ABOUT THE SPEAKER
Avi Rubin - Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records.

Why you should listen

Along with running the Health and Medical Security Lab, Avi Rubin is also the technical director of the JHU Information Security Institute. From 1997 to 2002, Avi was a researcher in AT&T’s Secure Systems Department, where he focused on cryptography and network security. He is also the founder of Harbor Labs, which provides expert testimony and review in legal cases related to high tech security. Avi has authored several books related to electronic security, including Brave New Ballot, published in 2006.

More profile about the speaker
Avi Rubin | Speaker | TED.com
TEDxMidAtlantic

Avi Rubin: All your devices can be hacked

Avi Rubin: Tous vos appareils peuvent être piratés

Filmed:
1,251,015 views

Peut-on pirater votre pacemaker ? Lors d'une conférence TEDxMidAtlantic, Avi Rubin explique comment des pirates peuvent s'attaquer aux voitures, aux smartphones et aux dispositifs médicaux, et nous avertit des dangers liés à un monde toujours plus vulnérable aux attaques informatiques. (Filmé à TEDxMidAtlantic.)
- Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records. Full bio

Double-click the English transcript below to play the video.

00:12
I'm a computerordinateur sciencescience professorprofesseur,
0
588
3031
Je suis enseignant en informatique,
00:15
and my arearégion of expertisecompétence is
1
3619
2313
mon domaine d'expertise est
00:17
computerordinateur and informationinformation securitySécurité.
2
5932
2199
la sécurité des systèmes d'information.
00:20
When I was in graduatediplômé schoolécole,
3
8131
2320
Quand j'étais à l'Université,
00:22
I had the opportunityopportunité to overhearentendre my grandmothergrand-mère
4
10451
2601
j'ai eu l'occasion d'entendre ma grand-mère
00:25
describingdécrivant to one of her fellowcompagnon seniorSénior citizenscitoyens
5
13052
4134
décrire à l'un des pensionnaires
de sa maison de retraite
00:29
what I did for a livingvivant.
6
17186
2369
ce que je faisais comme travail.
00:31
ApparentlyApparemment, I was in chargecharge of makingfabrication sure that
7
19555
3562
Apparemment, j'étais chargé de m'assurer
00:35
no one stolea volé the computersdes ordinateurs from the universityUniversité. (LaughterRires)
8
23117
3900
que personne ne volait
les ordinateurs de l'université. (Rires)
00:39
And, you know, that's a perfectlyà la perfection reasonableraisonnable thing
9
27017
2744
C'est une hypothèse raisonnable de sa part
00:41
for her to think, because I told her I was workingtravail
10
29761
1920
puisque je lui avais expliqué que je travaillais
00:43
in computerordinateur securitySécurité,
11
31681
1507
dans la sécurité informatique,
00:45
and it was interestingintéressant to get her perspectivela perspective.
12
33188
3597
et ça a été intéressant d'avoir son point de vue.
00:48
But that's not the mostles plus ridiculousridicule thing I've ever heardentendu
13
36785
2617
Mais ce n'est pas la chose la plus ridicule
que j'ai entendue
00:51
anyonen'importe qui say about my work.
14
39402
2017
au sujet de mon travail.
00:53
The mostles plus ridiculousridicule thing I ever heardentendu is,
15
41419
2284
C'est plutôt ceci :
00:55
I was at a dinnerdîner partyfête, and a womanfemme heardentendu
16
43703
3134
j'étais à un dîner, et une femme a entendu
00:58
that I work in computerordinateur securitySécurité,
17
46837
1783
que je travaillais dans la sécurité informatique.
01:00
and she askeda demandé me if -- she said her computerordinateur had been
18
48620
3517
Elle me demande si son ordinateur,
01:04
infectedinfecté by a virusvirus, and she was very concernedconcerné that she
19
52137
3436
infecté par un virus -- elle était très angoissée --
01:07
mightpourrait get sickmalade from it, that she could get this virusvirus. (LaughterRires)
20
55573
3951
pouvait le lui transmettre et la rendre malade.
(Rires)
01:11
And I'm not a doctordocteur, but I reassureda rassuré her
21
59524
2943
Je ne suis pas médecin, mais je l'ai rassurée
01:14
that it was very, very unlikelyimprobable that this would happense produire,
22
62467
3144
en affirmant que c'était très peu probable,
01:17
but if she feltse sentait more comfortableconfortable, she could be freegratuit to use
23
65611
2801
mais que si cela la rassurait, elle pouvait utiliser
01:20
latexlatex glovesgants when she was on the computerordinateur,
24
68412
1848
son ordinateur avec des gants en latex,
01:22
and there would be no harmnuire whatsoeverquoi que ce soit in that.
25
70260
3392
que cela ne lui ferait pas de mal.
01:25
I'm going to get back to this notionnotion of beingétant ablecapable to get
26
73652
2507
Je vais revenir sur cette idée d'infection virale
01:28
a virusvirus from your computerordinateur, in a serioussérieux way.
27
76159
3508
par l'ordinateur, un peu plus sérieusement.
01:31
What I'm going to talk to you about todayaujourd'hui
28
79667
1640
Ce dont je vais vous parler aujourd'hui
01:33
are some hackshacks, some realréal worldmonde cyberattackscyberattaques that people
29
81307
4846
c'est de piratage,
de cyber-attaques réelles que les gens
01:38
in my communitycommunauté, the academicacadémique researchrecherche communitycommunauté,
30
86153
2554
de ma communauté
-- celle de la recherche universitaire --
01:40
have performedexécuté, whichlequel I don't think
31
88707
2794
ont réalisées. Je pense que
01:43
mostles plus people know about,
32
91501
1208
peu de personnes sont au courant
01:44
and I think they're very interestingintéressant and scaryeffrayant,
33
92709
3028
alors que c'est à la fois intéressant et effrayant.
01:47
and this talk is kindgentil of a greatestplus grand hitsles coups
34
95737
2441
Cet exposé est une sorte de "best of"
01:50
of the academicacadémique securitySécurité community'sla communauté hackshacks.
35
98178
2991
des attaques de la communauté universitaire
de sécurité informatique.
01:53
NoneAucun of the work is my work. It's all work
36
101169
1987
Aucun de ces résultats n'est le mien. C'est le fruit
01:55
that my colleaguescollègues have doneterminé, and I actuallyréellement askeda demandé them
37
103156
2174
des travaux de mes collègues, et je leur ai demandé
01:57
for theirleur slidesglisse and incorporatedincorporé them into this talk.
38
105330
2557
si je pouvais utiliser leurs diapositives
dans cet exposé.
01:59
So the first one I'm going to talk about
39
107887
1742
La première attaque que je vais aborder
02:01
are implantedimplanté medicalmédical devicesdispositifs.
40
109629
2674
concerne les dispositifs médicaux
implantés dans l'organisme.
02:04
Now medicalmédical devicesdispositifs have come a long way technologicallysur le plan technologique.
41
112303
3040
Ces dispositifs ont déjà
un long parcours technologique.
