Defcon : trois étudiants du MIT privés de conférence par la justice américaine

Sécurité - Le traditionnel Defcon a tenu ses promesses, mais loin de l’ambiance déjantée des débuts. Seule fausse note, l’interdiction faite par un juge américain à trois étudiants du MIT de divulguer leur travaux sur le piratage des cartes RFID du métro de Boston.

LAS VEGAS - La seizième édition du DefCon, le « congrès » international de hackers, s'est tenue ce week-end à Las Vegas, aussitôt après les autres rencontres renommées Black Hat. Quelque 8 000 participants ont passé deux jours à écrire des virus et à parler d'attaques internet, entre autres.

Le temps fort de la manifestation fut paradoxalement un raté : trois étudiants du Massachusetts Institute of Technology (MIT) n'ont pas eu le droit de présenter le résultat de leurs travaux, sur la façon de détourner le système RFID utilisé dans le métro de Boston. Ils n'ont pas pu non plus proposer un logiciel permettant de pirater ce type de cartes.

La veille, un juge fédéral les avait mis en demeure : il les a enjoints à ne pas fournir « des programmes, des informations, des codes logiciels ou des commandes qui permettraient de contourner ou d'attaquer la sécurité » du système RFID utilisés pour le métro de Boston. La demande provenait de la société de transport de la ville, la Massachusetts Bay Transportation Authority.

Les cartes RFID de Londres et Amsterdam piratées

Les trois étudiants ont dû se contenter d'une simple conférence de presse, où ils n'ont distillé aucun détail technique. Toutefois, un journaliste et expert en sécurité, Brenno de Winter, a ensuite démontré qu'il était possible de « cracker  » les cartes RFID utilisées dans les transports aux Pays-bas et à Londres, fonctionnant exactement comme celle de Boston.

Le reste de la conférence s'est déroulé dans l'ambiance potache habituelle : des exploits en tout genre, des piratages sur certains kiosques internet mis à disposition et tournant sous Windows, pour y faire défiler des images pornographiques ainsi que de nombreux concours.

L'édition 2008 du DefCon n'a toutefois pas atteint le niveau des années 1990, lorsque certains participants montraient comment pirater des ascenseurs, ou s'amusaient à verser du ciment dans les toilettes.

Par Elinor Mills, CNET News.com

À propos de cet article

Publié le lundi 11 août 2008 dans Informatique
Tags: Sécurité, Piratage, RFID
Suivre les commentaires de cet article
Dernier commentaire: 21 août 2008 par Marcube

Réagissez

• #1 - par Grunt (ajouter à mes contacts ) le 11/08/2008

  La sécurité par l'obscurité, on sait que ça ne vaut rien. Mais ce juge n'a pas l'air au courant. Tant pis, on gardera des RFID peu fiables, des magouilleurs et des mafias (et des gouvernements, pour ceux qui pensent qu'ils ne sont ni magouilleurs ni mafia) en tout genre vont exploiter leurs failles, le grand public n'en saura rien.. cela rejoint l'exclusion des "hackers" des conférences Black Hat, l'étouffement des affaires de carding..
  
  En bref, c'est plus rentable pour les industriels d'avoir du matériel pas sécurisé, et de le vendre comme s'il l'était, que d'admettre qu'ils peuvent l'améliorer (la confiance des consommateurs, monsieur, y'a que ça de vrai).

  signaler au modérateur répondre

  • #1.1 - par geocalc (ajouter à mes contacts ) le 11/08/2008

    en fait aucune "mafia" ne fait du mal à autant de gens qu'un "gouvernement".

    signaler au modérateur

  • #1.2 - par alcapone342 (ajouter à mes contacts ) le 12/08/2008

    On peut également imaginer un monde ou chacun est responsable de ses actes. Sécurité, sécurité vous n'avez que ce mot à la bouche, on dirait un remake de la présidentielle....
    Est- ce que dans la vie vous sortez avec un gilet pare-balles ou alors est-ce que des lois existent et condamnent les actes répréhensibles vous en mettant par la même occasion en principe à l'abri.
    Sécurité ne rime pas avec liberté donc il va falloir mettre de l'ordre dans vos idéologies.

    signaler au modérateur

  • #1.3 - par brethmas (ajouter à mes contacts ) le 12/08/2008

    J'imagine qu'il n'y a pas plus efficace qu'une telle interdiction pour donner à ces éléments de hacking une célébrité et une divulgation qu'ils n'auraient peut-être pas eus autrement ! ! !

    signaler au modérateur

  • #1.4 - par Grunt (ajouter à mes contacts ) le 12/08/2008

    @alcapone342: Si, la sécurité, la vraie, rime avec la liberté. En l'occurence, la liberté de chercher des failles dans une technologie, la liberté de communiquer..
    
