Les mercredis sécurité: Ça commence!
Technologie et sécurité
8 septembre 2010 – 12h24
Pour les six (6) prochaines semaines, j’ai demandé la collaboration de l’un de mes collègues, Patrick Rousseau-Mathieu, qui œuvre dans le secteur Technologie et Sécurité, pour la rédaction d’une série d’articles portant sur, vous l’aurez deviné, la sécurité. À partir d’aujourd’hui et pour les semaines à venir j’amorce ce que j’appellerais les «mercredis de la sécurité», une tradition que j’aimerais d’ailleurs bien instaurer et maintenir même une fois cette série terminée!
Bonne lecture!
Véronique
LA SÉCURITÉ ET LES ATTAQUES CELLULAIRES
Billet 1 de 6
Au Québec et partout à travers le monde, beaucoup d’efforts sont investis en sécurité et en piratage informatique. Aux États-Unis, l’ampleur des recherches a mené à d’impressionnantes découvertes.
Le Defcon et le BlackHat, deux événements d’envergure en sécurité informatique, attirent à chaque année à Las Vegas plus de 10 000 spécialistes en sécurité et en piratage. Depuis 3 ans, ma participation à ces deux événements m’a permis d’assister à différentes conférences sur les avancées en termes de sécurité informatique. À travers cette série de billets, je vous détaillerai donc les principales tendances observées, afin d’encourager l’implication des professionnels d’ici, pour l’avancement de la sécurité au Québec.
Les tendances en sécurité
Le BlackHat et le Defcon sont les deux plus gros évènements de sécurité en Amérique. Le BlackHat est un évènement professionnel orienté sécurité et le Defcon est un évènement underground orienté piratage. Ils offrent aux visiteurs des centaines de conférences et de concours de piratage et de sécurité physique, sociale et informatique.
Pourquoi parler de ces deux évènements? Parce que les tendances en termes de sécurité y sont discutées et décortiquées par les plus grands chercheurs et hackers. Voici le premier sujet qui a attiré mon attention…
Les attaques sur réseau cellulaire
Les deux conférences les plus spectaculaires et les plus attendues traitaient des attaques sur les réseaux cellulaires GSM (Global System for Mobile Communications). En résumé, le protocole GSM (2G), à ne pas confondre avec le protocole des cellulaires intelligents qui utilisent le réseau 3G, était déjà considéré comme non sécuritaire. Maintenant, c’est prouvé : écoute électronique, déni de service… En somme, les cellulaires utilisant le protocole 2G, soit la plupart des téléphones non intelligents, ne sont à l’abri d’aucune attaque. Il est donc recommandé d’utiliser le réseau 3G, nettement plus sécuritaire.
Écoute téléphonique
La conférence « Practical Cellphone Spying par Chris Paget» a suscité énormément d’intérêt, notamment en raison de la démonstration effectuée. Les conférenciers ont installé à l’avant-scène des antennes cellulaires, reliées à de l’équipement informatique émulant une tour cellulaire. Cet équipement contient OpenBTS, un logiciel qui simule un serveur et les communications de réseau cellulaire.
À partir de ces installations un nouveau réseau cellulaire nommé DEFCON a été rendu visible sur les cellulaires des spectateurs. Tous pouvaient s’y connecter manuellement. Cependant, le but étant de forcer les utilisateurs de cellulaire à se connecter à cette infrastructure volatile pour effectuer de l’écoute cellulaire, il est possible, à partir d’OpenBTS, de simuler que la tour maison est réellement une tour du réseau d’AT&T ou de Rogers par exemple. Ainsi, lors de la conférence, plusieurs cellulaires se sont automatiquement connectés à la tour à l’avant de la scène.
Pour rendre l’écoute cellulaire encore plus simple, le présentateur a analysé le protocole GSM. Par défaut, un cellulaire se connecte à la tour cellulaire la plus près et à celle qui émet le plus grand signal. De plus, techniquement le GSM assure le chiffrement des communications. Toutefois, la réalité est autre…
Avec une tour cellulaire maison, il est possible de contrôler le protocole et de modifier ses valeurs via OpenBTS. Ainsi, on réussi à indiquer aux cellulaires avoisinant que cette tour émet le plus grand signal, même si ce n’est pas le cas. Cette manœuvre est rendue possible grâce à l’envoi de paquets de données spécialement conçus, de façon à obtenir un grand nombre de connexions cellulaires. Il est aussi possible de désactiver le chiffrement pour faciliter l’écoute des cellulaires, et ce, sans avertissement ni avis à l’utilisateur. Il devient donc possible d’injecter des éléments sonores dans les communications, d’intercepter les messages textes (SMS) et d’enregistrer le tout.
