Spécial securité : Google fait du liège par tous les bouts

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, s'intéressent au cas Google en observant la dernière fournée de rustines pour Chrome avant de faire la lumière sur le feuilleton géopolitique qui oppose le groupe aux autorités chinoises. Nos confrères mettent également à l'honneur l'automobile : la première auto équipées d'un routeur sans-fil, puis l'histoire d'un hack de système de sécurité embarqués aux Etats-Unis. Enfin, CNIS aborde l'éventualité d'une riposte graduée chez nos voisins belges.

Sommaire

1 - Google fait du liège par tous les bouts
2 - Peugeot : la première voiture à jeter passé 5 ans
3 - Vers la riposte graduée en Belgique ?
4 - Le vrai-faux départ de Google de Chine
5 - Les 100 voitures qui n’ont jamais été hackées
6 - Les 20 ZDE OS/X qui ne seront pas dévoilés

Google fait du liège par tous les bouts
Serait-ce l’imminence du concours de hacking P0wn20wn de la prochaine CanSecWest ? toujours est-il que Google colmate d’un seul coup 11 trous affectant son navigateur Chrome, dont un en particulier ayant valu à son inventeur la fameuse Leet bounty d’un montant de 1337$. C’est la première attribution du genre. Comme le fait remarquer ironiquement un intervenant sur le site Secunia, le correctif cumulatif de ces failles, dont une hautement critique a été publié moins d’une journée après divulgation publique. Seuls quelques esprits franchement tordus pourraient imaginer qu’il puisse exister une sorte de “réserve à bugs de première catégorie” que les éditeurs américains ne corrigeraient qu’en dernier ressort, lorsque le fait serait connu du grand public. C’est avec de telles histoires que l’on devient paranoïaque et que l’on finit par soupçonner l’existence d’une “backdoor NSA” dans le moindre bout de code. D’ailleurs, qui pourrait soupçonner Google de trop s’acoquiner avec les Agences Fédérales à trois lettres?

Peugeot : la première voiture à jeter passé 5 ans
C’est le prochain scoop du salon de Francfort : la 5008 de Peugeot sera équipée d’un routeur WiFi ( voir annonce) et d’une carte 3G « non simlockée » permettant au conducteur de choisir librement son opérateur.

Jusqu’à présent il était exceptionnel qu’un constructeur de « clefs 3G » embarquées dépense beaucoup d’énergie pour maintenir les pilotes logiciels de ses propres périphériques… y compris lorsque ceux-ci étaient intégrés sur des ordinateurs hauts de gamme destinés à des professionnels. Pour les usagers, cela revient à devoir choisir entre la conservation d’un ancien système d’exploitation, également en fin de vie et perclus de failles de sécurité, l’abandon pur et simple de la fonction 3G, ou le changement de machine conjointement avec le changement de système d’exploitation. Une politique qui ne peut que séduire un constructeur automobile, en perpétuelle quête d’astuces facilitant le renouvellement de son parc.

Avec la généralisation de ces accès sans fil souvent incompatibles d’un point de vue « cohérence des protocoles de sécurité » –WiFi, 3G, Bluetooth, distribution audio-vidéo, GPS 3D-, l’industrie automobile est probablement sur le point d’ouvrir une formidable voie dans le domaine du Wardriving. Jusqu’à présent, les pirates utilisaient les voitures pour aller au devant des points d’accès vulnérables, désormais, c’est la victime qui apportera ses données sur un plateau à tous les amateurs d’informations confidentielles. A moins que… à moins que Peugeot ait l’intention d’adjoindre à son voiturin multimédia un palotin technologique du genre « embedded Radius Server » doublé d’un VPN étendu à l’ensemble des systèmes de communication. On peut peut-être rêver…

Vers la riposte graduée en Belgique ?
Nos confrères de DataNews révèlent que le Sénateur Belge Philippe Monfils (centre droit) aurait proposé un texte de loi visant à l’adoption de la riposte graduée Outre Quiévrain. Une mesure soi-disant destinée à protéger le revenu des auteurs-compositeurs. Une proposition qui arrive quelques jours après que la Sabam (Société Belge des Auteurs, Compositeurs et Editeurs) soit accusée de traîner la patte lorsqu’il s’agit de verser quelques 480 millions d’Euros à des ayant-droits. Le piratage des variétés ou le risque terroriste permet aux gouvernements européens de pousser à l’adoption de textes facilitant également, entre autres, l’abolition du secret de la correspondance.

Le vrai-faux départ de Google de Chine
L’Agence Chine Nouvelle, rapportent nos confrères de la BBC, tire à boulets rouges sur Google et dénonce les liens forts étroits qui existeraient entre Google et les « agences à trois lettres » de l’Administration Fédérale des Etats-Unis. Google fournirait des informations aux agences de renseignement US et tenterait d’imposer aux citoyens Chinois une vision américanisée du monde.

