Corentin : Aujourd’hui avec Geoffroy, on va parler de Heartbleed, de Shellshock, de Blueborn, de Krack ou de Keysniffer… Hé, mais je connais, c’est des groupes de rock, non ?
Geoffroy : Eh bien détrompe toi mon cher Corentin, même si c’est moi qui t’ai écrit ce lancement, si ces failles ont des noms qui font penser à des groupes de hard rock, ce sont en fait des failles de sécurité informatique.
C : Ah oui, Krack c’est bien celle qui a été repérée mi-octobre, c’est ça ?
G : C’est tout à fait ça. Pour faire simple, parce que c’est déjà compliqué à l’écrit, donc à l’oral n’en parlons pas, Krack c’est une faille qui touche le principal outil de protection des réseaux Wi-Fi, la technologie WPA 2. En gros, cette faille permet à un pirate, qui doit avoir lui-même accès au réseau Wi-Fi, d’intercepter toutes les données d’un appareil qui tente de s’y connecter. Autant dire que la sécurisation, ben y en a plus.
C : Et c’est grave ?
G : En théorie oui, extrêmement, puisque ça touche aussi bien les smartphones, les ordinateurs ou les consoles de jeu que les routeurs Wi-Fi et les box Internet elles-mêmes. En pratique, la faille est tout de même compliquée à exploiter et il n’y a pour ainsi dire pas grand-chose à faire pour s’en protéger pour l’instant. En attendant des mises à jour de vos appareils ou de vos box par les constructeurs, si vous souhaitez absolument vous protéger, le plus simple reste de passer par un VPN.
C : D’accord, donc j’ai bien compris pour Krack. Mais c’est quoi le rapport avec Blueborne ou Heartbleed ?
G : Leur nom. Tu ne trouves pas ça bizarre, toi, que depuis quelques années, on donne des petits noms à des vulnérabilités ? Avant, c’était réservé aux seuls virus, comme ILoveYou, ou aux attaques informatiques, comme WannaCry découverte en mai. À la base, c’était des noms issus de bouts de programmes laissés malencontreusement, ou volontairement, par les pirates. C’est de là que venaient ces noms-là. Et l’air de rien, ça marche, ça marque les esprits, ça aide le grand public à s’en souvenir et les journalistes à en parler.
C’est ce qu’ont réalisé certains laboratoires et chercheurs en sécurité informatique depuis quelques années. Plus précisément depuis mars 2014 et la découverte d’Heartbleed. Si je te cite la faille CVE-2014-0160, ça te parle ? Non, c’est normal, ce n’est pas hyper vendeur. Si je te dis Heartbleed, d’un coup ça raisonne un peu plus. Et ça permet aux journalistes de LCI de consacrer un reportage à ce sujet.
[Extrait]
Heartbleed, c’est la première fois qu’un laboratoire informatique, en l’occurrence Codenomicon, a eu l’idée de donner un nom à une vulnérabilité. De créer un site Internet autour de cette faille. Et même de lui designer un petit logo, avant d’envoyer des communiqués de presse pour la faire connaître aux médias spécialisés, et donc au grand public.
C : Comment ça « la première fois » ?
G : Eh bien depuis 2014, c’est une pratique qui s’est largement généralisée. Les noms que je te donnais au début, Heartbleed, Blueborn, Krack ou Shellshock, ce ne sont ni des noms de groupes de rock, ni des noms de virus, mais bien des désignations de failles données par des chercheurs en cybersécurité.
C : Mais quel est l’intérêt ?
G : Faire parler de sa faille, pardi. Il faut bien comprendre un truc, la plupart des journalistes, même spécialisés dans les nouvelles technologies, moi y compris, sont des billes en cybersécurité. C’est bien pour ça que je fais ma chronique sur le marketing des failles, et non pas sur Krack en détail. Dès lors, c’est beaucoup plus simple d’attirer leur attention sur une découverte avec un nom, un logo et un site bien explicatif.
Parce que tout l’intérêt est là. C’est bête à dire, mais les chercheurs en sécurité… sont des chercheurs. Ils veulent que leurs découvertes aient le plus d’expositions possible, le plus de répercussions aussi. C’est encore plus le cas pour des laboratoires en sécurité informatique, puisqu’ils ont un intérêt commercial à ce que leur nom circule.
C : On dirait que ça t’embête un peu…
G : Pas vraiment, non. Je suis complètement favorable à ce que les failles, les dangers et les virus informatiques soient révélés, pour que les gens fassent attention. Par contre oui, il y a un truc que je trouve dommage.
Je reviens rapidement à Krack, tu sais la faille qui touche le Wi-Fi. Elle a été révélée le 16 octobre, et tout le monde, de Tom’s Guide à Zdnet en passant par LeMonde ou Lefigaro, absolument tout le monde en a parlé. Par contre, est-ce que tu savais que le même jour, une autre faille majeure a été découverte, une faille qui touche des millions de clés de chiffrement, y compris parfois utilisées dans des cartes d’identité nationales ou des parcs informatiques de certains pays. Non, tu ne le savais pas ? Normal, cette faille-là n’a pas de nom ni de logo.
C’est un peu le souci du marketing des failles de sécurité, comme me l’affirmait Justin Ganivet, ingénieur en sécurité et Youtubeur sur l’excellente chaine LePointSécu. Il m’expliquait « Dans le milieu on dit bien : si ta vulnérabilité n’a pas de site ni de logo, ce n’est pas une vraie faille ». Autant dire que ce n’est pas tant le risque qui compte, mais à qui criera le plus fort, ou même qui composera une chanson au sujet de sa faille favorite.
[Extrait 2]
C : Merci Geoffroy
0:00
5:09
Vous êtes sur une page de podcast. En cas de difficulté pour écouter ce document sonore, vous pouvez consulter sa retranscription rapide ci-dessous.