Vault 7, Year Zero, mais encore ?

Le mardi 7 mars 2017, Wilikeaks publiait une salve de documents, datés de 2013 à 2016, le tout sous un nom bien étrange “Vault 7, Year Zero“. Ayant lu pas mal de propos inexacts sur ce dossier, j’apporte ma pierre à l’édifice. N’hésitez surtout pas à me signaler la moindre faute. Continuer la lecture de Vault 7, Year Zero, mais encore ?

Yahoo réfléchit à des panneaux d’affichage intelligents qui vous regardent et vous écoutent

Je ne crois pas l’avoir vu jusque-là, donc : le brevet US20160292713, déposé par Yahoo, décrit un panneau publicitaire « intelligent » : équipé de capteurs, de microphones, de caméras et de scanners rétiniens. Oui oui, les mêmes que dans Minority Report. Continuer la lecture de Yahoo réfléchit à des panneaux d’affichage intelligents qui vous regardent et vous écoutent

C’est l’histoire de quelques objets et caméras connectés.

L’IoT, L’Internet Of Things. Les objets connectés quoi si vous préférez. Si ces objets sont de plus en plus présents, nous pouvons nous interroger quant à leur sécurité « par défaut ». Bref, c’est l’histoire d’une caméra qui a cassé un bout d’Internet. Continuer la lecture de C’est l’histoire de quelques objets et caméras connectés.

Hackers (lol) et canular à Paris, le nawak

J’ai essayé d’éviter les informations stupides, mais celle-là m’a fait réagir… Deux adolescents ont « piraté » la ligne téléphonique d’une église parisienne pour faire un canular. Particulièrement con, surtout en ce moment, mais un canular. Et depuis quelques jours, je lis çà et là « deux hackers » ceci, « deux hackers » cela. Et bordel, ça m’énerve.

Pourquoi ?

Entrons dans le vif du sujet d’emblée : ça me gonfle profondément qu’on utilise le terme « hacker » à toutes les sauces et ce depuis des années. Certains diront qu’il ne faut pas s’emporter pour ça, d’autres que c’est ainsi et d’autres s’en fichent éperdument. Ce n’est pas mon cas.

Aujourd’hui, lire « hacker » dans un article quelque part, généralement, ça me déprime. On qualifie rapidement tout et tout le monde de hacker, si bien qu’au final, « hacker » ne signifie plus vraiment grand-chose. Tour à tour, c’est un méchant pirate informatique, un cybercriminel, un héros du printemps arabe, un bidouilleur, un manipulateur.

C’est même lui, ce vilain hacker, qui est responsable de la faim dans le monde et de la guerre. Tant qu’à faire, autant pousser l’absurde jusqu’au bout.

Alors non, lecteurs, lectrices, copains, inconnus, journaux, médias, un hacker, ce n’est PAS, à la base, quelqu’un de mauvais, quelqu’un de méchant, quelqu’un qui veut détruire la planète. Ce n’est pas non plus un asocial sociopathe dangereux qui mange des petits chats enroulés dans des câbles RJ45.

Ce terme est malmené depuis déjà fort longtemps et tout le monde gagnerait à utiliser les bons mots. Parce qu’il ne faut pas croire que ce glissement sémantique soit sans conséquences, ce n’est pas qu’un mauvais usage du terme. Lorsque ce mot est utilisé à tort, il dégrade l’image déjà bien fragile dudit hacker. Dans l’esprit des gens, du moins selon moi, on imagine le hacker comme quelqu’un qui n’a aucune vie, qui pirate des comptes Facebook, qui reste le cul posé sur sa chaise sans jamais voir personne, qui « casse » et « vole » des choses.

Sauf que dans les faits, ce n’est pas ça, un hacker. Ici, on peut parler d’une personne qui a des problèmes sociaux, on peut parler de criminel, de cybercriminel, de pirate informatique à la limite ou tout simplement, de con. Mais pas de hacker.

Hacker, c’est neutre comme mot. Du moins ça devrait l’être. Hacker – le verbe cette fois – c’est « bricoler », bidouiller un système, essayer de le comprendre, essayer d’en comprendre le fonctionnement, les limites et parfois essayer de s’en affranchir. La meilleure explication que je puisse avoir est celle des baguettes chinoises… elles servent à manger mais si vous vous en servez pour faire tenir un chignon ou un abat-jour, vous avez hacké son fonctionnement, vous l’avez détourné de son fonctionnement initial.

Est-ce que cela fait de vous une mauvaise personne ? Non. Du moins tant que détourner un objet de son usage principal n’est pas interdit.

C’est un sujet à débat, même au sein des communautés de hackers, mais le vrai combat n’est pas sur l’usage du mot, pas comme dans « chiffrer » au lieu de « crypter », il n’y a pas le même impact derrière.

Bref, vous l’aurez compris, je suis fatigué de voir ce mot utilisé dans tous les sens, de n’importe quelle façon.

Le cas des deux ados

Sans avoir le détail de ce qui s’est passé et de la façon dont ils ont procédé, usurper un numéro de téléphone, c’est relativement simple. Parole de moi, qui a travaillé plus de 10 ans dans le domaine.

