Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Entre « aubaine » et « cauchemar », la NSA se penche sur les objets connectés

Am stram gram
Tech 4 min
Entre « aubaine » et « cauchemar », la NSA se penche sur les objets connectés
Crédits : Wavebreakmedia Ltd/ThinkStock

La NSA s’intéresse de près aux objets connectés. L’agence américaine de renseignement indique qu’ils pourraient s’avérer être une source précieuse de données. Elle reconnait cependant que la pluralité de ces appareils pourrait être à la fois aussi bien une opportunité qu'un vrai problème.

Le travail de la NSA (National Security Agency) comporte deux facettes. La première est la plus connue depuis le passage d’Edward Snowden : le renseignement. L’agence doit recueillir toutes les informations susceptibles d’intéresser le pays dans le cadre de diverses luttes, notamment contre le terrorisme. L’autre est la défense du territoire, quand bien même pour la NSA ladite défense peut impliquer une attaque.

L’agence effectue en effet un travail paradoxal, aux conséquences parfois funestes. Elle participe par exemple à l’élaboration de certains protocoles de sécurité. Elle est une étape obligatoire pour tous ceux dont les produits espèrent atterrir sur des ordinateurs gouvernementaux, particulièrement pour ce qui a trait à la sécurité. Mais les documents de Snowden ont montré comment la NSA allait jusqu’à introduire des portes dérobées dans le code pour se laisser une marge d’action. Sans aller jusqu’à en créer, il suffit qu’elle détecte des failles et qu’elle en garde les détails.

Ces deux facettes intimement liées impliquent que la NSA garde un œil sur presque tout, expliquant notamment pourquoi elle dispose de budgets colossaux. En plus de ses différents programmes de surveillance (dont le plus connu est sans doute Prism), elle suit l’évolution de la technologie et des usages. Les objets connectés, qui sont bien loin d’avoir révélé leur plein potentiel, font partie des pistes actuellement explorées.

Cauchemar et aubaine

Comme le rapporte The Intercept, c’est le directeur adjoint de l’agence, Richard Ledgett, qui l’a confirmé vendredi dernier lors d’une conférence à Washington sur la technologie militaire. Mais il s’agit d’un domaine très vaste, regroupant des secteurs très différents. Aussi, interrogé sur la possibilité de suivre toutes les évolutions, Ledgett confirme, ajoutant que même les petits équipements biomédicaux connectés sont examinés.

Le directeur adjoint précise cependant que cet intérêt se fait pour l’instant « du point de vue de la recherche ». Comprendre que l’agence étudie ces objets pour savoir comment ils fonctionnent. Le vrai problème pour la NSA est le nombre toujours croissant de ces appareils. Interrogé d’ailleurs si l’ensemble des objets connectés serait « un cauchemar de sécurité ou une aubaine pour les données de renseignement », Ledgett a confirmé : « Les deux ».

La NSA insiste : elle ne peut pas être partout

Le responsable a tenu en effet à torpiller une « croyance » populaire : la NSA n’est pas sur tous les fronts au point de savoir exploiter le moindre appareil tombant entre ses mains. Elle doit ainsi faire des choix et définir des priorités, et ces dernières sont toujours régies par les technologies utilisées par les cibles. Il explique cependant qu’un tel foisonnement est à la fois un défi et une opportunité : « Mon travail étant de pénétrer les réseaux des gens, la complexité est mon amie. La première fois que vous mettez à jour un logiciel, vous introduisez des vulnérabilités, ou bien des variables ». On en revient alors à la quête perpétuelle des failles à exploiter.

Point intéressant, le directeur adjoint a rebondi sur ce sujet pour revenir à l’affaire San Bernardino, dans laquelle Apple et le FBI se sont affrontés autour d’un iPhone 5c récalcitrant. La NSA avait été critiquée pour ne pas avoir aidé le Bureau dans sa volonté de percer la sécurité du smartphone. Pour Ledgett, l’explication est simple : l’agence n’avait tout simplement pas investi de ressources dans l’examen de ce modèle en particulier. « Nous ne nous occupons pas de tous les téléphones, ou de toutes les variations d’un téléphone. Si nous n’avons pas un méchant qui l’utilise, on ne le fait pas ».

De simples données complémentaires ?

Dans un cadre de suivi des « méchants », les objets connectés pourraient se révéler de précieux atouts, mais ils sont pour l’instant vus comme d’éventuels compléments. The Intercept rappelle que dans une lettre envoyée début mai au sénateur Ron Wyden, le Bureau national du renseignement avait indiqué que les données issues « d’un réfrigérateur, d’une machine à laver ou d’un jouet pour enfant » ne pourront jamais remplacer le contenu des communications dans le cadre de la lutte antiterroriste.  

Pour autant – et il s’agit une nouvelle fois du travail à deux facettes de la NSA – Ledgett confirme que la recherche actuelle faite sur les objets connectés doit servir également à protéger. Les smartphones personnels ne sont pas autorisés dans les locaux, mais que se passera-t-il quand un employé aura pour la première fois un appareil médical connecté, comme un pacemaker ? Le responsable l’avoue : « Nous n’avons pas encore résolu ce problème ».

