Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Friday 26 September 2008
8 comment(s) | Subnetwork France

A première vue, l'annonce est fracassante : le gouvernement d'un état souverain aurait attaqué, et brisé, les communications sur le réseau du canadien Research in Motion, le fabricant du Blackberry. Sachant que ces dernières sont chiffrées par un algorithme AES à 256 bits, cela a de quoi faire dresser l'oreille de la communauté. AES serait-il cassé ?

A vrai dire, on n'en sait rien. Les détails techniques sont encore peu nombreux dans cette affaire et tout pousse à la plus extrême prudence. L'Inde joue un bras de fer avec RIM depuis le début de l'année, et le gouvernement a tenté à de nombreuses reprises de forcer le canadien à livrer les "clés de déchiffrement principales" (master keys) des terminaux commercialisés en Inde. Ce a quoi RIM rétorque sans relâche qu'elles n'existent pas, puisque chaque terminal négocie sa clé avec le serveur BES de l'entreprise sans aucune intervention du fabricant.

Le timing de l'annonce du gouvernement, pour commencer, est étonnamment pratique : elle intervient peu après que l'Inde ait été frappée par une série d'explosions à Delhi, ce qui permet d'invoquer le risque terroriste avec plus d'urgence encore. Et elle a également lieu au moment du passage en Inde de Jim Balsillie, co-directeur exécutif de RIM.

Surtout, un article du India Times semble indiquer que l'interception ne concerne pas les entreprises. Il s'agirait alors uniquement du service BIS (Blackberry Internet Services) essentiellement destiné aux particuliers. Dans ce cas, parler de "crackage" est une fumisterie, puisque l'opérateur téléphonique dispose du mot de passe nécessaire pour accéder aux boîtes à lettres qu'il doit relever. Et justement, selon la législation indienne, il est tenu de le communiquer au gouvernement sous certaines conditions.

Le gouvernement dit d'ailleurs vouloir exiger des opérateurs chez qui cette "interception" ne fonctionne pas de manière optimale à opérer les modifications techniques nécessaires, et parle de "décompression" du trafic. Peut-être s'agit-il alors tout simplement de placer un sniffer chez les opérateurs afin de contrôler le trafic à la source, devant les boîtes aux lettres et donc avant leur prise en charge.

Dans tous les cas, l'Inde annonce être en mesure d'intercepter les courriers transitant par un terminal Blackberry sur les réseaux de Bharti Airtel, BPL Mobile, Reliance Communications et Vodafone-Essar.