La conférence sécurité Black Hat ouvre ses portes

Le grand salon des experts de la sécurité se tenait du 18 au 21 février aux Etats-Unis, à Washington. Les absents peuvent toutefois se consoler puisqu'une prochaine session de la Black Hat est d'ores et déjà prévue du 25 au 28 mars prochains à Amsterdam. Cette édition de début d'année faisait la part belle aux attaques et à la sécurité des réseaux sans fil.

David Hulton et Steve Muller ont ainsi animé une conférence intitulée Cracking GSM, au cours de laquelle ils ont pu faire la démonstration d'une nouvelle technique permettant de passer outre le chiffrement des signaux GSM. Les deux chercheurs illustrent la vulnérabilité de la sécurité de la téléphonie et la possibilité de procéder à des écoutes sans devoir investir un budget faramineux. Avec un matériel informatique de 1000 dollars, il serait selon les deux hommes envisageables d'intercepter des conversations et de la décoder en moins d'une heure.

Un prix que des organisations criminelles et des états pourraient éventuellement être prêts à payer. Mais leur but n'est pas de vendre directement leur technologie à ces clients, mais plutôt de la commercialiser auprès de constructeurs de terminaux radio qui pourraient alors l'intégrer à leurs produits.

Le résultat peut néanmoins paraitre identique, même si leur méthode intervient pour casser le chiffrement et non intercepter les conversations téléphoniques. Pour l'expert Bruce Schneier cité par Forbes, cette technique provoquera peut-être un réveil des opérateurs selon lui peu soucieux de porter attention aux failles de sécurité du GSM. Le gourou avoue toutefois ne pas être surpris et rappelle que la vulnérabilité de cette technologie était déjà connue, mais ignorée volontairement par les opérateurs.

Technologie sans fil également mise à l'épreuve durant la Black Hat : le RFID. Adam Laurie a développé et fait la démonstration d'un outil capable de pirater des cartes bancaires à bandes magnétiques, mais aussi intégrant une puce RFID. Ce chercheur était déjà reconnu pour une application exploitable pour hacker un grand nombre d'items embarquant du RFID.

Sa dernière création, Chapy, est base sur un script en Python fonctionnant avec un lecteur carte. Celui-ci va scanner et cloner les données stockées sur une carte bancaire. Un développement qui réjouira sans nul doute les fournisseurs de carte comme MasterCard.

Outre les habituelles présentations sur les risques de sécurités et l'évolution du cybercrime, il était également question de politique lors de la Black Hat. En pleine primaires pour les élections présidentielles américaines, 40 experts en sécurité de l'administration ont adressé leurs recommandations au futur titulaire du poste. Selon ces derniers, la cyber-sécurité doit être prise en compte dans la stratégie de sécurité nationale.

Ces recommandations sont soutenues par la Cyber Commission, parmi lesquels figurent notamment deux membres du congrès, mais surtout le directeur exécutif de la division National Cyber Security au département de la sécurité national, le DHS. Pour les experts, une autorité centrale doit être définie. Ils souhaitent également que des procédures standardisées en matière de fourniture technologique soient adoptées dans les agences fédérales, et que des priorités en R&D soient définies.