bUg <BR>Oth3r | Sécurité | vie privée | RE:vue de web |     | vie-privee.org | Big Brother Awards France | RenseignementsGeneraux.net
Fichier extrait de la mémoire cache de Bb) et -donc- des archives de bUg<BR>Oth3r, et +- nettoyé pour impression par rapport à sa VO sise à le 26 mars 2002 (la page a peut-être été modifiée depuis).

Bb) n'est ni affilié aux auteurs de cette page ni responsable de son contenu.

Des militaires d’élite utilisent du matériel sans fil non sécurisé
Dixit : ZDNet.

La plupart des claviers sans fil ne disposent d’aucun système de chiffrement protégeant les données émises par ondes radio. Ils sont donc aisément piratables et ne devraient pas être utilisés en zone de sécurité sensible.

Et pourtant, le centre d’entraînement au combat de l’armée de terre (Centac) en utiliserait. Et semble même tirer une certaine fierté de l’aspect high tech du produit. Peut-être involontairement, accordons-lui le bénéfice du doute. C’est l’équipe du site Kitetoa.com, fouineurs infatigables en quête de faiblesses de sécurité, qui aura relevé l’anecdote.

Dans le numéro de février 2002 du mensuel Raids, magazine spécialisé dans l’armement et les conflits contemporains vendu en kiosque, dix pages sont consacrées à ce centre d’entraînement inauguré en 1996, qui se veut à la pointe de la technologie, notamment en matière de nouvelles techniques de simulation de combat.

Et en effet (la rédaction nous a fait parvenir gracieusement un exemplaire), page 48, une photographie montre clairement deux membres administratifs du Centac en pleine action. Il sont au centre d’opérations du Centac où un système informatique de simulation de combat baptisé Centaure « autorise la visualisation en temps réel de la situation tactique en localisant par GPS tous les véhicules et unités élémentaires et permet de voir les tirs et leurs résultats », explique la légende. Bref, un bel exemple de haute technologie. Sauf qu’on peut observer, en bas de la photo, la présence plutôt mal venue d’une souris et d’un clavier sans fil.

ZDNet a demandé à un technicien, spécialiste des systèmes de radiofréquence, d’identifier le modèle présenté. Il nous assure, amusé, qu’il s’agit du "Cordless Desktop iTouch" du fabricant suisse Logitech. Une identification également faite par Kitetoa. Plus précisément, d’après le design particulier du clavier, il s’agit d’un ancien modèle que Logitech a mis sur le marché courant 2000.

« Ce type de produit n’est vraiment pas sécurisé », explique notre expert. « Un simple bidouilleur muni d’un récepteur radio peut facilement intercepter tout ce qui est saisi sur le clavier, notamment les logins et mots de passe de l’utilisateur, dans un rayon de 10 mètres », assure-t-il. Selon lui, le récepteur d’un clavier Logitech peut même « facilement être amélioré, en y intégrant un amplificateur de signal ». Il servira alors de système d’écoute avec une portée beaucoup plus importante.

Garreth Hayes, responsable de la communication de Logitech pour l’Europe, nous a pour sa part précisé que les modèles "Cordless Desktop iTouch", commercialisés avant le mois d’août 2001, comme celui présent sur la photo du Centac, « ne disposaient d’aucun système de chiffrement ».

Depuis, le fabricant de périphériques pour PC déclare avoir rectifié le tir. Mais n’allons pas si vite... Ses derniers modèles (qui portent le même nom), nous dit Hayes, intègrent un système de brouillage avec une clé 32 bits et un algorithme propriétaire. Il est pourtant surprenant de parler de sécurité informatique en mettant en avant une clé de chiffrement si réduite (en général, une longueur de clé de 128 bits est un minimum pour espérer rassurer l’utilisateur), et il est encore plus risqué, tous les experts en cryptographie le confirmeront, d’utiliser un algorithme confidentiel qui n’est connu que du seul fabricant.

Logitech a pris la peine de nous faire tester ce dernier modèle. Nous ne contestons pas qu’il est désormais plus difficile de pirater la transmission, mais l’utilisateur n’a que très peu d’informations à sa disposition sur cette "sécurité" après son achat. Dans la documentation, il n’en est fait aucune mention. Seule une feuille volante informe l’utilisateur de la marche à suivre pour l’activer. Mais rien sur les références du système de chiffrement employé.

En ce qui concerne l’utilisation par l’armée française de matériels aussi sujets à caution, la Dicod (Direction de l’information et de la communication de la Défense), contactée par ZDNet en début de semaine, n’a pas été en mesure de nous répondre sur ce dossier.