02:07
You can see in 1926 the first pacemakerstimulateur cardiaque was inventeda inventé.
42
115343
3856
Le premier pacemaker a été inventé en 1926,
02:11
1960, the first internalinterne pacemakerstimulateur cardiaque was implantedimplanté,
43
119199
3552
et en 1960, le premier pacemaker interne
a été implanté.
02:14
hopefullyj'espère a little smallerplus petit than that one that you see there,
44
122751
2552
J'espère qu'il était un peu plus petit
que celui que vous pouvez voir ici.
02:17
and the technologyLa technologie has continueda continué to movebouge toi forwardvers l'avant.
45
125303
2968
Depuis, la technologie n'a cessé de progresser.
02:20
In 2006, we hitfrappé an importantimportant milestoneÉtape importante from the perspectivela perspective
46
128271
4633
En 2006, on a atteint
une étape importante dans le domaine
02:24
of computerordinateur securitySécurité.
47
132904
3167
de la sécurité informatique.
02:28
And why do I say that?
48
136071
1341
Pourquoi est-ce que je dis cela ?
02:29
Because that's when implantedimplanté devicesdispositifs insideà l'intérieur of people
49
137412
2890
Parce que c'est à cette époque
que les appareils implantés dans l'organisme
02:32
startedcommencé to have networkingla mise en réseau capabilitiescapacités.
50
140302
2745
ont commencé à pouvoir communiquer en réseau.
02:35
One thing that bringsapporte us closeFermer to home is we look
51
143047
1880
Parmi les choses qui nous font
prendre conscience de cela,
02:36
at DickDick Cheney'sCheney devicedispositif, he had a devicedispositif that
52
144927
2705
le dispositif de Dick Cheney : un appareil
02:39
pumpedpompée blooddu sang from an aortaaorte to anotherun autre partpartie of the heartcœur,
53
147632
3869
chargé de pomper le sang depuis une artère
pour l'envoyer dans une autre partie du cœur.
02:43
and as you can see at the bottombas there,
54
151501
1183
Comme vous pouvez le voir en bas,
02:44
it was controlledcontrôlé by a computerordinateur controllercontrôleur de,
55
152684
3009
cet appareil était contrôlé par un ordinateur ;
02:47
and if you ever thought that softwareLogiciel liabilityresponsabilité
56
155693
2517
Si vous n'avez jamais pensé
que la fiabilité d'un logiciel
02:50
was very importantimportant, get one of these insideà l'intérieur of you.
57
158210
3589
puisse être importante, faites-vous donc implanter
l'un de ces appareils dans votre organisme.
02:53
Now what a researchrecherche teaméquipe did was they got theirleur handsmains
58
161799
3695
L'une des équipes de recherche a mis la main
02:57
on what's calledappelé an ICDCIM.
59
165494
1420
sur ce qu'on appelle un DAI.
02:58
This is a defibrillatordéfibrillateur, and this is a devicedispositif
60
166914
2070
C'est un défibrillateur : un appareil
03:00
that goesva into a personla personne to controlcontrôle theirleur heartcœur rhythmrythme,
61
168984
4336
qu'on implante pour contrôler
le rythme cardiaque.
03:05
and these have savedenregistré manybeaucoup livesvies.
62
173320
2338
Ces appareils ont déjà sauvé de nombreuses vies.
03:07
Well, in ordercommande to not have to openouvrir up the personla personne
63
175658
2472
Pour éviter d'avoir à opérer le patient,
03:10
everychaque time you want to reprogramreprogrammer theirleur devicedispositif
64
178130
2194
chaque fois que vous voulez reprogrammer l'appareil
03:12
or do some diagnosticsdiagnostics on it, they madefabriqué the thing be ablecapable
65
180324
2455
ou le vérifier, ils ont fait en sorte que
03:14
to communicatecommuniquer wirelesslysans fil, and what this researchrecherche teaméquipe did
66
182779
3102
le dispositif puisse communiquer sans fil.
L'équipe de recherche a fait
03:17
is they reversesens inverse engineeredmachiné the wirelesssans fil protocolprotocole,
67
185881
2610
de la rétro-ingénierie
sur le protocole de communication sans fil,
03:20
and they builtconstruit the devicedispositif you see picturedsur la photo here,
68
188491
1872
puis a créé la machine que vous voyez ici,
03:22
with a little antennaantenne, that could talk the protocolprotocole
69
190363
2760
qui pouvait, grâce à une petite antenne,
communiquer
03:25
to the devicedispositif, and thusAinsi controlcontrôle it.
70
193123
4475
avec l'appareil, et donc le contrôler.
03:29
In ordercommande to make theirleur experienceexpérience realréal -- they were unableincapable
71
197598
2689
Pour rendre leur expérience plus réelle
03:32
to find any volunteersbénévoles, and so they wentest allé
72
200287
2472
-- ils n'ont pas trouvé de volontaires --
03:34
and they got some groundsol beefdu boeuf and some baconBacon
73
202759
2144
ils ont pris du steak haché et du bacon
03:36
and they wrappedenveloppé it all up to about the sizeTaille
74
204903
1788
ont emballé tout ça pour que cela ait la taille
03:38
of a humanHumain being'sde l’être arearégion where the devicedispositif would go,
75
206691
2798
de la partie du corps humain
où l'appareil devrait se loger,
03:41
and they stuckcoincé the devicedispositif insideà l'intérieur it
76
209489
1454
puis ils ont installé le dispositif à l'intérieur
03:42
to performeffectuer theirleur experimentexpérience somewhatquelque peu realisticallyde façon réaliste.
77
210943
3132
afin de réaliser leur expérience
en conditions quasi réelles.
03:46
They launchedlancé manybeaucoup, manybeaucoup successfulréussi attacksattaques.
78
214075
3020
Ils ont réussi beaucoup d'attaques,
03:49
One that I'll highlightMettez en surbrillance here is changingen changeant the patient'sles patients nameprénom.
79
217095
3056
comme changer le nom du patient.
03:52
I don't know why you would want to do that,
80
220151
993
Je ne sais pas pourquoi vous voudriez faire ça,
03:53
but I sure wouldn'tne serait pas want that doneterminé to me.
81
221144
2104
mais je suis sûr que je ne voudrais pas
qu'on me le fasse.
03:55
And they were ablecapable to changechangement therapiesthérapies,
82
223248
2331
Ils ont également réussi à changer le traitement,
03:57
includingcomprenant disablingla désactivation the devicedispositif -- and this is with a realréal,
83
225579
2495
notamment en désactivant l'appareil
04:00
commercialcommercial, off-the-shelfproduits commerciaux devicedispositif --
84
228074
1896
-- un appareil standard du commerce --
04:01
simplysimplement by performingeffectuer reversesens inverse engineeringingénierie and sendingenvoi
85
229970
2046
simplement par rétro-ingénierie du protocole,
puis par envoi sans fil
04:04
wirelesssans fil signalssignaux to it.
86
232016
2989
de signaux à l'appareil.
