On en sait désormais beaucoup sur la sécurité du système à rayons X Rapiscan 522 B utilisé pour scanner les bagages dans les aéroports du monde entier. Billy Rios, directeur du renseignement chez Qualys, s’en est procuré un et l’a analysé. Et il a présenté ses résultats lors du Sommet Kaspersky des analystes de sécurité cette semaine.
C’est pire que ce que ce à quoi vous auriez pu vous attendre: « Il tourne sous le système d’exploitation obsolète Windows 98, stocke les informations d’identification de l’utilisateur en clair et inclut une fonctionnalité appelée Projection d’Images de menaces utilisée pour former les agents de contrôle en injectant des images bitmap de contrebande, comme un pistolet ou un couteau, dans un bagage cabine de passagers afin de tester la réaction de l’agent de contrôle lors des entraînements. La faiblesse des identifiants pourrait permettre à une personne malintentionnée de projeter de fausses images sur l’écran des rayons X. »
C’est surprenant, et pourtant cela ne devrait pas l’être. C’est le même type de problème que nous avons vu dans les machines de vote électronique ou le matériel médical informatisé ou les ordinateurs dans les automobiles. En gros, chaque fois qu’un système informatique a été conçu et utilisé en secret, soit en secret total soit en évitant juste les examens publics trop approfondis, les résultats sont assez atroces.
J’avais l’habitude de dénoncer les systèmes de sécurité secrets comme « sécurité par l’obscurité ». Je l’affirme maintenant avec fermeté: « l’obscurité c’est l’insécurité ».
La sécurité est un processus. Pour un logiciel, le processus est itératif. Il s’agit de défenseurs essayant de construire un système sécurisé, d’attaquants -criminels, pirates et chercheurs- battant cette sécurité et de défenseurs améliorant leur système. Voici comment les logiciels grand public améliorent leur sécurité. C’est le meilleur système que nous ayons. Et pour les systèmes qui sont gardés hors de portée du public, ce processus cale. Le résultat ressemble à celui du système de radiographie Rapiscan 522 B.
Les ingénieurs de sécurité intelligents confrontent leurs systèmes au jugement du public, parce que c’est comme cela qu’ils progressent. Les ingénieurs vraiment mauvais cacherons non seulement leur mauvaise conception sous le secret, mais tenteront de minimiser tout résultat de sécurité négatif. Attendez-vous à ce que Rapiscan affirme que les chercheurs avaient une version ancienne du logiciel, et que la nouvelle version ait résolu tous les problèmes. Ou que ces problèmes sont seulement théoriques. Ou que les chercheurs eux-mêmes sont le problème. Nous ne sommes pas nés de la dernière pluie.
Références
Hacked X-Rays Could Slip Guns Past Airport Security
TSA Carry-On Baggage Scanners Easy To Hack
Insécurité d’autres systèmes
Security Evaluation of ES&S Voting Machines and Election Management System
Security Analysis of the Diebold AccuVote-TS Voting Machine
Software Review and Security Analysis of the ES&S iVotronic (PDF)
Security and Privacy for Implantable Medical Devices (PDF)
ComprehensiveExperimentalAnalysesofAutomotiveAttackSurfaces (PDF)
Sécurité par l’obscurité
Secrecy, Security, and Obscurity
La sécurité est un processus
Texte © 2014 Bruce Schneier, CTO, Co3 Systems, Inc.
Article paru en anglais dans le bulletin d’information Crypto-Gram
Traduction française et mise en forme © 2014 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf
(Sauf mention contraire, tout texte en italique et entre parenthèses est une note de l’éditeur.)