Le Mandalorien et la sécurité de l’information

Business enterprise

L’Empire a été vaincu (pas tout à fait). Le pouvoir est entre les mains de la Nouvelle République (pas tout à fait non plus). En conséquence, la galaxie ressemble désormais à un western cyberpunk armé jusqu’aux dents. Voici ce qu’il en est de la sécurité de l’information en ces temps troublés.

Confidentialité

Commençons par quelques mots sur la confidentialité. Ce sera court : il n’y en a pas. Les chasseurs de primes disposent désormais d’un dispositif de pistage pour localiser leurs proies. Bien qu’il ne semble pas fonctionner dans l’espace, il indique clairement la direction de la cible sur une planète. La technologie qui se cache derrière ce dispositif est inconnue.

Une balise est-elle implantée dans la cible ? Cette explication serait raisonnable si seuls des criminels en fuite étaient traqués. Mais la Guilde des chasseurs de primes ne se limite pas aux criminels connus. De plus, qui aurait pu implanter une balise dans un bébé de la race de Yoda, et quand ? Et pourquoi personne n’a eu l’idée d’enlever ou au moins de brouiller les balises ? Et s’il ne s’agit pas d’une balise, comment le dispositif de pistage localise-t-il la cible ? En utilisant une sorte de signature biologique ? Quoi qu’il en soit, si quelqu’un peut créer une balise permettant de suivre n’importe quelle créature vivante, on ne peut pas parler de vie privée.

Si vous doutez encore que la confidentialité soit un concept obsolète dans ce monde, souvenez-vous du viseur optique du fusil du Mandalorien, qui lui permet de voir les radiations infrarouges à travers les murs et même d’écouter les conversations qui se déroulent chez les gens (bien qu’avec quelques interférences).

Razor Crest

Din Djarin, tout simplement appelé le Mandalorien la plupart du temps, voyage sur un patrouilleur de combat impérial plutôt vieux, appelé le Razor Crest. Certains des problèmes de sécurité à bord du navire sont visibles même à l’œil nu.

Tout d’abord, l’armurerie est munie d’une serrure électronique, mais n’importe quelle personne passant par-là peut l’ouvrir. À deux reprises au moins, des personnages, dont on ne peut pas attendre qu’ils aient des compétences de piratage ou de décryptage, l’ont ouverte en appuyant simplement sur quelques boutons. Il semblerait qu’ils aient utilisé la méthode du  » vieil interphone  » pour identifier les boutons visiblement usés afin de les aider à forcer le mot de passe. Cela signifie également que le mot de passe était faible et n’avait probablement pas été modifié depuis des années.

De plus, l’ordinateur de bord stocke des enregistrements de messages holographiques, et ce sans protection particulière. Le droïde Zero tombe sur l’un d’entre eux lors d’une analyse superficielle des systèmes du navire, et y accède sans effort apparent de piratage.

Naturellement, l’armurerie et le système de communication sont tous deux embarqués. Leur faible niveau de protection pourrait avoir été compensé par la super-sécurité du navire lui-même. Mais non, le Mandalorien n’arrête pas de quitter son vaisseau sans le verrouiller, pour trouver une embuscade à l’intérieur à son retour. Autrement dit, n’importe qui peut théoriquement accéder aux armes et aux registres de données.

IG-11

Le droïde assassin IG-11, qui travaille également comme chasseur de primes, comporte une technologie de protection intéressante : un mécanisme d’autodestruction. Quand il est face à un danger, il déclare :  » Le protocole du fabricant stipule que je ne peux pas être capturé. Je dois m’autodétruire « , après quoi un compte à rebours commence.

Cela semble être une fonctionnalité intéressante… Mais elle ne marche pas. Si le fabricant l’avait jugé nécessaire, il aurait été plus logique de le séparer du système d’exploitation. Après tout, pour capturer le droïde, il suffit d’endommager son cerveau électronique (c’est grosso modo ce qui se passe : le Mandalorien tire dans la tête de l’IG-11, il s’éteint et Kuiil le reprogramme). Autrement dit, le mécanisme d’autodestruction était une bonne idée, mais sa mise en œuvre était vraiment médiocre.

Une autre question serait de savoir comment il est possible que n’importe qui puisse reprogrammer le droïde. Pourtant l’IG-11 n’est pas unique à cet égard. Nous avons déjà déterminé que les droïdes de Star Wars, comme d’autres appareils de l’IoT, devraient être équipés d’un système d’exploitation sûr qui ne peut être modifié par personne d’autre que les personnes désignées par les développeurs.

Le vaisseau prison de la Nouvelle République

Dans un épisode, Din Djarin s’engage à sauver un prisonnier qui est transporté à bord d’un vaisseau prison. Le plan est le suivant : le Razor Crest effectue une série de manœuvres pour s’approcher du vaisseau, brouille une sorte de code d’avertissement, masque son signal, puis s’amarre, après quoi l’équipe débarque, localise la salle de contrôle, trouve le numéro de la cellule, entre par effraction et libère la cible.

Supposons que certaines caractéristiques de conception uniques permettent au vieux vaisseau du Mandalorien de se faufiler sur le vaisseau rebelle sans être détecté. Supposons que Zero sache brouiller et masquer le signal afin que les systèmes du vaisseau prison ne détectent pas l’amarrage d’un objet étranger. Supposons qu’il soit réellement capable de pénétrer le système de sécurité (bien que l’idée même de s’y connecter de l’extérieur semble insensée). Et supposons que, par conséquent, le système de sécurité ne déclenche pas l’alarme lorsque l’écoutille extérieure s’ouvre, et que lorsque l’alarme est finalement déclenchée, à cause d’une escarmouche avec des droïdes de sécurité, Zero puisse diriger les renforts vers une autre partie du navire.

En supposant tout cela, pourquoi diable y a-t-il un verrou dans la cellule de prison qui peut être ouvert de l’intérieur ? Et pourquoi est-il possible de le faire en utilisant le bras d’un droïde de sécurité, sans aucun système électronique ? Et surtout, pourquoi Din Djarin décrit-il cette passoire volante comme un  » transport de sécurité maximale  » ?! Dans ce cas, je ne sais pas ce que serait un transport à faible sécurité.

Cet épisode présente également un dispositif de sécurité assez douteux sous la forme d’une balise de guidage, qui convoque une unité de patrouille de chasseurs stellaires de la République. D’accord, ils vont s’y rendre. Et ensuite ? L’ennemi est à bord ; les chasseurs de la République vont-ils faire exploser le navire avec tous les prisonniers ? Ou est-ce que trois pilotes vont s’amarrer et mener le combat à l’intérieur ? Au moins, l’appareil a l’air de fonctionner.

D’autres détails mineurs de la série constituent également une catastrophe du point de vue de la sécurité de l’information. Par exemple, dans le dernier épisode, le Mandalorien (qui est censé être un guerrier et un chasseur de primes expérimenté) communique avec Kuiil sur un canal ouvert, que les Stormtroopers écoutent, avant de saisir Kuiil. Et n’oubliez pas ce classique de Star Wars : les serrures électroniques qui s’ouvrent quand on tire dessus.

En résumé, il y a bien longtemps, dans une galaxie lointaine, très lointaine, la cybersécurité était très, très mauvaise.



Source: Kaspersky
Le Mandalorien et la sécurité de l’information