La NSA ne devrait en tout cas pas manquer d’opportunités sur les objets connectés. Leur nombre grandit rapidement et de nombreuses inquiétudes se sont déjà manifestées sur la sécurité de l’ensemble. L’agence ne devrait donc avoir qu’à se baisser pour en cueillir. 

17 commentaires
Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 13/06/16 à 15:55:24

Je voulais faire une blague... et puis non, c'est juste un cauchemar en fait.

Avatar de bogomips Abonné
Avatar de bogomipsbogomips- 13/06/16 à 16:16:16

On va certainement voir arriver les IoT zombies qui seront jamais mis à jour, ça sera sympathique pour le DDOS.

Avatar de gloutch INpactien
Avatar de gloutchgloutch- 13/06/16 à 16:16:51

La NSA n'a même pas besoin de ça: il suffit d'aller se servir sur Facebook.
Même sans être la NSA il est facile d'avoir l'autorisation d'accès aux données personnelles.
Le plus fort c'était un quizz sur le cinema que j'ai vu passé récemment et qui demandait bien sûr l'accès à vos données personnelles. En échange de quoi ? Quelques images de films très connus et le pire c'est que le test est truqué: même en répondant mal à 50% des question tu avais le droit à une note de 100/100 et il fallait avoit tout faut pour descendre à 70%! Tout ça pour flatter l'ego et pousser les gens à partager cette bouse le plus possible et ainsi obtenir le maximum d'infos...  

Avatar de Vivi Orunitia INpactien
Avatar de Vivi OrunitiaVivi Orunitia- 13/06/16 à 16:26:38

"La première fois que vous mettez à jour un logiciel, vous introduisez des vulnérabilités," Est-ce mal traduit de l'anglais ? Ou faut-il comprendre qu'ils se servent des mise à jour pour ajouter des vulnérabilités ? Ou pour du man in the middle durant l'opération de maj ? Ou j'ai simplement mal compris.

Édité par Vivi Orunitia le 13/06/2016 à 16:27
Avatar de Nerkazoid INpactien
Avatar de NerkazoidNerkazoid- 13/06/16 à 16:30:50

La traduction est bonne. Les mises à jour peuvent venir avec leur lot de nouvelles failles/vulnérabilités. Par contre l'aspect des variables m'échappe d'un point de vue technique je suis dépassé :chinois: . La version anglaise tend à indiquer que les mises à jour introduisent plus de nouvelles variables que de vulnérabilités. Si quelqu'un peut expliquer la différence :transpi:

Édité par Nerkazoid le 13/06/2016 à 16:31
Avatar de Vivi Orunitia INpactien
Avatar de Vivi OrunitiaVivi Orunitia- 13/06/16 à 16:37:58

Ok. Pour moi l’intérêt principal des mises à jours et justement de corriger les vulnérabilités. Même si il y a un risque d'en introduire de nouvelles, généralement on est quand même sensé avoir un bilan en faveur d'une réduction des risques.  Mais c'est vrai que le nouveau code leur donne de nouvelles opportunités qu'ils n'avaient peut-être pas avant.

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 13/06/16 à 17:20:43

Petite chanson de développeur : 

100 bugs sur un mur,
1 bug tombe du mur
102 bugs sur un mur

:musique:

Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 13/06/16 à 17:29:57

Vivi Orunitia a écrit :

"La première fois que vous mettez à jour un logiciel, vous introduisez des vulnérabilités," Est-ce mal traduit de l'anglais ? Ou faut-il comprendre qu'ils se servent des mise à jour pour ajouter des vulnérabilités ? Ou pour du man in the middle durant l'opération de maj ? Ou j'ai simplement mal compris.

non, c'est juste une référence à windows update qui installe GWX :fumer:

Avatar de MoonRa Abonné
Avatar de MoonRaMoonRa- 14/06/16 à 05:28:56

Qu'elle arrogance quand même

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 14/06/16 à 07:22:06

Nerkazoid a écrit :

La traduction est bonne. Les mises à jour peuvent venir avec leur lot de nouvelles failles/vulnérabilités. Par contre l'aspect des variables m'échappe d'un point de vue technique je suis dépassé :chinois: . La version anglaise tend à indiquer que les mises à jour introduisent plus de nouvelles variables que de vulnérabilités. Si quelqu'un peut expliquer la différence :transpi:

Comme dit plus haut, il n'est pas rare qu'en corrigeant un bug/faille/vulnérabilité on en introduise une autre.
Quant aux variables, je ne pense pas qu'il faille l'entendre au sens informatique mais plutôt au sens d'alternative /truc à considérer/paramètre d'analyse (une opportunité d'intrusion qui disparaît ou, au contraire, apparaît, une fonctionnalité qui ouvre une possibilité d'exploit, etc.)

Donc plus une variable d'analyse qu'un $variable

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Cauchemar et aubaine
  • La NSA insiste : elle ne peut pas être partout
  • De simples données complémentaires ?
S'abonner à partir de 3,75 €