Spécial sécurité : le tout premier "hack quantique" publié
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, évoque longuement une première : une attaque de type man-in-the-middle sur réseau quantique. Le principe de l’attaque est relativement complexe. Il nécessite, comme le décrit avec précision l’article des trois universitaires à l'origine de l'exploit, l’installation d’un point d’interception situé près des installations du dit réseau. Nos confrères s'attardent également sur Chrome 5, le rachat de Trust Digital par McAfee, une fuite de données sur un site d'emploi britannique et, enfin, le premier bulletin d'alerte Scada de Cisco.
Sommaire
1 - Le tout premier "hack quantique" publié
2 - Google Chrome multiplateforme et chiffrement
3 - McAfee absorbe Trust Digital
4 - Fuite du site d’emplois JobSearch UK
5 - Faille Cisco Scada
1 - Le tout premier « hack quantique » publié
Jusqu’à présent, le piratage d’un réseau quantique (ou plus exactement du brin QDK d’un réseau quantique) reposait sur des défauts matériel et non sur le principe de fonctionnement même du réseau. Ainsi l’attaque par « aveuglement » de Bob et modification de son régime de fonctionnement. Trois chercheurs de l’Université de Toronto, Feihu Xu, Bing Qi et Hoi-Kwong Lo, sont parvenus à monter une véritable attaque «WIM » (Woman in the middle, Eve étant pas définition et par construction une femme). Le principe de l’attaque est relativement complexe. Il nécessite, comme le décrit avec précision l’article des trois universitaires, l’installation d’un point d’interception situé près des installations d’Eve.
Lors de la création de la clef quantique (QDK), Bob envoie une double impulsion laser. Elle sert non seulement à synchroniser la transmission et d’autre part à générer le photon unique qui sera renvoyé vers Bob. Le coup de « flash laser » est tout d’abord modulé en phase par Eve, puis atténué jusqu’à obtenir le « photon unique » qui servira à la construction de la clef quantique. Ca, c’est ce qui se passe en temps normal. Mais lors de l’attaque imaginée par les chercheurs de l’Université Canadienne, Eve intercepte ce flash laser et lui fait subir un léger décalage temporel. Décalage qui aura pour conséquence de modifier la modulation de phase effectuée par Alice. S’en suit alors une série de comparaisons de la phase du signal par Eve, qui renvoie ou non, selon le résultat, un signal à destination de Bob. L’élégance de la solution consiste surtout à respecter le « Qbit error rate » moyen constaté sur de tels réseaux et imposé par le protocole BB84. Ce Qber est généralement spécifié aux environs de 20% (taux d’erreur généré par le bruit et autres accidents de transmission). Le taux d’erreur généré par l’intervention d’Eve lors de son attaque en « réallocation de phase », précisent les chercheurs, se situe aux environs de 19% et quelques dixièmes, et demeure donc non détecté par Bob. Le réseau semble fonctionner normalement.
L’attaque a été modélisée sur des équipements commerciaux, insistent les trois chercheurs. Et plus précisément sur une plateforme ID Quantique, fabriquée par l’entreprise Helvétique du même nom. Les contremesures permettant d’éviter une telle interception sont d’ores et déjà mises au point, consistant notamment en un resserrement des taux d’erreur admis et un meilleur contrôle des écarts temporels séparant les deux impulsions émises par Bob (mettant ainsi en évidence le décalage temporel induit). Eve, de son côté, pourrait combiner plusieurs types d’attaques avec pour première conséquence l’obtention d’un Qber plus faible encore, et donc plus difficile à détecter.
2 - Google Chrome multiplateforme et chiffrement
Google fait coup double en publiant une nouvelle version « stable » de son navigateur Chrome, et d’autre part en ouvrant un service encore expérimental de chiffrement des requêtes effectuées sur son moteur de recherche.
La sortie de Chrome 5 n’est pas révolutionnaire en soi, le programme étant largement et depuis longtemps diffusé en préversion. C’est cependant la première fois qu’une version finale de Chrome est disponible en même temps sous Windows, OS/X et Linux.
