« N’oubliez jamais : dans le monde numérique, même les fichiers ont des squelettes dans le cloud. » Voilà de quoi réchauffer l’ambiance lors de votre prochain café avec un informaticien parano ! Si vous pensiez que vos disques durs BitLocker étaient plus impenetrables que Fort Knox, accrochez-vous, car l’histoire du jour va chahuter votre tranquillité… et peut-être même votre mot de passe.
Ainsi, dans un épisode digne d’une série policière offerte par Microsoft et le FBI (vous pouvez déjà préparer le pop-corn), il a été révélé par Forbes que le géant de Redmond a remis les clés de récupération, stockées dans son cloud, aux enquêteurs fédéraux pour ouvrir les précieux laptops d’une bande de petits malins soupçonnés de fraude au chômage à Guam. Il faut le reconnaître : c’est tout de suite moins glamour que dans les films où les hackers tapent frénétiquement sur leur clavier dans la pénombre en jurant que “personne ne pourra jamais casser ce chiffrement”.
Mais le rebondissement, c’est que BitLocker – la solution de chiffrement de Microsoft adorée des adeptes du clic sur “Suivant” – sauvegarde par défaut ces fameuses clés de secours dans le nuage de… devinez qui ? Microsoft, bien sûr ! Du coup, vos données sont aussi bien gardées qu’un mot de passe noté sur un post-it collé au moniteur.
Dans l’univers de la cybersécurité, il ne faut jamais confondre serrure et véritable blindage.
Dans le détail, la demande du FBI concernait trois ordinateurs saisis chez des suspects à Guam. Le scénario est classique : ordinateur crypté, enquête au point mort… jusqu’à ce qu’une simple requête à Microsoft et hop, portes ouvertes pour les enquêteurs, comme l’ont rapporté plusieurs médias locaux. Selon Forbes, Microsoft reçoit en moyenne une vingtaine de ces requêtes chaque année. On pourrait croire que c’est rare, mais vingt fois “par défaut”, ça commence à faire beaucoup de fichiers déverrouillés “comme par magie”.
Mais tout ceci titille quelques experts – et pas des moindres ! Le professeur Matthew Green, cryptographe à Johns Hopkins, rappelle qu’à force de stocker toutes ces clés précieuses dans le cloud, Microsoft crée une fabuleuse chasse au trésor pour les pirates. S’ils arrivaient à s’introduire dans le nuage, ils ramasseraient “la clé des champs” de milliers (millions ?) de disques, sauf qu’ils auraient aussi besoin d’un accès physique aux ordinateurs. Un casse numérique façon Ocean’s Eleven… mais avec des câbles et des badges d’accès au lieu de costumes trois pièces.
Et, soyons honnêtes, il ne se passe finalement pas un semestre sans qu’on entende parler d’une faille, d’un “mot de passe admin123”, ou d’une intrusion malicieuse dans le royaume des clouds. Même le professeur Green finit par s’interroger : Microsoft, gardien de nos coffres-forts, n’a-t-il pas oublié de fermer la porte du coffrage ? Laisser traîner ses clés, c’est une philosophie domestique héritée d’un gentil voisinage, mais dans la cybersécurité, mieux vaut fermer à double tour.
En bref, si la technologie a tout d’un coffre-fort dernier cri, la réalité est un peu moins glamour : le véritable mot de passe, c’est Microsoft qui le connaît. Et celui qui détient la clé… a bien du pouvoir. Alors, utilisateurs de BitLocker, restez prudents : n’oubliez pas que dans “cloud”, il y a aussi “pluie d’ennuis” !
Source : Techcrunch