04:07
There was a piecepièce on NPRNPR that some of these ICDsDCI
87
235005
3580
Dans un article sur NPR, il était dit que certains DAI
04:10
could actuallyréellement have theirleur performanceperformance disruptedperturbée
88
238585
2422
pouvaient voir leur fonctionnement perturbé
04:13
simplysimplement by holdingen portant a pairpaire of headphonescasque d’écoute ontosur them.
89
241007
3651
par la simple présence d'écouteurs posés dessus.
04:16
Now, wirelesssans fil and the InternetInternet
90
244658
1409
Bien évidemment, les technologies sans fil et Internet
04:18
can improveaméliorer healthsanté carese soucier greatlytrès.
91
246067
1652
peuvent grandement améliorer les services de santé.
04:19
There's severalnombreuses examplesexemples up on the screenécran
92
247719
2087
Il y a plusieurs exemples, affichés à l'écran,
04:21
of situationssituations where doctorsmédecins are looking to implantl’implant devicesdispositifs
93
249806
3107
de situations où les docteurs
préfèrent implanter des appareils
04:24
insideà l'intérieur of people, and all of these devicesdispositifs now,
94
252913
2865
dans le corps des patients, et tous ces systèmes
04:27
it's standardla norme that they communicatecommuniquer wirelesslysans fil,
95
255778
3125
communiquent désormais sans fil, c'est la norme.
04:30
and I think this is great,
96
258903
1412
Je pense que c'est une bonne chose,
04:32
but withoutsans pour autant a fullplein understandingcompréhension of trustworthydigne de confiance computingl'informatique,
97
260315
3105
mais sans une pleine compréhension
de la fiabilité informatique,
04:35
and withoutsans pour autant understandingcompréhension what attackersattaquants can do
98
263420
2407
des possibilités d'attaques
04:37
and the securitySécurité risksrisques from the beginningdébut,
99
265827
2147
et des risques de sécurité inhérents,
04:39
there's a lot of dangerdanger in this.
100
267974
2390
le danger est grand.
04:42
Okay, let me shiftdécalage gearsengrenages and showmontrer you anotherun autre targetcible.
101
270364
1477
Passons à la vitesse supérieure
en changeant de cible.
04:43
I'm going to showmontrer you a fewpeu differentdifférent targetscibles like this,
102
271841
2088
Je vais vous montrer quelques cibles potentielles
04:45
and that's my talk. So we'llbien look at automobilesautomobiles.
103
273929
2917
c'est mon sujet du jour.
Intéressons-nous aux voitures.
04:48
This is a carvoiture, and it has a lot of componentsComposants,
104
276846
2896
De nos jours, une voiture possède
04:51
a lot of electronicsélectronique in it todayaujourd'hui.
105
279742
1620
de nombreux composants électroniques.
04:53
In factfait, it's got manybeaucoup, manybeaucoup differentdifférent computersdes ordinateurs insideà l'intérieur of it,
106
281362
4377
En réalité, on y trouve
plusieurs ordinateurs embarqués
04:57
more PentiumsProcesseurs Pentium than my lablaboratoire did when I was in collegeUniversité,
107
285739
3155
-- plus de Pentiums
que dans le laboratoire de mon université --
05:00
and they're connectedconnecté by a wiredcâblé networkréseau.
108
288894
3639
ces ordinateurs sont connectés
par un réseau filaire.
05:04
There's alsoaussi a wirelesssans fil networkréseau in the carvoiture,
109
292533
3431
Une voiture possède également un réseau sans fil
05:07
whichlequel can be reachedatteint from manybeaucoup differentdifférent waysfaçons.
110
295964
3233
accessible de différentes manières :
05:11
So there's BluetoothBluetooth, there's the FMFM and XMXM radioradio,
111
299197
3701
par Bluetooth, par radio FM, par radio satellite,
05:14
there's actuallyréellement wi-fiune connexion Wi-fi, there's sensorscapteurs in the wheelsroues
112
302898
2820
également par Wi-Fi. Des capteurs dans les roues
05:17
that wirelesslysans fil communicatecommuniquer the tirepneu pressurepression
113
305718
2153
transmettent en sans fil la pression des pneus
05:19
to a controllercontrôleur de on boardplanche.
114
307871
1806
à un contrôleur embarqué.
05:21
The modernmoderne carvoiture is a sophisticatedsophistiqué multi-computerplusieurs ordinateurs devicedispositif.
115
309677
4918
La voiture moderne est
un dispositif informatique complexe.
05:26
And what happensarrive if somebodyquelqu'un wanted to attackattaque this?
116
314595
3322
Que se passerait-il si quelqu'un piratait ce système ?
05:29
Well, that's what the researchersdes chercheurs
117
317917
1317
Eh bien, c'est ce qu'ont fait les chercheurs
05:31
that I'm going to talk about todayaujourd'hui did.
118
319234
1871
dont je vais vous parler.
05:33
They basicallyen gros stuckcoincé an attackerattaquant on the wiredcâblé networkréseau
119
321105
2977
En gros, ils ont placé un programme pirate
sur le réseau filaire
05:36
and on the wirelesssans fil networkréseau.
120
324082
2322
et sur le réseau sans fil.
05:38
Now, they have two areaszones they can attackattaque.
121
326404
2699
Ainsi, ils ont deux angles d'attaque :
05:41
One is short-rangeà courte distance wirelesssans fil, where you can actuallyréellement
122
329103
2038
le premier, à courte portée en sans fil, permettant
05:43
communicatecommuniquer with the devicedispositif from nearbyproche,
123
331141
1781
de communiquer avec le système à proximité
05:44
eithernon plus throughpar BluetoothBluetooth or wi-fiune connexion Wi-fi,
124
332922
2137
par Bluetooth ou Wi-Fi ;
05:47
and the other is long-rangelongue portée, where you can communicatecommuniquer
125
335059
2174
le second, à longue portée,
permettant de communiquer
05:49
with the carvoiture throughpar the cellularcellulaire networkréseau,
126
337233
1782
avec la voiture par le réseau de téléphonie mobile
05:51
or throughpar one of the radioradio stationsstations.
127
339015
1960
ou par une station de radio.
05:52
Think about it. When a carvoiture receivesreçoit a radioradio signalsignal,
128
340975
3049
Réfléchissez-y : quand une voiture
reçoit un signal radio,
05:56
it's processedtraitées by softwareLogiciel.
129
344024
2201
il est traité par un logiciel.
05:58
That softwareLogiciel has to receiverecevoir and decodedécoder the radioradio signalsignal,
130
346225
3061
Ce logiciel reçoit et décode le signal radio,
06:01
and then figurefigure out what to do with it,
131
349286
1119
puis déduit ce qu'il doit en faire
06:02
even if it's just musicla musique that it needsBesoins to playjouer on the radioradio,
132
350405
3024
même s'il s'agit seulement
de musique pour l'autoradio.
06:05
and that softwareLogiciel that does that decodingdécodage,
133
353429
2268
Si ce logiciel qui décode le signal
06:07
if it has any bugsbogues in it, could createcréer a vulnerabilityvulnérabilité
134
355697
3093
a des bugs, il peut être à l'origine d'une faille
06:10
for somebodyquelqu'un to hackpirater the carvoiture.