    Je ne parle pas de la sécurité sans liberté qu'on a essayé de nous vendre pendant la présidentielle, mais d'une sécurité responsable, justement. Une sécurité qui ne consiste pas à faire confiance aveuglément en le gouvernement et les industries, mais à disposer d'informations permettant de juger par soi-même.
    
    Je ne sors pas dans la rue avec un gilet pare-balle. Mais je le ferais si j'apprenais que certaines armes à feu présentent un défaut qui les fait tirer toutes seules, peut-être. Et tu voudrais qu'on me cache l'information, pour que je me CROIE en sécurité??

    signaler au modérateur

  • #1.5 - par alcapone342 (ajouter à mes contacts ) le 12/08/2008

    Bien sur que tu es libre de chercher des failles et de communiquer....
    Par contre tu ne fais pas ça sur les gens qui n'ont rien demandé à leur insu, tu en fais la démonstration devant des professionnels.
    Sniffer du wifi WEP c'est tellement petit et sans intérêt que je ne vois pas pourquoi vous défendez ce genre de procédé, tout le monde c'est que le WEP n'est pas sécurisé donc qu'est ce qu'il cherchait à prouver ?

    signaler au modérateur

  • #1.6 - par alcapone342 (ajouter à mes contacts ) le 12/08/2008

    Imaginons un serrurier qui a trouvé une 'faille' de porte blindée, vous rentrez chez vous et trouvez votre appart vidé et là Mr le serrurier vous dit: "Vous devriez me remercier je vous ai montré que votre porte n'était pas sécurisée! j'ai pris quelques babioles au passage mais bon vous me devez bien çà !"

    signaler au modérateur

  • #1.7 - par Grunt (ajouter à mes contacts ) le 12/08/2008

    Dans le cas qui nous intéresse ici, c'est surtout comme si on interdisait au serrurier d'informer le public du fait que cette porte n'est pas fiable. Mieux vaut laisser les portes pas fiables courir, et ne rien dire à personne, pour ne pas faire de peine aux vendeurs de portes.
    
    Ta comparaison oublie un aspect: intercepter un mot de passe n'est pas comparable au vol d'un objet matériel. Montrer une faiblesse du Wifi, c'est comme entrer par la porte ""blindée"", déposer un mot sur la table qui dit "je suis entré", et partir en refermant la porte. Et je dirais "merci de m'avoir montré que quelqu'un qui a moins de scrupules que vous aurait pu faire la même chose, en repartant avec quelques babioles."

    signaler au modérateur

  • #1.8 - par Grunt (ajouter à mes contacts ) le 12/08/2008

    En réponse à ton autre commentaire:
    
    Tout le monde sait que le WEP n'est pas sécurisé, et pourtant tout le monde continue à faire comme s'il l'était, il faut croire. La sécurisation d'une information ne doit pas se baser sur un cryptage (moisi) du signal, surtout s'il transite en clair ensuite, mais sur un cryptage au niveau applicatif ! De plus, avec le flicage intensif qui commence à apparaître, même le FAI devient un espion potentiel. Passer par du WEP pour ensuite se balader en clair sur le net est bidon, autant ne pas utiliser le WEP du tout.

    signaler au modérateur

  • #1.9 - par alcapone342 (ajouter à mes contacts ) le 12/08/2008

    "déposer un mot sur la table qui dit "je suis entré", et partir en refermant la porte. "
    Non ce n'est pas pareil Grunt car ils ont essayé de dérober les mots de passes des autres journalistes. Là ils voulaient partir après s'être fait un double de la clef, c'est condamnable.
    
    Je pense que le public sait que le Wep n'est pas sécurisé mais une des premières règles en sécurité info, c'est "adapter le niveau sécurité à la sensibilité des données à protéger".
    Le tout crypté est trop lourd, trop lent, pour le moment tout du moins, et est interdit par la loi francaise: le cryptage avec une clef supérieur à 32 bits (chiffre à vérifier) est interdit en France.
    
    Lorsque le WEP est apparu à la sortie du Wifi il était sécurisé tout simplement car le temps de craquage avec le matériel de l'époque était de plusieurs années. Rien n'est incrackable et sécurisé ad vitam eternam.

    signaler au modérateur

  • #1.10 - par alcapone342 (ajouter à mes contacts ) le 12/08/2008

    arf erratum, je croyais que c'était toujours la news sur les francais à la conf blackhat...
    
    autant pour moi

    signaler au modérateur

  • #1.11 - par Grunt (ajouter à mes contacts ) le 12/08/2008

    J'ai plus ou moins été victime de la même confusion..
    et concernant la censure des étudiants du MIT, ton avis? Sur le coup tu m'as fait peur, j'ai cru que tu applaudissait la décision du juge (alors qu'il ne s'agit pas du hack de quelqu'un, mais de la publication d'une faille).

    signaler au modérateur

  • #1.12 - par alcapone342 (ajouter à mes contacts ) le 12/08/2008

    Et bien à première vue j'ai trouvé surprenant cette interdiction, toutefois si on ne fonce pas tête baissée on peut espérer que c'est pour éviter que tout le monde s'en donne à cœur joie, et que pendant ce temps là certains bossent pour corriger la faille.
    
