:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Password Apple : On n’en parle pas !
Brian Krebs, patron de la rubrique sécurité du Washington Post, nous apprend que Charles Edge devait, lors de la Black Hat 2008, commenter une faille affectant FileVault, le mécanisme de chiffrement d’Apple. Devait, car après un très probable balai d’avocats, l’universitaire a décidé de ne plus effectuer sa communication.
FileVault s’était, lors des tests en Cold Boot Attack de l’université de Princeton, révélé aussi peu fiable que son modèle Microsoftien. Ce n’est donc pas la première fois que son intégrité est publiquement mise en cause.
Quel bouton pour renvoyer la censure
Et ce n’est pas la première fois non plus, rappelle Krebs, que les conférences de la Black Hat (ou de sa jumelle la Defcon) font l’objet de censures et de pressions judiciaires et policières. Il rappelle que l’an passé, Halvar Flake, un orateur attendu de la B.H., a vu son visa d’entrée aux USA mystérieusement égaré. L’affaire Michael Lynn, le « sorcier de l’atomisation » d’IOS, s’était vu poursuivi par Cisco et congédié par son employeur (ISS) pour avoir maintenu sa conférence. Et la liste ne s’arrête pas là. On pourrait y ajouter ce chercheur russe d’Elcomsoft qui fut arrêté par le FBI pour avoir dévoilé une faille d’Acrobat Reader, ou, dans une toute autre conférence sécurité, Dan Geer qui perdit son emploi pour avoir osé critiquer la « monoculture Microsoft » et expliqué les conséquences sécuritaires d’une telle « visibilité » sur le marché. En France, également, l’arsenal juridico-policier a tendance à inquiéter les chercheurs. Malgré un haut niveau de qualité, les interventions des dernières SSTIC de Rennes, par exemple, étaient cette année plus « retenues » que par le passé.
Cette « pression constante » fait partie d’un jeu du chat et de la souris qui oppose, depuis de nombreuses années, les chercheurs en sécurité et les éditeurs ou équipementiers. Mais, depuis ces trois dernières années, la pression s’est intensifiée. Doit-on « publier » malgré tout –ce que pensent les partisans de la « divulgation responsable »- après en avoir prévenu les premiers intéressés ? Doit-on taire toute découverte au public, en laissant aux éditeurs le bon-vouloir d’une correction ? Doit-on courir le risque de ne rien dire, alors que d’autres personnes, moins bien intentionnées, ont de fortes chances de faire cette même découverte ? Doit-on abandonner toute velléité de communication alors que, pour certaines entreprises spécialisées, ce sont précisément ces communications qui constituent le moyen le plus sûr et le plus efficace pour obtenir une renommée internationale ? Doit-on laisser aux éditeurs et équipementiers le choix de taire une faille, sous le fallacieux prétexte qu’un trou inconnu est un trou inexploité ? Autant de « sujets du bac » qui ne connaissent aucune réponse catégorique. Une chose cependant est certaine : l’accroissement des pressions effectuées sur les chercheurs –et la censure conséquente- favorise l’action clandestine des organisations mafieuses et densifie l’écran de fumée qui les entoure.
|