135
358790
3035
que l'on peut exploiter pour pirater la voiture.
06:13
The way that the researchersdes chercheurs did this work is,
136
361825
2952
Voici comment ont procédé les chercheurs :
06:16
they readlis the softwareLogiciel in the computerordinateur chipschips
137
364777
4223
Ils ont étudié le logiciel présent
sur les puces électroniques
06:21
that were in the carvoiture, and then they used sophisticatedsophistiqué
138
369000
3193
présentes dans la voiture, puis ont utilisé
06:24
reversesens inverse engineeringingénierie toolsoutils
139
372193
1414
des outils complexes de rétro-ingénierie
06:25
to figurefigure out what that softwareLogiciel did,
140
373607
2055
afin de déterminer ce que le logiciel faisait.
06:27
and then they founda trouvé vulnerabilitiesvulnérabilités in that softwareLogiciel,
141
375662
3041
Ils ont trouvé des failles dans ce logiciel
06:30
and then they builtconstruit exploitsexploits to exploitexploit those.
142
378703
3346
puis ont développé
des programmes exploitant ces failles.
06:34
They actuallyréellement carriedporté out theirleur attackattaque in realréal life.
143
382049
2382
Ils ont enfin réalisé leur attaque
dans des conditions réelles.
06:36
They boughtacheté two carsdes voitures, and I guessdeviner
144
384431
1350
Ils ont acheté deux voitures -- j'imagine
06:37
they have better budgetsles budgets than I do.
145
385781
2918
qu'ils ont de meilleurs budgets que moi.
06:40
The first threatmenace modelmaquette was to see what someoneQuelqu'un could do
146
388699
2590
La première expérience devait permettre de voir
06:43
if an attackerattaquant actuallyréellement got accessaccès
147
391289
2144
ce qu'un hacker pouvait faire s'il accédait
06:45
to the internalinterne networkréseau on the carvoiture.
148
393433
2053
au réseau interne de la voiture.
06:47
Okay, so think of that as, someoneQuelqu'un getsobtient to go to your carvoiture,
149
395486
2603
Imaginez : quelqu'un s'introduit dans votre voiture,
06:50
they get to messdésordre around with it, and then they leavelaisser,
150
398089
2904
y bidouille quelque chose, puis s'en va.
06:52
and now, what kindgentil of troubledifficulté are you in?
151
400993
2368
Que risquez-vous désormais ?
06:55
The other threatmenace modelmaquette is that they contactcontact you
152
403361
2792
La seconde expérience consiste à pirater la voiture
06:58
in realréal time over one of the wirelesssans fil networksréseaux
153
406153
2457
en temps réel par un réseau sans fil
07:00
like the cellularcellulaire, or something like that,
154
408610
2055
-- comme celui de téléphonie mobile ou un autre --
07:02
never havingayant actuallyréellement gottenobtenu physicalphysique accessaccès to your carvoiture.
155
410665
4000
sans jamais avoir besoin d'accéder
physiquement à cette voiture.
07:06
This is what theirleur setupprogramme d’installation looksregards like for the first modelmaquette,
156
414665
2824
Voici à quoi ressemblait leur installation
dans le premier cas,
07:09
where you get to have accessaccès to the carvoiture.
157
417489
1683
avec un accès à la voiture.
07:11
They put a laptopportable, and they connectedconnecté to the diagnosticdiagnostique unitunité
158
419172
3387
Ils ont utilisé un ordinateur portable
qu'ils ont connecté à l'unité de diagnostic
07:14
on the in-cardans la voiture networkréseau, and they did all kindssortes of sillyidiot things,
159
422559
2939
du réseau interne de la voiture,
puis ont fait toutes sortes de choses stupides
07:17
like here'svoici a picturephoto of the speedometercompteur de vitesse
160
425498
2783
comme le montre cette image du compteur de vitesse
07:20
showingmontrer 140 milesmiles an hourheure when the car'sdes voitures in parkparc.
161
428281
2816
indiquant 220 km / h à l'arrêt.
07:23
OnceFois you have controlcontrôle of the car'sdes voitures computersdes ordinateurs,
162
431097
2373
Une fois qu'on a le contrôle
sur les ordinateurs embarqués,
07:25
you can do anything.
163
433470
919
on peut faire ce qu'on veut.
07:26
Now you mightpourrait say, "Okay, that's sillyidiot."
164
434389
1616
Peut-être vous dites-vous :
"Bon, ça c'est ridicule."
07:28
Well, what if you make the carvoiture always say
165
436005
1659
Mais qu'en serait-il
si le compteur affichait systématiquement
07:29
it's going 20 milesmiles an hourheure slowerRalentissez than it's actuallyréellement going?
166
437664
2741
la vitesse réduite de 30 km / h ?
07:32
You mightpourrait produceproduire a lot of speedingexcès de vitesse ticketsdes billets.
167
440405
2542
Certainement un grand nombre d'amendes
pour excès de vitesse.
07:34
Then they wentest allé out to an abandonedabandonné airstrippiste d’atterrissage with two carsdes voitures,
168
442947
3856
Puis ils sont allés sur une piste d'atterrissage
désaffectée avec deux voitures
07:38
the targetcible victimvictime carvoiture and the chaseChase carvoiture,
169
446803
2745
-- une voiture cible et une voiture de poursuite --
07:41
and they launchedlancé a bunchbouquet of other attacksattaques.
170
449548
2746
et ont lancé plusieurs autres attaques.
07:44
One of the things they were ablecapable to do from the chaseChase carvoiture
171
452294
2766
Ils ont notamment réussi à actionner les freins
07:47
is applyappliquer the brakesfreins on the other carvoiture,
172
455060
1974
de la voiture cible depuis la voiture de poursuite,
07:49
simplysimplement by hackingle piratage the computerordinateur.
173
457034
1560
simplement en piratant l'ordinateur de bord.
07:50
They were ablecapable to disableDisable the brakesfreins.
174
458594
2431
Ils ont aussi pu désactiver les freins.
07:53
They alsoaussi were ablecapable to installinstaller malwareMalware that wouldn'tne serait pas kickdonner un coup in
175
461025
3178
Ils ont enfin réussi à installer
un virus qui ne se déclenche
07:56
and wouldn'tne serait pas triggergâchette untiljusqu'à the carvoiture was doing something like
176
464203
2425
que lorsque la voiture effectue une action
07:58
going over 20 milesmiles an hourheure, or something like that.
177
466628
3746
comme dépasser les 30 km / h par exemple.
08:02
The resultsrésultats are astonishingétonnant, and when they gavea donné this talk,
178
470374
2758
Les résultats sont stupéfiants, et même
08:05
even thoughbien que they gavea donné this talk at a conferenceconférence
179
473132
1716
quand ils les ont présentés lors d'une conférence
08:06
to a bunchbouquet of computerordinateur securitySécurité researchersdes chercheurs,
180
474848
1726
destinée à des chercheurs en sécurité informatique,
08:08
everybodyTout le monde was gaspinghalètement.
