http://www.cesar-conference.fr/
250 participants, traduction simultanée en Anglais, 25 communications, 3 jours de débats sur la sécurité des communications sans fil, avec en clôture le Directeur de l'ANSSI (http://www.ssi.gouv.fr). Le tout pour une centaine d'euros de frais d'inscription.
Bref un excellent cru 2009 pour les ex-journées SSI patronnées par le CELAR (DGA). Tant pis pour les absents.
La sécurité des WiFi, UMTS et autres RFID a été mise à mal par les experts du domaine. Mais les mesures de remédiation sont en cours.... ou à l'étude J
Les réprésentants de Gouvernement et Institutions France étaient majoritaires. Mais étaient aussi présent des acteurs étrangers (OTAN), le monde de la recherche (Université, INRIA), et des acteurs industriels tel Orange.
En dehors des failles de nature technique, pour ne pas dire structurelles, des technologies sans fil, un intéressant débat eu lieu. Les étiquettes RFID et assimilées sont très souvent destinées à contenir des données personnelles comme le nom, l'adresse, des paramètres de géolocalisation.... Or le premier lecteur venu, moyennant éventuellement le craquage d'une clé 8 bits J, permet d'y accéder.
D'où la dernière histoire belge. Le pass de leur métro (de fait similaire au pass parisien) permet facilement d'accéder au nom et aux dernières stations fréquentées. Imaginons que votre employeur ou conjoint accède à ces données et qu'elles ne correspondent pas exactement à votre discours. Or cet accès est possible pour un pirate de « base ».
Soyez rassurés, l'administration belge a tout prévu. Le pass fait parti du système d'information du métro et sa lecture est caractéristique d'une intrusion dans un système d'information. Infraction répréhensible en Belgique comme en France. On se demande quand même comment repérer et caractériser l'intrusion dans le pass. En y embarquant un IDS peut être J.
Plus sérieusement, consciente de ces risques, l'Europe a publié des recommandations visant à compléter la Directive européenne sur la Privacy (http://eur-lex.europa.eu/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf) pour le domaine RFID (2007/INFSO/048 rfid 2009).
Mais si le Groupe 29 (http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_fr.htm) travaille à leur complétude et à leur mise en œuvre, il ne s'agit encore que de Recommandations et non de Directives destinées à être transposées dans les réglementations nationales. A suivre donc avec intérêt dans un domaine qui bouge beaucoup.
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.