It's not a vulnerability, it's a feature!

publié le 1 November 2012

[en] As if selling a lock with a backdoor wasn't enough, some try to make it an outstanding feature...

L'achat d'une valise il y a quelques temps m'a plongé dans des affres de perplexité.

Cette valise est munie d'un cadenas intégré — ce qui paraît une bonne idée. Attachée au cadenas, une étiquette vante ses mérites à peu près en ces termes:

  • Serrures de bagages acceptées par la TSA
  • Idéal pour les trajets en avion
  • Permet à la sécurité de l'aéroport d'ouvrir, inspecter et refermer les bagages sans endommager la serrure.

L'étiquette en question

Bien. Pour me vendre un cadenas, on met donc en avant le fait que quelqu'un d'autre que moi peut l'ouvrir sans mon autorisation, et sans que je le sache.

Je ne sais pas qui possède les outils nécessaires, quels sont les mécanismes mis en place pour en éviter la fuite, à quelles conditions mes bagages pourront être ouverts... mais me voilà rassuré, la serrure ne sera pas endommagée. Ouf!

Rassurez-vous, je ne suis pas si naïf: je sais qu'on vend des voitures désactivables à distance par (presque) n'importe qui, des liseuses dont le contenu peut être effacé sans votre avis et que certaines personnes n'hésitent pas à confier l'entier de leur vie numérique à des entreprises susceptibles de leur couper tout accès du jour au lendemain.

J'étais également présent lors d'une conférenceBernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France, a reconnu à mots à peine couverts que son entreprise mettait des backdoors à disposition de certains gouvernements.

Non, ce qui me fascine tout particulièrement, c'est d'en faire un argument de vente:

"Achetez notre système d'alarme, il es muni d'un dispositif spécial permettant aux cambrioleurs agréés de vous détrousser sans avoir besoin d'endommager le système. Pas besoin de racheter une alarme après ça; vous réaliserez donc de belles économies."

Avouez, c'est plutôt convaincant comme argumentaire, non?