181
476574
1700
tous étaient stupéfaits.
08:10
They were ablecapable to take over a bunchbouquet of criticalcritique computersdes ordinateurs
182
478274
3699
Ils ont pu prendre le contrôle
de plusieurs ordinateurs critiques
08:13
insideà l'intérieur the carvoiture: the brakesfreins computerordinateur, the lightingéclairage computerordinateur,
183
481973
3761
de la voiture : le contrôleur des freins, de l'éclairage,
08:17
the enginemoteur, the dashTableau de bord, the radioradio, etcetc.,
184
485734
2827
du moteur, du tableau de bord, de la radio, etc.
08:20
and they were ablecapable to performeffectuer these on realréal commercialcommercial
185
488561
2293
Et ils ont pu faire cela sur des voitures
08:22
carsdes voitures that they purchasedacheté usingen utilisant the radioradio networkréseau.
186
490854
3027
achetées dans le commerce,
en les piratant par radio.
08:25
They were ablecapable to compromisefaire des compromis everychaque singleunique one of the
187
493881
3003
Ils ont réussi à compromettre
08:28
piecesdes morceaux of softwareLogiciel that controlledcontrôlé everychaque singleunique one
188
496884
2466
chacune des parties du logiciel qui contrôle
08:31
of the wirelesssans fil capabilitiescapacités of the carvoiture.
189
499350
3015
toutes les fonctions sans fil de la voiture.
08:34
All of these were implementedmis en œuvre successfullyavec succès.
190
502365
2513
Toutes ces attaques ont été couronnées de succès.
08:36
How would you stealvoler a carvoiture in this modelmaquette?
191
504878
2352
Comment ferait-on pour voler une voiture
avec cette méthode ?
08:39
Well, you compromisefaire des compromis the carvoiture by a buffermémoire tampon overflowdépassement de capacité
192
507230
3680
Eh bien, vous exploitez une faille de buffer overflow
08:42
of vulnerabilityvulnérabilité in the softwareLogiciel, something like that.
193
510910
2527
dans le logiciel, ou quelque chose du genre.
08:45
You use the GPSGPS in the carvoiture to locatelocaliser it.
194
513437
2203
Puis vous localisez la voiture à l'aide du GPS intégré.
08:47
You remotelyà distance unlockdéverrouiller the doorsdes portes throughpar the computerordinateur
195
515640
2195
À distance, vous ouvrez
les portières en accédant
08:49
that controlscontrôles that, startdébut the enginemoteur, bypassBypass anti-theftprotection contre le vol,
196
517835
3138
à l'ordinateur qui contrôle le verrouillage,
vous démarrez le moteur, vous contournez l'antivol
08:52
and you've got yourselftoi même a carvoiture.
197
520973
1668
et vous avez votre voiture.
08:54
SurveillanceSurveillance was really interestingintéressant.
198
522641
2487
Autre aspect très intéressant : la surveillance.
08:57
The authorsauteurs of the studyétude have a videovidéo where they showmontrer
199
525128
3209
Les auteurs de l'étude montrent dans une vidéo
09:00
themselvesse takingprise over a carvoiture and then turningtournant on
200
528337
2549
comment ils ont pris le contrôle d'une voiture,
09:02
the microphonemicrophone in the carvoiture, and listeningécoute in on the carvoiture
201
530886
2761
ont allumé le micro embarqué pour écouter,
09:05
while trackingsuivi it viavia GPSGPS on a mapcarte,
202
533647
3351
tandis que la voiture était pistée
par GPS sur une carte,
09:08
and so that's something that the driverspilotes of the carvoiture
203
536998
1713
et tout cela de manière
à ce que les personnes à bord
09:10
would never know was happeningévénement.
204
538711
2168
ne se rendent compte de rien.
09:12
Am I scaringeffarouchement you yetencore?
205
540879
2134
Déjà effrayés ?
09:15
I've got a fewpeu more of these interestingintéressant onesceux.
206
543013
1943
En voici encore quelques-unes intéressantes.
09:16
These are onesceux where I wentest allé to a conferenceconférence,
207
544956
1833
Voici celles que j'ai découvertes
lors d'une conférence ;
09:18
and my mindesprit was just blownsoufflé, and I said,
208
546789
1933
j'en suis tombé à la renverse, et je me suis dit
09:20
"I have to sharepartager this with other people."
209
548722
1826
qu'il fallait que je le partage avec d'autres.
09:22
This was FabianFabian Monrose'sDe Monrose lablaboratoire
210
550548
1623
Le travail du laboratoire dirigé par Fabian Monrose
09:24
at the UniversityUniversité of NorthNord CarolinaCaroline, and what they did was
211
552171
3456
à l'université de Caroline du Nord
09:27
something intuitiveintuitif onceune fois que you see it,
212
555627
2075
consiste à quelque chose d'intuitif
09:29
but kindgentil of surprisingsurprenant.
213
557702
1714
mais plutôt surprenant.
09:31
They videotapedenregistrée sur bande vidéo people on a busautobus,
214
559416
2259
Ils ont filmé des personnes dans un bus
09:33
and then they post-processedpost-traitées the videovidéo.
215
561675
2840
puis ont traité la vidéo en postproduction.
09:36
What you see here in numbernombre one is a
216
564515
2463
Ce que vous voyez là au numéro 1,
09:38
reflectionréflexion in somebody'squelqu'un est glassesdes lunettes of the smartphonesmartphone
217
566978
4383
c'est la reflet du smartphone d'une personne
09:43
that they're typingdactylographie in.
218
571361
1425
dans ses lunettes.
09:44
They wrotea écrit softwareLogiciel to stabilizestabiliser --
219
572786
1975
Ils ont écrit un programme pour stabiliser
09:46
even thoughbien que they were on a busautobus
220
574761
1365
-- même dans un bus
09:48
and maybe someone'squelques uns holdingen portant theirleur phonetéléphone at an angleangle --
221
576126
3211
ou avec un certain angle de vue --
09:51
to stabilizestabiliser the phonetéléphone, processprocessus it, and
222
579337
2370
l'image du téléphone et la traiter.
09:53
you maymai know on your smartphonesmartphone, when you typetype
223
581707
1885
Vous savez, quand vous entrez
un mot de passe sur votre smartphone,
09:55
a passwordmot de passe, the keysclés poppop out a little bitbit, and they were ablecapable
224
583592
2939
les touches sur lesquelles on appuie
se mettent légèrement en surbrillance.
09:58
to use that to reconstructreconstruire what the personla personne was typingdactylographie,
225
586531
2840
Ils ont pu utiliser cela
pour reconstituer ce que l'utilisateur entrait,
10:01
and had a languagela langue modelmaquette for detectingdétection de typingdactylographie.
226
589371
4321
et définir un modèle de langage
pour détecter un texte tapé.
