Nos trois compatriotes de Global Security Mag avaient accès, en tant que partenaires presse, au réseau filaire réservé aux journalistes et maintenu hors du périmètre du fameux Wall of Sheeps pour des raisons de confidentialité. Les organisateurs ont expliqué qu'ils voulaient ainsi offrir aux reporters une enceinte relativement protégée de tous les affreux qui traînent dans ce genre d'évènement. C'étaient sans compter sur nos trois compères, enfin surtout un selon les bruits qui courent, Mauro Israel, qui s'est déjà brillament illustré en commentant le bug DNS...

D'après ce qui se raconte, le NetWizz aurait tout simplement lancé Cain, logiciel Win32 connu, à l'instar d'ettercap, pour ses capacités de corruption de cache ARP, et obtenu sans surprise les logins et mots de passe de certains de ses confrères. Fort de sa découverte, il serait allé voir les gens du Wall of Sheeps accompagné de Dominique Jouniot pour leur demander de publier les informations en question, ce qu'ils auraient refusé, pour les raisons évoquées précédemment. L'incident se serait probablement arrêté là si un journaliste n'avait pas pris quelques photos de son écran et publié un article dessus. On connaît la suite : confiscation des badges et expulsion immédiate pour lui et ses deux collègues. Le tout assorti, corporatisme oblige, d'une couverture médiatique gratinée. Forcément.

Je dois avouer que cette histoire me laisse quelque peu perplexe. D'abord, je ne vois vraiment pas l'intérêt d'aller se faire mousser avec des trucs de ce genre. Techniquement, ça n'impressionne personne et de manière plus générale, dans la mesure où ça passe par un abus de confiance énorme, c'est terriblement puérile et ça ne donne pas une très bonne image de soi. D'un autre côté, je me rappelle le discours d'ouverture de la conférence par Jeff Moss et en particulier le passage sur le Wall of Sheeps. Comme quoi il s'agissait d'une mesure éducative, pour montrer aux gens combien il était facile d'écouter les communications réseau et les sensibiliser à la nécessité de protéger efficacement leurs communications.

Nos amis journalistes seraient-ils donc dispensés de ce genre de leçon pratique et magistrale ? Il faut croire que oui. Pour le résultat qu'on connait. Malheureusement...

Update : un journaliste de eWeek explique comment il s'est fait prendre. C'est édifiant...

Re... update : Mauro Israel publie deux textes sur son éviction de la BlackHat, le premier chez lui, le second sur SecurityVibes. Point de vue d'un intéressé, forcément intéressant dans ce genre de polémique.


Que le concept de sécurité par l'obscurité ait largement démontré son inefficacité chronique n'empêche toujours pas les gens d'y croire. En particulier quand ils peuvent y ajouter une couche de pression juridique. C'est ce qui vient de se produire à DefCon : la MBTA vient en effet de faire annuler une présentation sur injonction d'un juge. L'excuse est éculée : la divulgation au public mettrait en danger l'infrastructure.

Sauf que c'est trop tard. Les slides ont déjà été distribués aux participants sur le CDROM de la conférence et, à l'instar de ceux Michael Lynn en 2005, on les trouve déjà en ligne. Et pour en repasser une couche, les auteurs ont, suite à la plainte, produit un document décrivant les problèmes et des scénarios d'exploitation de manière nettement plus compréhensible pour le lecteur moyen...

En gros, le système Charlie utilise des tickets à bande mangétique, CharlieTicket, et des badges RFID, CharlieCard, lesquels s'appuient sur le fameux système MiFare conçu par NXP et dont on sait qu'il est vulnérables à pleins d'attaques grâce à des travaux récents. Lesquels ont valu, vous vous en souvenez probablement, à certains auteurs une plainte du fabricant heureusement rejetée. Dans ces slides, il est démontré qu'il est possible de fabriquer, cloner ou modifier des titres d'accès. On imagine très bien pour quoi faire.

L'EFF a décidé d'aporter son support aux trois étudiants en les représentant et devrait faire appel de cette décision. Ce qui nous donnera l'occasion de comparer comment les cours hollandaises et américaines apprécient ce genre de situation.

Quoi qu'il en soit, fondée ou non[1], cette plainte n'empêchera pas d'autres bidouilleurs de s'intéresser au système. Bien au contraire. D'autant que les transparents, loin pour autant d'offrir un "Boston Metro Free Ride HOWTO", me semblent suffisamment clairs et précis pour orienter rapidement des travaux dans les bonnes directions. D'autant que ce ne sont ni les seuls, ni les premiers à avoir cassé des cartes à base de MiFare pour des systèmes de transport public. Les hollandais s'en étaient pris aux transpôrts d'Amsterdam, l'OysterCard de Londres est cassée. Et pleins d'autres grandes villes l'utilisent. Bruce Schneier a publié une sympathique analyse à ce sujet, que j'ai trouvée via l'excellent Security, Crypto and smart dust.

Mais au-delà de ce cas précis, il est clair que nous vivons aujourd'hui dans un monde peuplés de produits à la sécurité plus que discutable, dont certains sont eux-même des produits de sécurité. Je pense par exemple à la présentation que donne régulièrement Adam Laurie dans laquelle il nous montre comment ouvrir des coffre-forts d'hôtel et cloner des badges d'accès RFID. Il avait également produit quelques résultats sur les pistes magnétiques qui équipent également des systèmes de contrôle d'accès[2]. Je pense également à tout le ramdam autour du système MiFare qui n'a décidemment pas fini de faire parler de lui, comme à pleins d'autres travaux sur les RFIDs. Autant de produits et de systèmes qui se retrouvent déployés à grande échelle sans que personne ne se soit posé la question de leur sécurité, de leur mise en œuvre et plus largement de la sécurité des données qu'ils traitent. Lorsque ces considérations n'ont pas soigneusement été laissées de côté...

Mais malheureusement pour nous, là où ceux qui fabriquent ça ont le droit d'inonder le marché de produits vendus à grand renfort de publicités limite mensongères, il est interdit à tout un chacun d'étudier ces systèmes pour en évaluer la sécurité et, le cas échéant, d'en démontrer les faiblesses. Et c'est ce qui, comme je l'expliquais récemment en réponse à un commentaire, crée l'asymétrie informationnelle qui tire continuellement cette industrie vers le bas...



PS : merci à Yom dont la prose m'a inspiré le titre de ce billet.

Notes

[1] On pourra noter en particulier le fait que les auteurs ont refusé de communiquer le contenu de leurs travaux à la MTBA.

[2] Chambres d'hôtel, typiquement...