    Par contre si ce n'est pas pour gagner du temps ce n'est pas normal.
    Je pense que les secteurs concernés sont finalement au courant de la faiblesse de leurs produits (CQFD) et donc quelque part le but des étudiants est atteint.
    Dévoiler l'existence de la faille est une bonne chose, en donner l'exploit alors qu'elle n'a pas (encore j'espère) été corrigée c'est déjà moins bien je trouve.
    
    Voilou mon humble avis sur la question ;-)

    signaler au modérateur

• #2 - par Sylvain (ajouter à mes contacts ) le 11/08/2008

  Effectivement c'est dommage... surtout pour un pays comme les Etats Unis.
  On dirait la meme politique que la LEN : cachez ces vilaines vulnérabilités, que personne ne sache que ça existe.
  
  C'est pour quand le décret qui annonce que le piratage n'existe pas ?

  signaler au modérateur répondre

• #3 - par pépé75 (ajouter à mes contacts ) le 11/08/2008

  Ça me rappelle l'histoire de la "YesCard" qui avait prouvé la vulnérabilité des Cartes Bleues à puce... À l'époque ils avaient aussi réduit au silence le porteur du message d'alerte, mais en l'envoyant en prison.
  
  Dormez citoyens. Tout va bien.

  signaler au modérateur répondre

  • #3.1 - par Imaginus (ajouter à mes contacts ) le 13/08/2008

    L'affaire en question : Un ingénieur au chômage réussit à se procurer un ATM hors d'usage et commence a chercher la faille. (Je passe les details volontairement) la demo devant un distributeur de ticket de métro en présence des interessés . Tout ce qu'il cherchait c'est un job et au passage securisé un outil utilisé par des millions de personnes par des methodes simples. Bilan devant un sourire et derriere un procès+ prison. Affligeant.
    
    Cet épisode demontre comme avec les trois étudiant :
    
    1/ Les industriels ne reconnaitront jamais leur tort.
    2/ Il faut qu'il y est obligatoirement hacking pour que la faille soit colmatée.
    3/ Toute tentative de communication se solde par un échec systématique .
    
    Les sociétés ayant tendance a croire qu'il n'existe aucun white hat sur terre.
    
    Note: La methode des etudiants est effectivement merdique. La Black Hat a rarement fait dans le constructif et porte bien son nom. Y'a ca aussi a prendre en cause.

    signaler au modérateur

• #4 - par alcapone342 (ajouter à mes contacts ) le 12/08/2008

  Un p'tit lien sur un rapport d'IBM sur la sécurité en 2007.
  Un peu Hs mais très intéressant...
  
  www/...

  signaler au modérateur répondre

• #5 - par alcapone342 (ajouter à mes contacts ) le 13/08/2008

  Update sur le sujet, issu du site de l'université des étudiants ( www/... ):
  
  Breaking News: The Massachusetts Bay Transportation Authority filed a motion on Monday asking the Massachusetts District Court to modify the terms of its temporary ten-day restraining order against three MIT students who had discovered security vulnerabilities in the MBTA’s CharlieTicket and CharlieCard. The new terms would allow Zackary M. Anderson ’09, Russell J. Ryan ’09, and Alessandro Chiesa ’09 to discuss publicly-available information about their research, including slides they had prepared for a presentation at the hacker convention DEF CON held this past weekend. The presentation was canceled as a result of the temporary restraining order, which was issued on Saturday.

  signaler au modérateur répondre

  • #5.1 - par Marcube (ajouter à mes contacts ) le 21/08/2008

    ben oui, une fois la conference terminée et que tout le monde est rentré... il peuvent bien les montrer aux fauteuils vides, les slides....

    signaler au modérateur

L'actu des sociétés

• AMD
• Apple
• Asus
• Bouygues Telecom
• Cisco
• Dell
• Free - Iliad
• Google
• HP
• IBM
• Intel
• Microsoft
• Orange
• SFR - Neuf
• Sony
• VMware
• Yahoo!

Thema

• IP Convergence
• Développement
• e-Administration
• e-Commerce
• e-Marketing
• e-RH & Formation
• FAI
• Gestion Relation Client
• Solutions mobiles
• Moteurs de recherche
• Open source / Linux
• Systèmes d'exploitation
• Informatique de gestion
• Processeurs
• RFID & Logistique
• Serveurs & Stockage
• Sécurité & Menaces
• Solutions IP
• Wifi & Wimax

Abonnements

RSS

• News
• Produits
• Plus de flux rss

Services

Testez votre bande passante

Testez