10:05
What was interestingintéressant is, by videotapingenregistrement vidéo on a busautobus,
227
593692
2335
Ce qui est intéressant,
c'est qu'en filmant dans un bus,
10:08
they were ablecapable to produceproduire exactlyexactement what people
228
596027
2129
ils ont pu reconstituer exactement
ce que les personnes
10:10
on theirleur smartphonessmartphones were typingdactylographie,
229
598156
2151
avaient tapé sur leurs smartphones.
10:12
and then they had a surprisingsurprenant resultrésultat, whichlequel is that
230
600307
2260
Puis ils ont eu la surprise de constater
10:14
theirleur softwareLogiciel had not only doneterminé it for theirleur targetcible,
231
602567
2764
que leur logiciel l'avait fait
non seulement pour la personne ciblée
10:17
but other people who accidentallyaccidentellement happenedarrivé
232
605331
1403
mais également pour les autres personnes
10:18
to be in the picturephoto, they were ablecapable to produceproduire
233
606734
2086
apparaissant accidentellement sur la vidéo.
Ils ont pu reconstituer
10:20
what those people had been typingdactylographie, and that was kindgentil of
234
608820
2727
ce que ces personnes tapaient ;
c'était une sorte d'effet
10:23
an accidentalaccidentelle artifactartefact of what theirleur softwareLogiciel was doing.
235
611547
3617
secondaire involontaire de leur logiciel.
10:27
I'll showmontrer you two more. One is P25 radiosradios.
236
615164
4303
Je vais vous en montrer encore deux.
Tout d'abord, les radios P25.
10:31
P25 radiosradios are used by lawloi enforcementmise en vigueur
237
619467
2800
Les radios P25 sont utilisées par la police
10:34
and all kindssortes of governmentgouvernement agenciesagences
238
622267
3407
ainsi que toutes sortes d'agences gouvernementales
10:37
and people in combatcombat to communicatecommuniquer,
239
625674
1736
ou même les soldats au front, pour communiquer.
10:39
and there's an encryptioncryptage optionoption on these phonesTéléphones.
240
627410
2833
Ces téléphones possèdent une option d'encodage.
10:42
This is what the phonetéléphone looksregards like. It's not really a phonetéléphone.
241
630243
2728
Voici à quoi ressemble ce téléphone.
Ce n'est pas vraiment un téléphone,
10:44
It's more of a two-waybidirectionnelle radioradio.
242
632971
1206
plutôt un émetteur-récepteur.
10:46
MotorolaMotorola makesfait du the mostles plus widelylargement used one, and you can see
243
634177
3322
Motorola produit le modèle le plus utilisé,
et vous pouvez voir
10:49
that they're used by SecretSecret ServiceService, they're used in combatcombat,
244
637499
2649
qu'il est utilisé par les services secrets,
par les soldats au front, etc.
10:52
it's a very, very commoncommun standardla norme in the U.S. and elsewhereautre part.
245
640148
3102
C'est très commun aux États-Unis et ailleurs.
10:55
So one questionquestion the researchersdes chercheurs askeda demandé themselvesse is,
246
643250
2305
La question que se sont posée les chercheurs,
10:57
could you blockbloc this thing, right?
247
645555
2704
était : pourrait-on bloquer ces communications ?
11:00
Could you runcourir a denial-of-servicedéni de service,
248
648259
1583
Pourrait-on provoquer un déni de service
11:01
because these are first respondersrépondeurs?
249
649842
1824
sur ces communications d'urgence ?
11:03
So, would a terroristactivités terroristes organizationorganisation want to blacknoir out the
250
651666
1801
Est-ce qu'une organisation terroriste
pourrait aveugler
11:05
abilitycapacité of policepolice and fireFeu to communicatecommuniquer at an emergencyurgence?
251
653467
4488
les communications de la police
et des pompiers lors d'une urgence ?
11:09
They founda trouvé that there's this GirlTechGirlTech devicedispositif used for textingEnvoyer des SMS
252
657955
3072
Ils ont découvert qu'un appareil de GirlTech permettant d'échanger des SMS
11:13
that happensarrive to operatefonctionner at the sameMême exactexact frequencyla fréquence
253
661027
2718
utilise exactement la même fréquence
11:15
as the P25, and they builtconstruit what they calledappelé
254
663745
2271
que les radios P25 ; ils ont donc conçu
ce qu'ils ont appelé
11:18
My First JammerBrouilleur. (LaughterRires)
255
666016
4334
"Mon Premier Brouilleur".
(Rires)
11:22
If you look closelyétroitement at this devicedispositif,
256
670350
2378
Si vous observez attentivement l'appareil,
11:24
it's got a switchcommutateur for encryptioncryptage or cleartexttexte en clair.
257
672728
3630
il y a un interrupteur pour encoder ou non.
11:28
Let me advanceavance the slidefaire glisser, and now I'll go back.
258
676358
3050
Laissez-moi passer à la diapositive suivante,
puis revenir à celle-ci.
11:31
You see the differencedifférence?
259
679408
2547
Vous voyez la différence ?
11:33
This is plainplaine texttexte. This is encryptedcrypté.
260
681955
2557
Ici on est en texte clair. Là, c'est encodé.
11:36
There's one little dotpoint that showsmontre up on the screenécran,
261
684512
2557
Il y a un petit point qui apparaît sur l'écran,
11:39
and one little tinyminuscule turntour of the switchcommutateur.
262
687069
2085
et un petit changement au niveau de l'interrupteur.
11:41
And so the researchersdes chercheurs askeda demandé themselvesse, "I wondermerveille how
263
689154
1904
Les chercheurs se sont donc demandé
11:43
manybeaucoup timesfois very securegarantir, importantimportant, sensitivesensible conversationsconversations
264
691058
4257
combien de fois des conversations
très sensibles et importantes
11:47
are happeningévénement on these two-waybidirectionnelle radiosradios where they forgetoublier
265
695315
1623
sont transmises avec ces émetteurs-récepteurs
11:48
to encryptcrypter and they don't noticeremarquer that they didn't encryptcrypter?"
266
696938
2910
où l'option d'encodage a été oubliée
sans que les interlocuteurs ne le remarquent.
11:51
So they boughtacheté a scannerscanner. These are perfectlyà la perfection legallégal
267
699848
3339
Ils se sont donc procurés un scanner radio,
un dispositif parfaitement légal aux États-Unis.
11:55
and they runcourir at the frequencyla fréquence of the P25,
268
703187
3458
Ils l'ont utilisé à la fréquence des radios P25
11:58
and what they did is they hoppedsauté around frequenciesfréquences
269
706645
1767
et ont parcouru les fréquences environnantes
12:00
and they wrotea écrit softwareLogiciel to listen in.
270
708412
2510
puis ont développé un logiciel d'écoute.
12:02
If they founda trouvé encryptedcrypté communicationla communication, they stayedséjourné
271
710922
2634
S'ils trouvaient une communication encodée,
ils restaient
12:05
on that channelcanal and they wrotea écrit down, that's a channelcanal
272
713556
1686
sur cette fréquence, en indiquant que cette fréquence
12:07
that these people communicatecommuniquer in,
273
715242
1788
était utilisée par ces personnes pour communiquer,
12:09
these lawloi enforcementmise en vigueur agenciesagences,
274
717030
1622
ces agents de maintien de l'ordre.
