Commençons par cette application ô combien utile qu'est la géolocalisation, en particulier dès qu'on arrive à la fournir sur des plate-formes mobiles qui tiennent dans la poche. On apprends qu'une startup du nom de Skyhook Wireless s'est lancée sur ce marché en combinant ces technologies classiques à une localisation basée sur l'adresse des points d'accès voisins.

Méthode qui a forcément impliqué une vaste campagne de wardriving pour constituer une base de couverture pour le moment limitée aux grandes villes américaines. Vous pouvez même les aider en soumettant vos propres équipements ou ceux que vous avez découverts. Et on dispose même d'une API pour interroger la base...

Parmi les utilisateurs de ce concept, on citera Apple avec l'iPhone.

Tant qu'on est sur la géolocalisation, Schneier nous pointe vers ce billet traitant de spoofing de signal GPS. La lecture de leurs papiers sur la question est des plus intéressantes, même si ça date quand même de 2003. De quoi se poser quelques questions intéressantes quand on regarde l'utilisation de plus en plus importante du GPS et donner du grain à moudre aux amateurs éclairés de SDR (cf. plus bas).


Parlons un peu d'Apple justement... Après que Steve Jobs ait annoncé au monde entier qu'il n'aimait pas les DRMs, la société à la pomme est en train de déposer un brevet sur l'association par un système d'authentification d'un capteur et d'un vêtement. Jusque là, rien de bien méchant.

Mais quand on lit le texte du brevet en question, on ne peut s'empêcher de sourire. On réalise en effet très vite que la véritable motivation de cette "nouvelle technologie" se résume à faire plaisir à Nike. À Nike ? Oui, le vendeur d'articles de sport auquel ils se sont associés pour produire le kit Nike+iPod. Composé d'un capteur placé dans la chaussure et d'un récepteur wireless qui vient se brancher sur votre iPod, il permet au sportif qui sommeille en vous de mesurer ses performances tout en profitant de ses morceaux préférés. Tant et si bien que Nike en est venu à proposer toute une gamme de chaussures permettant d'embarquer le fameux capteur.

Sauf que certains ont trouvé opportuns d'utiliser ce système ailleurs, genre fixé aux lacets, et même sur des chaussures d'autres marques. Rendez-vous donc compte ! Les hackers de baskets sont de sortie ! Ceci ne manque pas d'offusquer Nike, lequel aimerait bien que quand vous achetez un Nike+iPod, vous ne puissiez l'utiliser que sur une paire de Nike+.

Bref, vive les DRM pour les grolles !


Pour continuer sur les dispositifs contraignants, passons aux vrais DRMs, ceux qui vous empêchent de profiter de la musique que vous achetez monnaie sonnante et trébuchante dans la légalité la plus parfaite. Je ne peux que vous conseiller la lecture de cet article de The Register qui compare le système des majors de la musique et la hiérachie féodale du 12e siècle.

Il n'y a certes pas de quoi tomber en émerveillement devant le raisonnement, mais quelques passages se révèlent fort intéressants, voir drôles. Une excellente matière donc pour alimenter les discussions autour d'une bière ou se pâmer en société.


Autre essai notable, ce billet sur les réductions de coût dans l'informatique qui argue que le meilleur moyen de gagner de l'argent consiste à virer les managers. Thèse que beaucoups d'informaticiens subissant le poids d'une organisation pachidermique ne peuvent qu'approuver. Malheureusement, on cherche encore les exemples pertinents et autres excellents arguments qui pourraient venir étayer cet article. Dommage...


Anecdote édifiante sur l'incroyable manque de compréhension de la sécurité informatique de certains éditeurs. Nate Lawson, interviewé par le San Francisco Chronicle sur une histoire de forensics de téléphones portables, met en avant le fait que le logiciel utilisé par les autorités du coin, Cellebrite, utilise MD5 pour la signature des traces, et que MD5, ben ça tient plus la route.

