Il y a des conventions sur la cyber-sécurité partout sur la planète, et on peut citer quelques exemples comme Black Hat USA. Des avocats y ont raconté en détail l’histoire de la traque et de l’arrestation d’un des plus grands trafiquants de cartes de crédit volées. Captivant et instructif.
Il y avait aussi du 27 au 30 juillet 2017 DEF CON 25 à Las Vegas. Destinées aux hackers, aux professionnels de la cyber-sécurité et à tous ceux qui ont un intérêt particulier pour la technologie. On y trouve des présentations de nouvelles failles découvertes, de nouveaux outils pour pénétrer ou analyser, des concours et des challenges, des ateliers et des conférences sur des évènements marquants.
On pourrait trouver choquant que des pirates puissent ainsi se réunir publiquement pour partager leurs compétences et leurs expériences, progresser et apprendre, n’est-ce pas ? Mais ne jugez pas trop vite.
En effet, parmi les ateliers de cette édition, on peut noter la mise à disposition de 30 bornes de vote électronique (de marques diverses) qui ont notamment été utilisées lors de l’élection présidentielle américaine de 2016.
Les fabricants de ces machines -confiants dans la sécurité de leurs produits sensibles par nature- voulaient voir ce que les hackers pouvaient faire avec. En moins de 90 minutes, la première borne était piratée! Au terme des 3 jours consacrés à cet atelier, il n’y a pas eu de survivantes : les bornes ont toutes cédé. Les fabricants ont ainsi beaucoup appris et on peut espérer qu’ils intégreront les changements nécessaires pour les prochaines versions.
Dans le même domaine mais hors contexte DEF CON 25, le Chaos Computer Club (un organisme dédié à l’étude des risques technologiques créé en 1981) a publié le 7 septembre 2017 un dossier accablant sur un système de vote électronique utilisé en Allemagne, démontrant qu’il est truffé de vulnérabilités et qu’on ne peut lui faire confiance.
Retour à Las Vegas où un autre workshop était dédié aux équipements médicaux (pompes à insuline, pacemakers, etc). Bien qu’ils servent à protéger notre santé, on leur fait aveuglément confiance. Les hackers ont démontrés qu’ils étaient aussi tous piratables (article « The Parallax »). Ils peuvent parvenir à modifier la programmation d’une pompe à insuline pour changer le dosage injecté dans le sang, à altérer le comportement d’un moniteur cardiaque (changer la fréquence affichée ou « simuler » un arrêt cardiaque complet alors que ce n’est pas le cas) ou interférer avec un pacemaker (changer la puissance ou la fréquence des impulsions). Ils ont également démontré qu’il n’était pas toujours nécessaire d’avoir accès physiquement au matériel ou même d’être proche, et que certaines modifications pouvaient être faites à plusieurs centaines de mètres de distance.
Et d’ailleurs, la FDA a émis le 29 août dernier un rappel massif de 465’000 pacemakers implantés dans des patients et présentant des failles de sécurité importantes. Les patients devront retourner voir leur médecin traitant afin qu’un correctif soit téléchargé et installé dans leur pacemaker. Et ce n’est certainement que la pointe de l’iceberg !
Ca illustre parfaitement la collaboration qu’il doit y avoir entre les professionnels des secteurs IT et les hackers. Ces échanges de connaissance font progresser la sécurité pour tous et élève le niveau de conscience vis à vis des cyber-risques. Et il est évident que les hackers ont toujours plusieurs longueurs d’avance sur les professionnels!