demain, nous aborderons le passionnant sujet : « les ventes de scarewares boostées par le délit de négligence ? » … ou pas.

2) Disque dur « chiffré » : la chambrière démoniaque joue du fer à souder

Le blogueur Sprite_TM nous enseigne comment contourner la protection d’un disque dur sécurisé utilisant une interface de chiffrement matérielle. Le Disk Genie est en fait un disque dur externe tout à fait conventionnel, accompagné dans le cas présent d’une interface USB et d’une carte chargée du chiffrement des données au vol. Que ferait un pirate pour attaquer un tel conteneur de données ? Il lancerait une attaque en brute force pour découvrir le mot de passe et par conséquent l’accès à la clef de chiffrement.

Mais les concepteurs ont prévu ce scénario : ils interdisent à l’usager d’entrer plus de trois sésames erronés. Passé ce nombre de tentatives, le disque se verrouille définitivement et refuse toute nouvelle tentative d’accès… même après mise hors tension de l’ensemble. En examinant le près la fameuse électronique de contrôle, l’auteur a découvert que le cœur de ce système de protection était un simple contrôleur PIC série 16F, avec un compteur incrémental en eeprom comptant les tentatives de logon erronées. Une écriture en mémoire qui provoque une légère surconsommation. Ce détail découvert, il suffisait à l’auteur d’utiliser cet appel de courant (détecté via une résistance série et une légère connaissance de la loi d’ohm) pour piloter un trigger qui, à son tour, allait désactiver l’entrée « Write Enable » du PIC. Le compteur n’est plus incrémenté, le hacker peut alors lancer n’importe quel outil de bruteforcing, il ne craindra plus aucun verrouillage de disque. Simple comme l’œuf de Christophe Colomb. Les attaquants plus subtils peuvent également utiliser les rainbow table ou la technique de la « chambrière maléfique » développée par Joanna Rutkowska.

Sprite_TM nous avait déjà offert un hack fort semblable appliqué à une clef usb prétendument sécurisée, et qu’un simple strap rendait totalement sourde aux tentatives répétées de découvertes de mot de passe. Parfois, deux gouttes de soudure sont plus efficaces que 100 lignes d’assembleur.

Pour approfondir sur Réglementations et Souveraineté