Cette série d’accusations est déclenchée la semaine de parution d’un autre article, paru dans les colonnes du China Business News, information rapportée notamment par le quotidien 20 Minutes et qui laisserait entendre que les troupes du Général Eric Schmidt se retireraient le 10 avril prochain.

Il faut reconnaître que seul Google avait donné de la voix en accusant ouvertement la Chine lors des premières attaques Aurora, alors que les « 20 autres victimes » -Adobe en tête- ont, dans un premier temps, farouchement nié avoir été frappées, tant par souci de diplomatie envers un pays prometteur en termes de contrats que par volonté de préserver l’image de marque de l’entreprise. Cette attaque, plus dangereuse de part l’efficacité de sa coordination que par sa réelle complexité technique, avait constitué un prétexte pour Google facilitant son désengagement du marché Chinois des moteurs de recherche. Face à Baidou, son concurrent local, Google avait bien du mal à décoller. Le casus-belli d’Aurora ainsi que le refus d’une censure imposée par Pékin permettait à Google de se retirer sans perdre la face tout en servant les intérêts supérieurs de la Diplomatie de l’Administration Obama.

Que l’activité «  moteur de recherche » disparaisse de l’Empire du Milieu ne signifie pas n&eacu te;cessairement le retrait de tout Google de Chine. Même politiquement compromis, le déploiement d’un réseau de téléphonie, en partenariat avec l’opérateur China Unicom et les OEM Samsung et Motorola, est toujours réalisable. Le projet est financièrement plus prometteur à court terme que celui de la publicité et de la recherche d’informations. Pour l’heure, le lancement a simplement été « suspendu », comme le faisait récemment remarquer un article du Nouvel Obs sur le sujet.

Les 100 voitures qui n’ont jamais été hackées
Pioché dans Wired, cette étonnante affaire qui a traumatisé bien des automobilistes d’Austin, Texas. Un matin, à l’heure où les « commuters » quittent leurs foyers pour rejoindre leurs lieux de travail, une centaine d’habitants d’Austin n’ont pu démarrer leurs véhicules. Cette épidémie de pannes s’est même traduite, sur certains modèles, par un déclenchement intempestif de l’avertisseur sonore, forçant ainsi leur propriétaire à débrancher la batterie.

Le mystère de ce H1N1 mécanique a rapidement été résolu : tous les véhicules incriminés étaient équipés d’un système d’immobilisation préalablement installé par les sociétés de crédit, dispositif pouvant être déclenché à distance si les échéances venaient à ne plus être respectées. On imagine aisément que tôt ou tard, un touche-à-tout finirait bien par trouver une faille dans le système et s’amuserait à déclarer « insolvable » un certain nombre de clients… avec les conséquences que l’on devine. Le touche-à-tout en question s’appelle Omar Ramos-Lopez, ancien employé de la chaine Texas Auto Center victime d’une réduction de personnel, et qui manifestement avait une dent envers son ancien employeur. L’accès frauduleux au système informatique de déclaration d’impayé a été effectué sous l’identité d’un autre collaborateur de l’entreprise, c’est donc le fait de ce que les américains désignent par l’épithète de « insider » ou « disgruntled employee ». Administrateur : 0, Omar Ramos-Lopez : 1

Reste que titrer sur le «  hack d’une centaine de voitures » fait vendre plus de papiers que d’informer sur une politique de gestion des ACL un peu trop légère, d’une sensibilisation interne inefficace ou d’une attribution de privilèges chaotique.

Le véritable hack, s’il avait eu lieu, n’aurait d’ailleurs pas eu à recourir à un traficotage du fichier central des impayés. Ce système d’immobilisation des véhicules utilise probablement un dérivé des « pagers », tant prisés Outre Atlantique. A l’époque où même l’inviolabilité du GSM fait l’objet de conférences à l’occasion des conférences CCC, il ne doit pas être très compliqué de tutoyer le mécanisme radio « anti-mauvais-payeur » qui doit très probablement être « spoofable » à l’aide d’une SDR (Radio à définition logicielle). La récolte de preuves et le traçage de l’intrus auraient été considérablement plus difficiles à réaliser et le terme « hacking » aurait alors mérité d’être utilisé.

Les 20 ZDE OS/X qui ne seront pas dévoilés
«  To be clear, I'm not revealing 20 apple bugs at #cansec, I'm revealing how I found 20 apple bugs.   ». Charles Miller, le compagnon de recherches de Dino Dai Zovi, tente d’écarter le sensationnalisme des titrailles qui font la une d’une presse peu soucieuse d’exactitude. A l’occasion de la prochaine CanSecWest (Sheraton Wall Centre de Vancouver, du 24 au 26 mars), il ne dévoilera pas le détail de ses travaux, mais s’étendra sur la manière avec laquelle il est parvenu à découvrir les trous de sécurité. On est donc relativement loin d’une nouvelle édition du MoaB de LMH. Dai Zovi, par le passé, a déjà remporté avec brio le concours « P0wn20wn » de CanSecWest.

Pour approfondir sur Backup