Diffusé sur la chaîne américaine NBC le 4 février dernier, le reportage du journaliste Richard Engel a fait grand bruit sur la Toile. Et pour cause : le reporter, dépêché à Sotchi pour couvrir les Jeux olympiques, y explique avoir vu ses ordinateurs et son téléphone portable piratés à peine connectés aux réseaux Wi-Fi publics de la ville. Un reportage qui esquive les détails techniques pour se contenter d'un message limpide : à Sotchi, les pirates guettent la moindre possibilité de voler des données sur les machines des touristes étrangers.
Mais l'affaire n'a pas fait que donner de l'eau au moulin de ceux qui critiquent déjà beaucoup cette édition russe des JO : elle a également attiré l'attention d'experts en sécurité. Parmi eux, Robert Graham, d'Errata Security. Dans un billet de blog, ce dernier estime que « l'histoire de la NBC est 100% fausse ». Si l'expert s'attendait en premier lieu à voir une histoire d'attaque de type « man in the middle » ou d'exploitation de faille 0-day, il n'en est au final rien. « Le hack est possible en raison des sites Web visités, sur le thème des Jeux olympiques. Ca n'a rien à voir avec la localisation géographique, les résultats auraient été similaires en Amérique » explique-t-il, précisant que Richard Engel et l'expert en sécurité qui l'accompagne ne sont pas à Sotchi, mais à Moscou.
Pour réaliser ses observations, Robert Graham se base sur une version différente du reportage, qui est passée nettement plus inaperçue que l'intervention réalisée en direct sur NBC. Trois minutes qui changent tout puisqu'on y voit le journaliste visiter des sites douteux sur les JO, et tomber dans tous les pièges qui lui sont tendus. Sur son smartphone Android, il télécharge même un fichier APK dont il ignore la provenance, et qui contient un malware, comme on peut l'imaginer.
Si Robert Graham conseille tout de même aux personnes qui se connectent sur un Wi-Fi public - à Sotchi ou ailleurs - de passer par un VPN pour éviter des attaques sophistiquées, pour lui, il n'y a pas de raison de s'inquiéter plus dans la ville des jeux qu'ailleurs. « La seule chose que cette histoire confirme, c'est qu'il ne faut pas laisser Richard Engel emprunter votre téléphone » ironise-t-il.
A noter que l'expert d'Errata Security a eu, jeudi, un échange agité avec Kyle Wilhoit, l'autre expert qui conseille Richard Engel dans le reportage, sur Twitter. Wilhoit explique notamment ne pas avoir pu quitter Moscou en raison de papiers manquants. Il indique par ailleurs être en train d'écrire un article incluant les détails techniques de l'expérience, pour mettre les choses au clair par rapport à l'histoire diffusée par NBC.