Vos clés (physiques) ne sont pas en sécurité sur Internet
Publié le mercredi 05 juillet 2017, 17:10 - modifié le 05/07/17 - Merveilles du monde - Lien permanent
- Article
- |
- Commentaires (0)
- |
- Annexes (0)
Comme vous le savez sans doute, je travaille dans (et suis passionné de) la sécurité informatique. Et du coup cela donne un prisme particulier à ma vision du monde, qui me permet souvent de voir le mal là où vous ne l'auriez pas soupçonné.
Le dernier exemple en date m'ayant fait bondir, a été un tweet d'une personne se félicitant de l'acquisition d'une nouvelle maison et illustrant son propos d'une photo de ses clés.
Le diable est dans le détail (et la haute définition)
En quoi cela m'a-t-il fait bondir vous demandez-vous peut-être ? Et bien tout simplement que nous vivons une époque merveilleuse où la technologie nous inonde de ses bienfaits, avec très peu d'efforts de notre part.
Prenons donc cette photo de clé (que je ne vous montre pas en vrai, il faut faire travailler votre imagination ). Dans un premier temps on constate qu'elle est de bonne qualité. Nous avons quasiment tous dans nos poches des smartphones qui, s'ils n'égalent peut-être pas le matériel professionnel, font tout de même office de très bon appareils photos.
Notre clé est donc prise en très haute résolution, afin que la photo soit belle, claire et lisible. En zoomant, on voit d'ailleurs très bien tous les détails...
...Est-ce que du coup on ne pourrait pas en faire une copie ? Parce que, oui, quand on peut déterminer rien qu'en regardant l'image si la clé est neuve, ou bien s'il y a des petites rayures dessus, on peut aussi sans trop de problème identifier le motif des dents.
La mort du petit commerce
Une fois en possession de notre motif, il y avait plusieurs possibilités : Soit vous étiez bricoleur et vous faisiez un moule, puis un double. Soit vous étiez fainéant et direction votre échoppe cordonnerie/serrurerie la plus proche où, muni de votre plus beau visage innocent et de votre meilleur bagout, il ne vous restait plus qu'à convaincre le gentil monsieur de vous en faire une copie.
Mais ça, c'était avant !
Là encore la technologie est passée et on trouve de nos jours, assez facilement, ces merveilleuses choses que sont les imprimantes 3D.
A partir d'une photo, il suffit donc juste d'en faire une modèle 3D numérique et hop "yapluka" imprimer ! Quelques minutes plus tard vous voici l'heureux propriétaire d'une clé toute neuve. En plastique, mais fonctionnelle.
Tu bluffes Martoni
Arrivé à ce stade de la lecture vous vous dites peut-être que j'affabule et que tout ceci n'est qu'hypothèses engendrées par un cerveau malade et vicié par la paranoïa. Ce qui, certes, est une théorie pas complètement ridicule s'agissant de mon activité neuronale.
Mais que nenni ! Non seulement c'est une scénario tout à fait réaliste mais, en plus, il s'est déjà produit !
En effet voici une image tirée d'un article du Washington Post de 2014.
On y voit le porte-clé utilisé par les agents des douanes américaine pour ouvrir les valises des voyageurs. (Car si vous ne le saviez pas, toutes les valises relativement récentes ont un système de "bypass" qui permet de les ouvrir sans utiliser votre clé/code à vous.)
La communauté des hackers s'est rapidement engouffré dans la brèche et, quelques jours plus tard, les plans 3D étaient disponibles sur Internet et tout le monde pouvait avoir son propre porte-clé.
Et c'était il y a déjà 3 ans ! Le siècle dernier, à l'échelle d'Internet.
Même pas peur !
Alors peut-être que vous vous dites : "Bon après tout ce n'est pas bien grave, il ne suffit pas d'avoir ma clé, encore faut-il avoir mon adresse !".
Et vous n'avez pas tort !
Alors retournons à notre photo première et observons cette autre chose fabuleuse, dont les agences de sécurité et de renseignements raffole : Les métadonnées.
Chaque image dispose de ce que l'on appelle les données EXIF. C'est une série d'informations qui, au départ, était utilisée par les logiciels de retouche d'image pour optimiser leur efficacité. On y trouve par exemple : la date et l'heure de la prise de vue bien sûr, mais aussi la marque de l'appareil, la focale, l'ouverture, l'ISO, etc...
ET les coordonnées GPS (sous réserve que l'appareil ayant pris la photo dispose d'un GPS)
Il suffit donc que vous ayez pris les photos de vos clés, avec un smartphone, depuis votre maison et... voilà ! Les clés et l'adresse sont disponibles tranquillement sur le web.
Moi ? Jamais !
Bien sûr, vous allez me dire que personne de sain d'esprit ne mettrait une photo de ses clés sur Internet. Quel intérêt ?
Et d'ailleurs une rapide recherche sur Twitter montre bien que ça n'arrive jamais.
Dans le fond c'est un peu comme publier une photo de sa carte bleue (recto et verso) dont on est très fier, ça n'arrive pas non plus. Jamais.
Que la paix soit avec vous.