La « VPNisation » des requêtes Google, en revanche, provoque quelques soulèvements de sourcils dans la communauté des Webmestres. Si cette fonction limite les risques d’intelligence économique par simple examen des requêtes d’une entreprise (Google conserve son « droit de regard » par construction), elle supprime également toute trace de « référant »… ce qui n’arrange pas la bonne tenue des statistiques des sites visités.
3 - McAfee absorbe Trust Digital
McAfee vient d’annoncer son intention d’acquérir Trust Digital, spécialiste de l’administration/sécurisation des parcs de téléphones « intelligents ». Le montant de la transaction n’a pas été précisé, la finalisation de l’accord devant s’effectuer fin juin. Trust Digital commercialise une plateforme d’administration destinée à étendre les politiques de sécurité de l’entreprise aux flottes de mobiles (iPhone, Android, Windows Mobile, Symbian, Palm…). En toute logique, les produits et techniques de Trust Digital devraient être intégrés dans un premier temps au sein de la gamme Mobile Protect /Mobile Security destinée aux grandes entreprises, opérateurs et fabricants.
4 - Fuite du site d’emplois JobSearch UK
JobSearch Grande Bretagne prévient ses usagers que son site aurait été piraté. Ce serveur Web, spécialisé dans les offres et demandes d’emplois, n’aurait pourtant, assurent ses responsables, laissé fuir aucune information personnelle ou curriculum vitae… « seulement quelques logs de connexions ». La page d’alerte indique cependant qu’une procédure de réinitialisation de tous les mots de passe a été entamée, par mesure de précaution.
Cette mésaventure rappelle le double accident de Monster.com, site international relativement semblable et possédant des antennes en France, dont les bases de données avaient été piratées notamment courant janvier dernier. Dans ce cas également, une campagne d’incitation au changement de mot de passe avait été lancée. Certaines données personnelles avaient été exposées. La première « fuite » de Monster, courant 2007, aurait porté sur près de 1,3 millions de comptes.
Le taux de chômage dans les différents pays d’Europe en général et en France en particulier étant en croissance constante, il est évident que la récupération de fichiers nominatifs peut servir les intérêts d’escrocs de plus en plus intéressés par cette clientèle. Phishing, scam, recrutement de réseaux de mules, carambouille à « l’intermédiaire financier », tous les moyens sont bons pour saigner des victimes souvent déstabilisées, dans une situation de détresse morale et financière parfois critique. La responsabilité des exploitants du « chômage-business » n’en est que plus grande et les fuites d’autant plus inexcusables.
Cisco publie probablement le premier bulletin d’alerte Scada de son histoire, en signalant l’existence d’une faille dans NBM, le Cisco Network Building Mediator. Ce NBM est en fait l’évolution d’une gamme de produits provenant du rachat de Richards-Zeta, entreprise spécialisée dans les systèmes de commande et de contrôle des fluides dans un bâtiment (air conditionné, électricité, éclairage, contrôle d’accès et alertes sécurité diverses). La faille offrirait, précise le bulletin, des possibilités d’escalade de privilège et des interceptions d’information. Les équipements seraient en outre coupables d’un péché originel souvent rencontré, celui des « crédences par défaut ». Pis encore, l’alerte Cisco suppute que ce bug pourrait être endémique, et que les anciennes installations effectuées par Richards-Zeta seraient susceptibles d’être frappées du même mal.
Généralement,une simple « panne » de circulation d’air a pour conséquence, dans les immeubles de grande hauteur, l’évacuation du bâtiment. C’est là un automatisme logique de sécurité. Si une telle panne provoquée risque également de débloquer les contrôles d’accès physique au bâtiment, les scénarii les plus fous peuvent être imaginés. Avec un tel défaut, n’importe qui peut… s’inspirer des exploits possibles pour écrire un roman techno-policier. Il ne reste plus qu’à dresser la liste des établissements financiers utilisant un système NMB, puis de vérifier si l’accès à celui-ci est possible via l’interface Web de consultation de compte-client ou par le truchement du réseau VoIP de la banque. *
*NdlC Note de la Correctrice : On devrait peut-être déposer l’idée… avant que Spielberg ou que Quentin Tarentino nous la pique