Chargement ...
Deux affaires de piratage semblent "défrayer la chronique" en Angleterre et aux Etats-Unis: l'une concerne un groupe d'étudiants/chercheurs de l'Université Radboud en Hollande (Institute for Computing and Information Sciences) et l'autre un groupe d'étudiants du MIT (Massachusetts Institute of Technology ) aux Etats-Unis. Les premiers ont démontré une faille dans le système de cartes de transports en commun du métro de Londres (Oyster cards) - ils ont effectué une petite démontration en voyageant gratuitement et en pénêtrant dans un immeuble - les autres dans celui de Boston.
Je n'ai pas trouvé d'articles faisant le lien entre ces deux histoires, mais la technologie piratée dans la première semble bien être la même que la seconde(1). Il s'agit de la puce Mifare (fabriquée par Philips - NXP), utilisée pour les pass sans contact (en France on pourrait prendre l'exemple du Navigo de la RATP, bien que je ne sache pas s'il s'agit du même système). Ce système est utilisé dans beaucoup d'autres villes (aux Etats-Unis, en Asie, en Amérique du Sud, en Europe), et pour d'autres usages également. Je ne vais pas tenter de rentrer dans le détail du fonctionnement dudit système, même dans les grandes lignes (!). Ce qui m'intéresse, ce sont les réflexions et actions suscitées par ces deux cas.
Les premiers ont déjà publié un papier (un second est en attente de publication). La cour de justice hollandaise saisie sur l'affaire a débouté la plainte du fabricant. Les seconds n'ont pas publié. Ils devaient le faire lors de la Defcon Conference (Las Vegas) des hackers, mais un référé (établi à la demande de la société de transport MBTA de Boston les en a empêché).
Si il s'agit bien de la même technologie ceci n'aura pas servi à grand chose (d'autant que si un système est défaillant, il vaut mieux le savoir). D'après Bruce Schneier (l'un des experts mondiaux en sécurité informatique, responsable de celle-ci chez British Telecom), ceci n'est pas très étonnant. Le système en question n'était pas considéré comme sécurisé (le fabricant a depuis sorti une première version, puis une seconde en préparation, normalement plus sécurisée). Bruce Schneier rappelle au passage que plus un fabricant vous indique que sa technologie doit rester secrète...moins elle l'est en réalité.
Les juges hollandais ont débouté la société qui tentait d'interdire la publication en indiquant que les responsables ne sont pas ceux qui effectuent cette publication, mais bien le fabricant qui a mis en circulation un produit ou un logiciel qui comportait des risques évidents.
Aux Etats-Unis, le même type d'affaire provoque des réactions sur la liberté d'expression et le premier amendement de la Constitution (voir Internet Evolution et le billet de Ira Winkler. En argumentant sur le fait que les étudiants peuvent(doivent) s'exprimer de façon responsable et publique sur la question; le référé a-t-t-il lieu d'être; ne vaut-il pas mieux que la société de transports soit au courant, etc...
La différence est suffisamment criante pour attirer l'attention. Dans tous les cas de figure, elle rapelle que les utilisateurs d'internet que nous sommes (et des services utilisant ces technologies et la cryptographie), sommes de loin dépassés! Nous devrions nous transformer en experts en informatique, mathématiques, cryptographie, etc pour commencer à y voir clair et protéger vie privée et données des failles des outils et services.
Il me semble toutefois que les juges hollandais sont pleins de sagesse...
(1)Tout en écrivant, j'ai finalement trouvé cet article: ZDnet.fr EDIT: autre article sur le sujet paru dans Wired (21/08 et signé Bruce Schneier.