Déni de service
La deuxième conférence « Base Jumping: Attacking GSM Base Station Systems and mobile phone Base Bands par The Grugq » a démontré que le protocole GSM autorise l’envoi de requêtes aux cellulaires, aux tours cellulaires et au serveur, et ce, sans être authentifié au réseau. Tout cela est possible même si les communications ne sont pas chiffrées ni authentifiées au réseau cellulaire.
Ainsi, il est possible de déconnecter du réseau une tour cellulaire, un cellulaire précis ou tous les cellulaires d’une certaine région.
En espérant vous avoir fait réagir et réfléchir aux différents enjeux de la sécurité et du piratage, je vous invite à suivre mes cinq autres articles sur d’autres sujets et tendances en sécurité qui paraîtront dans les prochaines semaines. Je vous invite également à m’écrire personnellement à : patrick.rousseau-mathieu@nurun.com ou à laisser vos commentaires sur ce blogue!
Patrick
Partenariat Nurun – a11yMTL 2010
Accessibilité
26 août 2010 – 8h11
Nurun Services conseils est partenaire principal de la journée a11yMTL 2010. Dès l’annonce par Denis Boudreau de la tenue de cet événement, nous avons manifesté notre intérêt à faire partie de l’aventure.
C’est donc avec plaisir que nous avons travaillé à la conception et à la réalisation du site Web de l’événement. La conception graphique est de ma collègue, Marie-Helene Farly. De mon côté, j’ai eu carte blanche en ce qui concerne l’intégration ainsi que l’accessibilité.
Le site se veut en conformité avec les nouveaux standards d’accessibilité du gouvernement du Québec auxquels nous avons ajouté une touche d’Aria.
Comme pour tout site il y a sans doute place à amélioration. Au cours des toutes dernières heures j’ai encore mis la main à la pâte pour y apporter quelques retouches à la suite de certains commentaires constructifs qui m’ont été transmis.
Donc n’hésitez surtout pas à communiquer avec moi pour tout commentaire ou retour d’expérience, au : francois.vachon@nurun.com ou sur twitter, @iagozi.
En espérant vous rencontrer sur place le jour de l’événement !
L’accessibilité n’est pas une option!
Accessibilité
24 août 2010 – 12h13
Concevoir l’accessibilité comme une option qu’on peut choisir en fin de production d’un site Web relève de l’utopie. Limiter la responsabilité de son application à l’étape d’intégration est pourtant une erreur courante.
Avec l’arrivée imminente du nouveau standard sur l’accessibilité du gouvernement du Québec, le SGQRI 008, il est impératif pour toute personne, toute firme désirant continuer à travailler à la production de sites Web dans le service public, de comprendre la transformation des habitudes de travail que cela implique.
La résistance au changement est naturelle, et la transformation organisationnelle demande une stratégie propre à chaque situation.
Il y a un peu plus de deux ans, on m’a demandé dans le cadre de mon travail de produire une liste de contrôle qui permettrait à un intégrateur Web de produire du code qui serait respectueux des standards d’accessibilité.
Rapidement, il m’est apparu évident que cette responsabilité devait être partagée entre plusieurs corps de métier, que cela impliquait un changement de paradigme et que cela passait impérativement par l’appui de la direction. Et que ce n’était pas une option.
Depuis un certains temps d’ailleurs, dans le département des Communications interactives où je travaille, le mot d’ordre est de toujours considérer l’accessibilité comme faisant par défaut partie des livrables. Et que la dérogation serait l’exception. Que pour réussir à intégrer chez chacun les bonnes pratiques de travail en ce sens, on ne pouvait attendre d’avoir l’obligation de le faire.
Nous n’en sommes qu’au début. Il reste encore beaucoup d’obstacles à surmonter. Tous les jours, on doit faire un travail de sensibilisation, de mise à niveau des connaissances. Chaque projet offre un nouveau défi, une autre série de pièges à éviter, de nouvelles connaissances à acquérir. Régulièrement lorsque je transmets à mes collègues les résultats du contrôle qualité sur l’accessibilité du travail accompli j’entends dire: « Avoir su avant…« , « Pourquoi on ne nous a pas… »
L’accessibilité n’est pas un livrable en soit, pas plus que la qualité. Mais c’est une valeur qui, si elle ne fait pas partie du concept de base d’un site Web, peut entrainer des coûts bien supérieurs à ceux qu’elle aurait entrainés en amont.
Dans le cadre de la journée a11yMTL 2010 qui se tiendra a Montréal cette semaine et qui regroupera une centaine d’artisans, de penseurs et de travailleurs du Web du Québec et d’ailleurs, je prononcerai une conférence où je tenterai de résumer l’expérience que notre équipe a acquise sur le sujet, l’impact qu’a représenté et représentera l’intégration du SGQRI 008 dans notre organisation du travail et dans nos mentalités ainsi que les défis à relever pour l’accomplir.