12:10
and they wentest allé to 20 metropolitanmétropolitain areaszones and listenedécouté in
275
718652
3391
Ainsi, ils sont allés dans 20 agglomérations
et ont écouté
12:14
on conversationsconversations that were happeningévénement at those frequenciesfréquences.
276
722043
3475
les conversations transmises sur ces fréquences.
12:17
They founda trouvé that in everychaque metropolitanmétropolitain arearégion,
277
725518
3239
Ils ont découvert que
dans chacune de ces agglomérations
12:20
they would captureCapturer over 20 minutesminutes a day
278
728757
2154
ils captaient plus de 20 minutes de communication
12:22
of cleartexttexte en clair communicationla communication.
279
730911
2375
en clair par jour.
12:25
And what kindgentil of things were people talkingparlant about?
280
733286
2000
Et de quoi parlaient ces personnes ?
12:27
Well, they founda trouvé the namesdes noms and informationinformation
281
735286
1484
Eh bien, de noms et d'informations
12:28
about confidentialconfidentiels informantsinformateurs. They founda trouvé informationinformation
282
736770
2852
concernant des informateurs ; d'informations
12:31
that was beingétant recordedenregistré in wiretapsécoutes téléphoniques,
283
739622
2202
enregistrées lors d'écoutes téléphoniques ;
12:33
a bunchbouquet of crimescrimes that were beingétant discusseddiscuté,
284
741824
2710
d'un certain nombre de délits examinés
12:36
sensitivesensible informationinformation.
285
744534
1162
et d'informations sensibles,
12:37
It was mostlyla plupart lawloi enforcementmise en vigueur and criminalcriminel.
286
745696
3363
principalement policières et criminelles.
12:41
They wentest allé and reportedsignalé this to the lawloi enforcementmise en vigueur
287
749059
1834
Ils l'ont signalé aux agences de maintien
12:42
agenciesagences, after anonymizinganonymisation it,
288
750893
2023
de l'ordre, après avoir anonymisé les données.
12:44
and the vulnerabilityvulnérabilité here is simplysimplement the userutilisateur interfaceinterface
289
752916
3000
La faille ici était simplement due à une mauvaise
12:47
wasn'tn'était pas good enoughassez. If you're talkingparlant
290
755916
1394
interface utilisateur. Si vous êtes en train de discuter
12:49
about something really securegarantir and sensitivesensible, it should
291
757310
2816
de sujets sensibles qui doivent être sécurisés,
il faudrait
12:52
be really clearclair to you that this conversationconversation is encryptedcrypté.
292
760126
3293
que la conversation soit
clairement indiquée comme encodée.
12:55
That one'sson prettyjoli easyfacile to fixréparer.
293
763419
1886
Cette faille est facile à corriger.
12:57
The last one I thought was really, really coolcool,
294
765305
1669
La dernière chose que je trouvais
vraiment, vraiment génial,
12:58
and I just had to showmontrer it to you, it's probablyProbablement not something
295
766974
2813
je vais juste vous le montrer ;
ça ne va sûrement pas
13:01
that you're going to loseperdre sleepdormir over
296
769787
1005
vous empêcher de dormir
13:02
like the carsdes voitures or the defibrillatorsdéfibrillateurs,
297
770792
1791
comme les voitures ou les défibrillateurs.
13:04
but it's stealingvoler keystrokesKeyStrokes.
298
772583
3023
Il s'agit de reconnaissance de frappe au clavier.
13:07
Now, we'venous avons all lookedregardé at smartphonessmartphones upsideà l'envers down.
299
775606
2747
Les smartphones ont été étudiés
sous toutes les coutures.
13:10
EveryChaque securitySécurité expertexpert wants to hackpirater a smartphonesmartphone,
300
778353
2190
Tout expert en sécurité souhaite
pirater un smartphone ;
13:12
and we tendtendre to look at the USBUSB portPort, the GPSGPS for trackingsuivi,
301
780543
4612
on s'est intéressé au port USB,
au GPS pour pister le téléphone,
13:17
the cameracaméra, the microphonemicrophone, but no one up tilljusqu'à this pointpoint
302
785155
3208
à la caméra, au micro, mais personne jusque-là
13:20
had lookedregardé at the accelerometeraccéléromètre.
303
788363
1580
ne s'est intéressé à l'accéléromètre.
13:21
The accelerometeraccéléromètre is the thing that determinesdétermine
304
789943
1647
L'accéléromètre est le composant qui détermine
13:23
the verticalverticale orientationorientation of the smartphonesmartphone.
305
791590
3494
l'orientation verticale du smartphone.
13:27
And so they had a simplesimple setupprogramme d’installation.
306
795084
1417
Ils ont donc mis au point une installation simple :
13:28
They put a smartphonesmartphone nextprochain to a keyboardclavier,
307
796501
2758
après avoir placé un téléphone
à proximité d'un clavier,
13:31
and they had people typetype, and then theirleur goalobjectif was
308
799259
2712
ils ont demandé à des personnes
de taper au clavier ; leur but était
13:33
to use the vibrationsvibrations that were createdcréé by typingdactylographie
309
801971
2856
d'exploiter les vibrations
créées par la frappe des touches,
13:36
to measuremesure the changechangement in the accelerometeraccéléromètre readingen train de lire
310
804827
4240
pour mesurer les changements de l'accéléromètre
13:41
to determinedéterminer what the personla personne had been typingdactylographie.
311
809067
3176
permettant ainsi de déterminer
ce que la personne écrit.
13:44
Now, when they trieda essayé this on an iPhoneiPhone 3GSGS,
312
812243
2576
Avec un iPhone 3GS,
13:46
this is a graphgraphique of the perturbationsperturbations that were createdcréé
313
814819
2769
voici le graphe des perturbations créées
13:49
by the typingdactylographie, and you can see that it's very difficultdifficile
314
817588
3241
lors de la frappe : comme vous pouvez le voir,
il est difficile
13:52
to tell when somebodyquelqu'un was typingdactylographie or what they were typingdactylographie,
315
820829
3078
de déterminer quand quelqu'un écrit
ou ce qu'il écrit ;
13:55
but the iPhoneiPhone 4 greatlytrès improvedamélioré the accelerometeraccéléromètre,
316
823907
3090
mais l'accéléromètre de l'iPhone 4
a été grandement amélioré,
13:58
and so the sameMême measurementmesure
317
826997
3480
et avec les mêmes mesures,
14:02
producedproduit this graphgraphique.
318
830477
1832
on obtient ce graphe.
14:04
Now that gavea donné you a lot of informationinformation while someoneQuelqu'un
319
832309
2486
Cela vous donne beaucoup d'informations
quand quelqu'un
14:06
was typingdactylographie, and what they did then is used advancedAvancée
320
834795
3241
écrit quelque chose ; les chercheurs ont utilisé
14:10
artificialartificiel intelligenceintelligence techniquestechniques calledappelé machinemachine learningapprentissage
321
838036
3007
des techniques avancées d'intelligence artificielle
comme l'apprentissage automatique
14:13
to have a trainingentraînement phasephase de,
322
841043
1431
afin d'établir une phase d'apprentissage.
