lundi 16 avril 2012

Cédric Blancher : "Le hacking est dans l'intérêt du public"

En introduction au congrès Hackito Ergo Sum 2012, Cédric Blancher (enseignant, consultant en sécurité pour EADS) a plaidé pour la liberté d'étudier et de modifier les objets techniques, logiciels et matériels, qui nous entourent. Pour être sûrs qu'ils sont bien à notre service.

Extraits du discours: "Le hacking est une activité dans l'intérêt du public et nous devrions protéger son exercice". Il établit un lien entre la liberté d'examiner les technologies que nous utilisons et le droit des citoyens à s'assurer contre l'arbitraire de l'Etat ou d'autres pouvoirs. Il lâche même à la tribune "We need empowerment !" Notion empruntée au vocabulaire des progressistes américains, toujours pas traduit en français.



Comment défendre la liberté de conscience si les bases de données sur les personnes ou les machines à voter - deux exemples qu'il choisit - sont entourées d'opacité ? Or, rappelle Cédric Blancher, il existe des lois interdisant l'étude des logiciels et des appareils sauf au motif - pas toujours évident à invoquer - d'interopérabilité.

Hadopiware dangereux

Autour d'un café, il m'explique que la sécurité serait un autre motif valable. "Le logiciel Hadopi d'Orange a des failles de conception graves. Il tourne avec les droits System et utilise un pipe nommé: n'importe quel programme peut le compromettre et le transformer en botnet. C'est potentiellement un problème de sécurité nationale. Ce programme aurait dû passer un audit de sécurité. Un cadre pour ce genre d'audit pourrait utiliser un tiers de confiance."

Pour Blancher, le hacking est aussi nécessaire à l'innovation. Beaucoup d'inventions marquantes sont le fait d'amateurs pointus, et ont été récupérées ensuite par l'industrie. Le VTT par exemple - alors qu'aujourd'hui tous les fabricants de vélo en profitent. En informatique, on a la technologie du bac à sable (sandbox), filon exploité par les éditeurs d'anti-virus entre autres.

Hacker les objets

Il me montre son appareil photo Pentax avec un objectif non prévu par le fabricant et dont il a adapté la monture. "Aujourd'hui, on subit la société de consommation. On est passif vis à vis des objets. Mon premier PC, un Amstrad 1512 avait 512 Ko de RAM et de toutes façon le DOS n'adressait pas plus. Beaucoup de programmes nécessitaient une configuration particulière pour fonctionner avec ces limites. Le bricolage était nécessaire. Entre ça et les PC d'aujourd'hui, achetés en grande surface, il y a un monde. Ceux-là n'ont aucune possibilités d'extension. Il n'y a pas d'incitation à aller plus loin que ce qui est prévu.

"Un bon informaticien, c'est quelqu'un qui a mis en pratique ses connaissances de base. Et je constate chez certains étudiants une connaissance superficielle des outils. Ils savent utiliser NMAP (un scanner de ports réseau) mais pas ce que font précisément les différentes options. Chez eux, la culture du bricolage, la curiosité critique vis à vis des appareils reculent. On leur dit que l'iPhone est sûr, ils le croient. Et ils ont tort.

"Pourtant, les possibilités offertes aux curieux n'ont jamais été aussi grandes, avec l'Arduino (circuit programmable libre), la Wiimote, le Kinect. Les fabricants mettent des freins légaux et techniques, d'autant plus que leur modèle économique repose dessus. L'iPhone est un terminal d'accès à un système distribué. On est obligé de passer par l'AppStore et iTunes. Android est inutilisable sans un compte Gmail. L'utilisateur ne contrôle pas les données personnelles qui passent dans ces systèmes.

"Pourquoi est-ce important d'étudier ces objets ? Il faut savoir comment ils marchent pour garder la main dessus. Il faut savoir comment fonctionne une machine à voter. C'est une question d'équilibre des pouvoirs et d'indépendance. La LCEN interdit la production, la possession d'outils de hacking. Chez EADS, les juristes ont interdit à une division de faire une démonstration à un client sur la base de cette loi. Le code de la propriété intellectuelle nous empêche de faire de l'ingénierie inverse sur des produits propriétaires d'origine étrangère pour évaluer leur degré de sécurité. C'est ennuyeux dans l'industrie aéronautique, surtout qu'il n'y a pas beaucoup de produits logiciels français."

Aucun commentaire:

Publier un commentaire