Le vendredi 1er avril, nous souhaitions faire un
poisson d’avril sur notre site Internet acbm.com. L’idée la plus
évidente était d’annoncer que Pirates Mag’ s’était
vu attribuer un nouveau numéro d’agrément de la
Commission paritaire des publications et agence de presse (cabinet du
Premier Ministre), agrément
que nous avions perdu à
l’arrivée de M. Raffarin au pouvoir. Ce poisson d’avril
est
tombé à l’eau. En effet, ce jour-là, nous avons eu
la surprise de découvrir au courrier une lettre de la CPPAP nous
annonçant qu’elle nous avait attribué un numéro le
10 mars précédent! Sans explication.
Jusqu’ici, au plus haut niveau de l’État, certains estimaient
qu’il n’était pas d’ « intérêt
général » de prévenir les
citoyens des
failles de sécurité des systèmes informatiques qui
nous entourent, pour qu’ils s’en protègent. Nous avons toujours
estimé le contraire, et nous allons le prouver aujourd’hui
encore, en révélant une affaire que d’autres
médias ont décidé de censurer.
Vous vous souvenez du scandale des cartes bancaires? Rappelons
l’histoire en quelques mots: un ingénieur avait trouvé
une faille qui permettait de fabriquer de fausses cartes pour voler de
l’argent. Il avait prévenu le GIE des cartes bancaires. Et avait
été poursuivi en justice en guise de récompense,
le GIE persistant à dire que le système était
fiable.
L’histoire
est en train de se répéter. En février 2003,
sortent des API permettant de développer des applications autour
de la carte de santé à puce Vitale. Le GIE Sesam-Vitale
déclare: « Quelle
que soit la solution de lecture
choisie, l’accès aux données sécurisées de
la carte Vitale nécessite l’introduction d’une carte de la
famille CPS (Carte de Professionnel de Santé) dans un dispositif
de lecture. » Or, en juillet 2003,
Jérôme
Créteaux, un informaticien qui doit travailler avec ces API, y
découvre un bogue. Il est encore temps de corriger, il
prévient le GIE Sesam Vitale. Le GIE ne veut rien entendre.
Début 2005, M. Creteaux décide de faire bouger les
choses et publie quelques éléments sur le
net. Résultat: le GIE dépose plainte contre X!
N’ayant pas accès à la documentation API du GIE, notre
spécialiste maison a décidé de poursuivre
l’analyse « à la main » de la carte Vitale
qu’il avait commencée il y a quelques années (voir Pirates Mag’ 12). Et il a fait
une
découverte surprenante: la
carte Vitale elle-même n’est pas sécurisée, les
informations prétendues confidentielles sont lisibles par tout
le monde! Nous vous donnons les explications p. 26.
Moralité? Ne confiez votre carte Vitale qu’à un
professionnel qui de toute façon aurait eu accès à
ces informations!
Loin de nous l’idée de condamner l’idée d’une carte de
santé à puce. Nous espérons que la prochaine
génération promise sera mieux conçue (au passage,
on suggérera à ses responsables d’imprimer à
côté de la photo, le groupe sanguin de son
propriétaire, ce qui évitera de multiplier les cartes
dans le portefeuille…).
ÉGALEMENT
AU
SOMMAIRE DE CE NUMÉRO :
Dossier : les
firewalls gratuits.
Les hackers
percent les secrets de la console GameCube
Curiosité :
le hacking de vélo
Les secrets des SMS par
téléphone fixe
Leader.wav
C2.bas
RXModem.bas
TTY.bas
TXModem.bas
Stéganographie
: cachez vos informations !
Et plein d'autres
encore : quand la police pirate, les fausses cartes CanalSat, les
dangers du Wifi, des contrefacons d'utilité publique, un
procès pour piratage à cause d'un sein nu, etc.
Extrait : Un virus
des téléphones lâché dans la nature !
Bonne
lecture !
|