Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Friday 5 May 2006
0 comment(s) | Subnetwork France

L'arrestation d'un trafiquant d'armes aux Etats-Unis relance le débat de l'intégrité des fournisseurs de solutions de sécurité. Dans une affaire rapportée en France par notre confrère Réseaux & Telecoms, le FBI aurait sollicité HP/Compaq afin de déchiffrer les données protégées par son système de chiffrement Drivelock, vendu avec certains ordinateurs portables professionnels. L'affaire débute fort traditionnellement avec l'arrestation de Michael Crooker, commis voyageur en plomb & poudre. Durant l'interpellation, le FBI saisi l'ordinateur portable de Crooker et découvre que notre businessman a pris certaines précautions afin de protéger ses affaires : il a équipé son portable HP/Compaq du système de chiffrement Drivelock proposé par le fabriquant. Selon ce dernier, les informations protégées par Drivelock sont si bien protégées qu'elles sont définitivement perdues si le client oublie son mot de passe. Hélas pour Michael Crooker, il semble que le FBI ait pu déchiffrer les informations de son disque dur en dépit des "garanties" apportées par HP/Compaq. Dès lors, il en déduit fort logiquement que le fabriquant dispose en réalité d'une porte dérobée lui permettant de déchiffrer les données "Drivelockées". Et que bien entendu, il est inféodé à la Justice américaine. Selon la bonne vieille habitude locale, Michael Crooker porte donc plainte contre HP/Compaq pour... publicité mensongère ! Rien aujourd'hui ne vient cependant prouver ces affirmations, même si elles demeurent de l'ordre du possible. Le déchiffrement peut aussi bien être l'oeuvre des cipher-barbouzes de la NSA, surtout si le mot de passe était mal choisi (et croyez nous, a moins d'utiliser des caractères spéciaux inaccessibles au clavier - et en grand nombre - beaucoup de mots de passe sont mal choisis...). Ou alors, tout simplement, le FBI aurait-il infiltré au préalable le PC de Michael Crooker et intercepté le mot de passe à l'aide d'un key logger maison ? Ce genre d'opération ne serait pas une première. Bien entendu, la possibilité d'une backdoor posée par le fabriquant n'est pas à exclure pour autant. Là aussi, ce ne serait pas la première fois (Borland, par exemple, avait compilé une telle porte dérobée dans la base de données Interbase). Mais il s'agit d'une affirmation sérieuse qui pourra n'être envisagée qu'après avoir invalidé les autres possibilités. Si elle se révèle juste, en revanche, le coup pourrait être extrêmement rude pour HP/Compaq. En attendant, comme le fait remarquer notre éminent confrère et néanmoins ami Marc Olanié, utilisez donc un bon PGP en Open Source.