Même au royaume des pirates subsistent quelques règles... Trois journalistes français ont été exclu de la conférence Black Hat de Las Vegas, pour avoir usé d'outils de surveillance permettant la récupération d'informations sur les réseaux utilisés dans les salles de presse de l'événement. S'il est courant, lors de la Black Hat, d'essayer de mettre en défaut la vigilance des professionnels de la sécurité présents sur place, la presse est traditionnellement épargnée.
La Black Hat de Las Vegas reunit chaque année, au mois d'août, le gratin mondial de la sécurité informatique pour une série de conférences, ateliers et présentations techniques. Tirant son nom des « black hats », ces hackers spécialisés dans le vol d'information, elle voit se côtoyer durant quelques jours chercheurs en sécurité, éditeurs, administrateurs réseau, étudiants, sans oublier quelques hackers pure souche.
Au sein de la Black Hat se trouve le Wall of Shame - Mur de la Honte, parfois surnommé Wall of Sheep pour Mur des moutons - où sont exposées les informations personnelles de ceux qui se seraient laissé aller à profiter du réseau ouvert aux participants sans soigneusement protéger leurs accès : une façon plutôt efficace de contraindre ces spécialistes de la sécurité à respecter les conseils qu'ils prônent à longueur d'année. Chacun doit donc faire preuve de vigilance... sauf ceux qui se connectent depuis la salle de presse, considérée comme une zone protégée des appétences des experts.
Dominique Jouniot, Mauro Israel et Marc Brami, du magazine Global Security Mag, auraient pourtant entrepris de se mettre à l'écoute de certaines connexions transitant par le réseau des salles de presse de la Black Hat. Non sans succès, puisqu'ils seraient allé, quelques minutes plus tard, soumettre leurs découvertes aux administrateurs du Wall of Shame, une façon selon eux de stigmatiser les comportements parfois légers de la profession. Le hic est que les journalistes concernés, employés par les publications CNet et eWeek, n'ont que très moyennement apprécié que certains de leurs confrères « sniffent » les identifiants leur permettant de se connecter à leurs outils de travail en ligne.
Brian Prince, d'eWeek, se demande ainsi dans un article intitulé « Comment je me suis fait hacker à la Black Hat » comment a-t-il pu envoyer en clair son mot de passe sur le réseau. « Il n'y a pas de bonne réponse à cette question. Je peux juste dire que l'application que j'employais ne m'imposait pas l'utilisation d'un VPN SSL (1) pour un contrôle à distance », commente-t-il.
De leur côté, les trois fautifs expliquent n'avoir cherché qu'à sensibiliser leurs confrères à l'importance de ne jamais laisser la moindre faille dans sa politique de sécurité, et qualifient l'incident de « plaisanterie ». Les responsables de l'événement semblent toutefois n'avoir que moyennement goûté la boutade, et les trois journalistes concernés pourraient se voir interdire l'accès aux futures Black Hat ainsi qu'à la rencontre DefCon, après avoir été immédiatement exclu de l'édition 2008.
A l'heure où se multiplient points d'accès ouverts et amateurs de wardriving (2), cette anecdote sera une nouvelle fois l'occasion de rappeler qu'il convient de ne se connecter aux sites et services sensibles, tels qu'un système d'information d'entreprise ou un site de banque, que depuis un réseau un minimum sécurisé.
(1) VPN, pour Virtual Private Network, une sorte de « tunnel » entre deux points du réseau. SSL, pour Secure Sockets Layers, un protocole de chiffrement des données envoyées par le navigateur.
(2) Wardriving : procédé visant à repérer des réseaux WiFi ouverts pour en utiliser la connexion ou en détourner des informations.