Ce n’est pas forcément mauvais, certaines entreprises s’en servent pour utiliser le même numéro partout, que ce soit Pierre, Paul ou Jacques qui contacte monsieur ou madame untel. Le principe dans ce cas-là, c’est d’avoir un numéro de désignation de l’installation, qui sera le numéro connu des clients, 01 23 45 67 89 par exemple. On configure l’installation pour que chaque personne qui appelle affiche ce numéro. Rien de mauvais donc, comme beaucoup de choses, cette technologie est neutre, c’est ce qu’on en fait qui est bon, ou mauvais dans le cas de nos deux ados.

Monter un canular en usurpant un numéro de téléphone c’est donc très simple, à condition de chercher un peu. Des solutions existent sur Internet, pour quelques euros ou quelques neurones à y consacrer, et le tour est joué.

Pour déjouer ça, ça peut être aussi simple : rappeler le numéro de téléphone suffit parfois. On tombe alors sur la bonne personne, la vraie personne, celle à qui appartient vraiment le numéro et c’est terminé. J’imagine que les forces de l’ordre l’ont fait dans ce cas, j’espère du moins…

D’autant plus que les deux ados ne semblaient pas experts dans la protection de leurs données personnelles puisque des informations les concernant ont été publiées.

Bref, nous avons affaire à deux ados, un peu (très) cons sur ce coup, qui ont fait un canular débile et dangereux, mais pas à des hackers.

Si des journalistes me lisent, de grâce, utilisez les bons mots, cybercriminel dans ce cas, mais pas « hacker ».

Le GranitePhone, top, flop ?

J’ai pu découvrir chez les amis de NextInpact un article sur le GranitePhone. Ce mobile « est le premier vrai smartphone conçu autour de la protection des communications et des données de ses utilisateurs », pour reprendre la présentation d’Archos, entreprise française engagée dans la production de ce GranitePhone.

Passons sur le discours commercial et le prix et intéressons-nous à ce que devrait permettre ce téléphone : protection des données, des appels, des messages, des contacts et de tout ce qui s’approche, de près ou de loin, à une donnée personnelle. Archos déclare que le stockage sur l’appareil sera entièrement chiffré et qu’il n’existera aucune porte dérobée (ndlr : les backdoors).

Personnellement, je n’irai jamais déclarer qu’un système est inviolable, c’est une promesse parfaitement impossible à tenir et l’histoire nous a déjà montré qu’il fallait éviter d’avoir ces propos, histoire de ne pas perdre toute sa crédibilité le jour où la première faille est découverte.

Qui plus est, le communiqué de presse [PDF] dit « les données stockées sur le smartphone sont également encryptées dans le cloud pour que les utilisateurs du « GranitePhone » puissent accéder à leurs données à tout moment ».

Si je résume donc, les données des utilisateurs seront stockées dans « le cloud », donc sur l’ordinateur de quelqu’un d’autre, pour parler plus clairement. Je ne suis pas certain que cela soit une bonne nouvelle, j’ai du mal à mettre « aucune faille » et « cloud » dans la même phrase.

Imaginons tout de même que ce téléphone soit réellement inviolable pour la suite. Archos explique que les utilisateurs du GranitePhone pourront « accéder à leurs données depuis un ordinateur et depuis d’autres mobiles Android ou iOS, ce qui leur garantit une grande flexibilité sans compromettre la sécurité. »

A nouveau, j’ai l’impression de faire face à un enfumage du service marketing d’Archos, je ne peux pas concevoir qu’un accès à des données ultra sécurisées depuis un Android ou un iOS ou un ordinateur ne représente pas un potentiel vecteur d’attaque ou une faille de sécurité.

Dernier point, et pas des moindres : qu’est-ce qui fait tourner ce téléphone ?

Dans ma conception de la sécurité informatique, un concept est essentiel : l’ouverture du code source. Cela permet à de nombreuses personnes de s’assurer que le code qui fait tourner le système est propre et sain.

Cela crée une relation de confiance, de transparence : « je sais que mon revendeur ne me ment pas lorsqu’il dit que c’est sécurisé, parce que le code ou les expert.e.s en capacité de le lire l’ont confirmé. »

Ici… rien. Aucune information sur le système d’exploitation du GranitePhone, nous savons simplement que ce n’est ni du Android, ni du iOS.

Est-ce que le code source du système sera libre, ouvert, modifiable ?

Qui a la main sur ce code ?

Est-ce le système de chiffrement du mobile est réellement solide ?

Sur quoi repose-t-il ?

Est-ce qu’il est géré par Archos ou Sikur ? Si oui, sur quels éléments je dois faire reposer ma confiance ?

Le seul site où le GranitePhone est mentionné ne donne aucune indication quant au système embarqué… il se sert des polices d’écriture de Google, se sert d’Analytics et de quelques trackers… rassurant quand on sait que la société est censée me protéger et protéger mes données personnelles.

Bref, à voir lorsque le mobile sera sorti.

MyFord App, une application pour déverrouiller votre voiture.

L’application MyFord App permet aux propriétaires des voitures du même constructeur d’interagir avec leur véhicule, dans une certaine mesure.

La dernière mise à jour de l’application, disponible sous iOS et Android, va un peu plus loin encore que ce qu’elle proposait avant : il est possible de verrouiller et déverrouiller sa voiture via l’application.

Continuer la lecture de MyFord App, une application pour déverrouiller votre voiture.