Actus

p. 08 Revue de livres...

Processeurs

p. 10 Foreshadow-SGX, nouvelle vulnérabilité sur Ies processeurs Intel

Dossier : Comprendre les vulnérabilités de l'IoT

p. 26 Bus CAN : se lancer dans l'analyse des communications de votre véhicule
p. 40 Lecture d’une mémoire flash NAND et dump de firmware
p. 54 Attaques des équipements mobiles : du GPRS au LTE
p. 76 Des traceurs GPS bien trop indiscrets
p. 88 Leurrage du GPS par radio logicielle

Threat Intelligence

p. 108 Introduction au framework ATT&CK du MITRE

Sciences

p. 122 Machine Learning pour les systèmes de détection : recommandations et solutions avec SecuML

Éthique et sécurité

En ce début d’année 2019, le prix d’un exploit pour un remote jailbreak d’iOS est désormais passé à la modique somme de 2 millions de dollars sur la plateforme Zerodium. Pour rappel et pour ceux qui ne suivent pas cette actualité, l’ancien prix était d’un 1.5 millions de dollars et l’on parle bien de vendre de manière exclusive un exploit 0day fonctionnel (non d’une vulnérabilité comme on peut l’entendre ici et là).

Cette récente actualité a ravivé quelques intenses discussions sur une question importante, mais souvent peu traitée par la communauté de la sécurité informatique : l’éthique. Derrière les discours moralisateurs et les réactions caricaturales existe une réalité simple : un cadre légal le plus souvent dépassé ou qui n’est pas respecté, et des usages de ces exploits sans aucun contrôle possible. Car oui, on peut déployer très discrètement ce genre d’outil, contrairement à bien d’autres utilisés lors de conflits plus conventionnels (sabotage, guerre classique). L’usage qui est d’ailleurs fait de ces exploits n’est pas connu, même si l’on peut facilement imaginer qui se les paye et les utilise : forces de l’ordre, grandes entreprises, États, etc. Et comme toujours, on peut aussi facilement s’imaginer que cela peut servir d’un côté à la lutte contre les pédo-nazi-criminels-etc, je caricature volontairement, et d’un autre côté, à surveiller et réprimer des opposants politiques. Je vous épargnerai l’analogie entre les exploits 0days et les armes, la sécurité informatique est un pan à part entière des conflits modernes dont les bords se précisent peu à peu, comme le montre la récente possibilité pour les forces armées françaises de pouvoir effectuer une riposte.

La question éthique n’est bien sûr pas nouvelle. Le piratage de l’entreprise Hacking Team, qui vendait et vend toujours des logiciels de surveillance, a permis de révéler sa liste de clients qui était composée notamment de forces de l’ordre de pays extrêmement répressifs vis-à-vis de leurs opposants politiques. On a également trouvé dans toutes ces données, des exploits provenant du marché des 0days, tout naturellement.

En ces temps de débats (ou pas), ne devons-nous pas nous ressaisir de la question éthique en profondeur et ne plus ignorer les conséquences directes des travaux en sécurité informatique ? De tout temps, l’excellence technique a été et est encore le marqueur principal pour la communauté, ne manque qu’une éthique à la hauteur de cette dernière. On notera par ailleurs la tribune du directeur général de l’ANSSI dans Libération [0], qui s’oppose à l’introduction de porte dérobée pour des besoins de légaux (enquête et renseignement), surtout d’un point de vue technique (affaiblissement globale de la sécurité à long terme si l’on introduit une porte dérobée, donc une vulnérabilité supplémentaire), et laisse l’épineuse question éthique en suspens. Est-ce si fou que cela de demander à nos outils numériques du quotidien de ne pas nous surveiller ?

Émilien Gaspar / gapz / eg@miscmag.com

[0] https://www.liberation.fr/debats/2019/01/21/tous-connectes-tous-responsables_1704228