'Name & Shame' dans l'intérêt général

29/12/11 à 13:45 - Mise à jour à 13:45

Source: Datanews

Cela a encore bardé cette semaine. Le chercheur en sécurité et pirate de GSM allemand Karsten Nohl a en effet annoncé dans le cadre d'une astucieuse campagne de derrière les fagots qu'il allait procéder à la démonstration de nouvelles brèches dans la sécurité du réseau GSM 2G.

'Name & Shame' dans l'intérêt général

Cela a encore bardé cette semaine. Le chercheur en sécurité et pirate de GSM allemand Karsten Nohl a en effet annoncé dans le cadre d'une astucieuse campagne de derrière les fagots qu'il allait procéder à la démonstration de nouvelles brèches dans la sécurité du réseau GSM 2G.

Pour ce faire, il a choisi la conférence du Chaos Computer Club. Le CCC (à ne pas confondre avec les ex-Cellules Communistes Combattantes) est un collectif individuel de pirates et de cyber-activistes qui tentent depuis les années quatre-vingts de nous faire comprendre qu'il existe une foule de problèmes (latents) de sécurité et de confidentialité. A cette fin, ils effectuent des piratages pratiques, dans lesquels ces problèmes de sécurité théoriques deviennent une véritable et pénible réalité. Malgré le public quelque peu passionné auquel ils s'adressent et les difficultés de communication que cela génère, ils nous proposent chaque année leur lot de piratages et de nouvelles idées.

Ce que Karsten est venu dire, on le savait en grande partie déjà. Le point fort de sa présentation, la mise sur écoute du réseau 2G au moyen d'anciens appareils Motorola et d'un logiciel GSM open source appelé OSMOCOMBB, il en avait déjà fait la démonstration l'année dernière. A la fin de cette démonstration qui donnait à réfléchir, il avait aussi clairement expliqué comment les fournisseurs mobiles pouvaient corriger en grande partie la situation.

La présentation de cette année n'était finalement qu'un affinement de celle de l'an dernier avec, en extra, le 'spoofing' (usurpation) du numéro de téléphone mobile de quelqu'un d'autre. Il est donc possible d'appeler et d'envoyer des SMS avec le numéro et sur le compte d'un autre utilisateur. C'est épouvantablement efficient et parfaitement faisable pour une personne motivée et de formation technique, disposant de quelques centaines d'euros et prêt à travailler dur quelques semaines durant.

De plus, Nohl et son équipe avaient également procédé à une enquête quelque peu démographique. Lors de plusieurs 'city trips', il avait testé l'état de sécurité des réseaux mobiles dans notre pays et dans plusieurs autres. De cette enquête, il ressort que tous les fournisseurs ont des problèmes et que parmi nos trois... fiertés nationales, aucune n'obtient un satisfecit. C'est ainsi, selon Nohl & consorts, qu'aucun de nos opérateurs téléphoniques n'utilise l'authentification pour effectuer une communication GSM. Il tente aussi d'impliquer la communauté et d'encourager les utilisateurs à installer eux-mêmes un audit GSM et à en partager les données.

Ce faisant, il est, selon lui, toujours possible de poursuivre l'enquête et d'étendre plus avant le nombre de pays/régions à examiner. Une espèce de test-achats communautaire et sécuritaire pour fournisseurs de GSM, en quelque sorte.

Les trois acteurs mobiles peuvent vociférer tant qu'ils veulent. Kohl démontre clairement que leurs réseaux sont mal protégés et qu'ils auraient dû et devraient faire nettement mieux. Et que l'excuse 'nous ne le savions pas' est un non-sens car la technologie et les problèmes avaient été mis en évidence il y a un an déjà. Certes, le problème ne se manifeste qu'avec le réseau 2G et pas avec le plus récent 3G, mais cela représente jusqu'à nouvel ordre encore et toujours 80% des utilisateurs! Il n'est pas non plus criminel de révéler publiquement ces problèmes, mais il est injustifiable d'être au courant et de s'enfouir la tête dans le sable, parce que c'est plus facile et plus économique...

Selon les spécialistes, ces brèches sont également exploitées ci et là par différents services de renseignements et de police pour contrôler ce que font les citoyens, braves ou moins braves. Des techniques telles 'silent SMS' et de mise sur écoute constituent une énorme violation du respect de la vie privée des gens, surtout dans des pays, où l'on n'est pas trop regardant sur les règles de droit.

Une technique permettant de changer la donne et de forcer les fournisseurs de téléphonie mobile à mettre au point leur protection, consiste à utiliser le principe dit du 'Name & Shame', par lequel on les ciblerait publiquement eux et les problèmes qu'ils engendrent, et ce aussi fréquemment que possible. A chaque fois, ils devraient se battre comme des diables dans un bénitier contre des professionnels des relations publiques. En cas d'échec, ils devraient tenter de poursuivre ces dénonciateurs par voie juridique, afin de leur imposer le silence. Mais s'ils sont contraints de baisser suffisamment longtemps leur pantalon en public et que les services d'assistance sont assaillis de coups de fil de clients mécontents (mis sur écoute ou non), ils devront bien se résoudre le problème.

Le secteur technologique, tout comme le reste de notre société, a besoin de dénonciateurs pour révéler au grand public ce qui ne va pas en appelant un chat un chat. Mais cette même société a l'habitude de traiter très mal les dénonciateurs. Nous sommes en effet enclins à tenter d'abord de laisser passer le messager, avant de déployer notre énergie à résoudre le problème qu'il décrit. Voyez ce qui s'est passé avec le soldat américain Bradley Manning ou - plus près de chez nous - avec les 3 dénonciateurs de la politique menée à Hasselt. L'on est en tout cas curieux de voir quelle sera la prochaine étape de Nohl.

Jan Guldentops

Jan Guldentops est consultant en IT, réseaux et sécurité. Il est aussi chercheur tout spécialement en solutions open source. Avec BA, il imagine, produit et supporte diverses solutions d'infrastructure et de sécurité. Il est accessible à l'adresse e-mail la plus courte au monde ( j@ba.be ) ou sur Twitter (JanGuldentops ).

Nos partenaires