La réponse de l'éditeur vaut le détour et se passe de commentaire. Pour manipuler des données sans toucher à leur hash MD5, "il vous faudrait le meilleur pirate de la Terre"[1]. Ce n'est certes pas trivial, mais il y a quand même quelques PoC qui traînent sur le net permettant de générer des fichiers ayant le MD5, et donc de remplir votre mobile de contenu que vous pourrez après coup réfuter, somme MD5 à l'appui. Et d'ajouter qu'ils étudient le passage à SHA-256, mais qu'ils ne le feront que si ça devient un standard de l'industrie. Pour le coup, là, il y aurait matière à challenge.

Durant nos audits, on tombe régulièrement sur ce genre d'attitude. C'est désespérant. Dernière en date : si l'éditeur conçoit que certains puissent considérer une exécution distante de code arbitraire comme une faille de sécurité, ce n'est pas son avis. Fin des débats...


Ensuite, je vous renvoie vers deux billets et une présentation de Mike Perry sur un outil appelé CookieMonster dont l'objet est la collecte active de cookies à travers des flux HTTPS.

La méthode repose sur la transmission par les navigateurs de cookies récupérés via HTTPS sur des accès HTTP. Grosso modo, si vous arrivez à intercepter le flux HTTP d'un utilisateur d'une webmail bien connue, l'ajout dans une page d'un objet venant de ce domaine précis déclenche la transmission du cookie, mal défini, utilisé là-bas, quand bien même aurait-il été délivré via HTTPS. L'attaque est relativement simple et prend tout son sens sur les réseaux Wi-Fi ouverts, typiquement les hotspots.

D'aucuns esprits narquois ne pourront s'empêcher de faire remarquer que cette attaque n'est que la suite logique, voire un emprunt, de pas mal de travaux publiés ces deux dernières années sur la problématique de la transmissions des cookies de session. Toujours est-il que maintenant, il y a un outil qui l'automatise.


Côtés attaques cryptgraphiques, on pourra lire le papier d'Itai Dinur and Adi Shamir, "Cube Attacks on Tweakable Black Box Polynomials". Non, ce n'est pas la fin des block ciphers, ni celle des fonctions de hash, mais un sacré coup dans l'aile de pas mal de stream ciphers. La papier discute en particulier d'un algorithme récent, Trivium, et annonce une attaque d'une complexité de 30 bits sur 735 initialisations, ce qui est largement mieux que ce qui se faisait jusqu'à présent.

Les cryptographes apprécieront, les autres pourront toujours caser ça entre deux cocktails au Paradis du Fruit.


Histoire de poursuivre sur ma lancée en matière de destruction de données, je ne peux m'empêcher de vous livrer ce billet dégotté par News0ft sur l'utilisaton de la thermite comme agent nettoyant. Vidéo à l'appui...


Un billet qui vaut le détour sur le blog de Bruno. Marc Olanié s'y livre avec succès a un essai sur la SDR. C'est intéressant, instructif et bourré de liens pour ceux qui voudraient approfondir le sujet.


Enfin, quand je lis cet article de l'ami Marc, encore lui, pointant vers la vidéo d'un employé de Microsoft dansant devant tous les bâtiments de la compagnies à Seattle, je ne peux m'empêcher de penser à Matt Harding.

Cet ex-informaticien d'une trentaine d'années a décidé de tout plaquer en 2005 pour aller faire le tour du monde. Tour du monde duquel il a ramené quelques vidéos le montrant en train de danser[2] à pleins d'endroits. Le montage de l'ensemble a donné naissance un petit court-métrage dont la popularité n'a fait qu'exploser depuis sur Youtube et autres sites de vidéos. Au point qu'une marque de chewing-gum lui a proposé de sponsoriser un nouveau tour du monde en 2006, puis un troisième cette année.

Je trouve que quand on a un peu le blues, c'est tout aussi efficace que la Free Hugs Campaign...

Notes

[1] You'd have to have the best hacker in the world dans le texte...

[2] Pour autant qu'on puisse appeler ça danser...