14:14
and so they got mostles plus likelyprobable gradGrad studentsélèves
323
842474
2236
Puis ils ont demandé certainement
à des étudiants diplômés
14:16
to typetype in a wholeentier lot of things, and to learnapprendre,
324
844710
3789
d'écrire tout un tas de choses
afin que le système puisse
14:20
to have the systemsystème use the machinemachine learningapprentissage toolsoutils that
325
848499
2768
-- grâce aux outils d'apprentissage automatique --
14:23
were availabledisponible to learnapprendre what it is that the people were typingdactylographie
326
851267
2863
apprendre à reconnaître
ce que les personnes écrivaient
14:26
and to matchrencontre that up
327
854130
2827
et l'apparier
14:28
with the measurementsdes mesures in the accelerometeraccéléromètre.
328
856957
2477
avec les mesures de l'accéléromètre.
14:31
And then there's the attackattaque phasephase de, where you get
329
859434
1635
Vient ensuite la phase d'attaque,
14:33
somebodyquelqu'un to typetype something in, you don't know what it was,
330
861069
2811
où quelqu'un écrit quelque chose que l'on ignore
14:35
but you use your modelmaquette that you createdcréé
331
863880
1297
mais grâce au modèle défini
14:37
in the trainingentraînement phasephase de to figurefigure out what they were typingdactylographie.
332
865177
3442
par la phase d'apprentissage,
on détermine ce qu'il écrit.
14:40
They had prettyjoli good successSuccès. This is an articlearticle from the USAÉ.-U. TodayAujourd'hui.
333
868619
3484
Leurs résultats étaient plutôt bons.
Voici un article d'USA Today.
14:44
They typedtapé in, "The IllinoisIllinois SupremeSuprême CourtCour has ruledgouverné
334
872103
2609
Il y est écrit : "La Cour Suprême de l'Illinois a décrété
14:46
that RahmRahm EmanuelEmanuel is eligibleadmissibles to runcourir for MayorMaire of ChicagoChicago"
335
874712
2962
que Rahm Emanuel a droit de se présenter
au poste de maire de Chicago"
14:49
— see, I tiedattaché it in to the last talk —
336
877674
1354
-- remarquez le lien avec la dernière conférence --
14:51
"and orderedcommandé him to stayrester on the ballotBulletin de vote."
337
879028
2118
"et le somme de rester en lice."
14:53
Now, the systemsystème is interestingintéressant, because it producedproduit
338
881146
2771
Le système a un comportement intéressant :
il a retrouvé
14:55
"IllinoisIllinois SupremeSuprême" and then it wasn'tn'était pas sure.
339
883917
2886
les deux premiers mots
mais ensuite n'était pas certain.
14:58
The modelmaquette producedproduit a bunchbouquet of optionsoptions,
340
886803
1950
Le modèle a donc proposé une liste de possibilités.
15:00
and this is the beautybeauté of some of the A.I. techniquestechniques,
341
888753
2709
C'est là la beauté de certaines techniques
d'intelligence artificielle :
15:03
is that computersdes ordinateurs are good at some things,
342
891462
2250
les ordinateurs sont bons dans certains domaines,
15:05
humanshumains are good at other things,
343
893712
1534
les humains dans d'autres.
15:07
take the bestmeilleur of bothtous les deux and let the humanshumains solverésoudre this one.
344
895246
1931
Il s'agit de choisir le meilleur des deux : ici l'humain.
15:09
Don't wastedéchets computerordinateur cyclesdes cycles.
345
897177
1382
Ne perdez pas de temps
à faire calculer les ordinateurs.
15:10
A human'sde l’homme not going to think it's the SupremeSuprême mightpourrait.
346
898559
2136
Un être humain saura
qu'il ne s'agit pas du Pouvoir Suprême
15:12
It's the SupremeSuprême CourtCour, right?
347
900695
1740
mais de la Cour Suprême, n'est-ce pas ?
15:14
And so, togetherensemble we're ablecapable to reproducereproduire typingdactylographie
348
902435
2530
Et ainsi, ensemble, nous sommes capables
de retrouver ce qui est écrit
15:16
simplysimplement by measuringmesure the accelerometeraccéléromètre.
349
904965
2949
simplement en observant
les mesures de l'accéléromètre.
15:19
Why does this mattermatière? Well, in the AndroidAndroïde platformPlate-forme,
350
907914
3502
Pourquoi est-ce important ? Eh bien, sur Androïd
15:23
for exampleExemple, the developersles développeurs have a manifestmanifeste
351
911416
4133
par exemple, les développeurs ont un manifeste
15:27
where everychaque devicedispositif on there, the microphonemicrophone, etcetc.,
352
915564
2584
sur lequel chaque dispositif -- le micro, etc. --
15:30
has to registerregistre if you're going to use it
353
918148
1956
doit être déclaré si vous voulez l'utiliser :
15:32
so that hackerspirates can't take over it,
354
920104
2316
ainsi les pirates ne peuvent en prendre le contrôle,
15:34
but nobodypersonne controlscontrôles the accelerometeraccéléromètre.
355
922420
3108
mais personne ne contrôle l'accéléromètre.
15:37
So what's the pointpoint? You can leavelaisser your iPhoneiPhone nextprochain to
356
925528
2216
Quelle est l'idée derrière cela ?
Vous pouvez laisser votre iPhone à côté
15:39
someone'squelques uns keyboardclavier, and just leavelaisser the roomchambre,
357
927744
2106
du clavier de quelqu'un,
puis simplement quitter la pièce ;
15:41
and then laterplus tard recoverrécupérer what they did,
358
929850
1639
plus tard, vous récupèrerez ce qui a été écrit,
15:43
even withoutsans pour autant usingen utilisant the microphonemicrophone.
359
931489
1711
même sans l'usage d'un micro.
15:45
If someoneQuelqu'un is ablecapable to put malwareMalware on your iPhoneiPhone,
360
933200
2174
Si quelqu'un parvient à installer
une appli malveillante sur votre iPhone,
15:47
they could then maybe get the typingdactylographie that you do
361
935374
2848
il pourrait peut-être récupérer
ce que vous écrivez
15:50
whenevern'importe quand you put your iPhoneiPhone nextprochain to your keyboardclavier.
362
938222
2321
lorsque vous laissez votre iPhone
à côté de votre clavier.
15:52
There's severalnombreuses other notablenotable attacksattaques that unfortunatelymalheureusement
363
940543
2271
Il y a pas mal d'autres attaques remarquables
dont je n'ai
15:54
I don't have time to go into, but the one that I wanted
364
942814
2131
malheureusement pas le temps de parler,
mais je voulais
15:56
to pointpoint out was a groupgroupe from the UniversityUniversité of MichiganMichigan
365
944945
2277
attirer votre attention sur un groupe
de l'Université du Michigan
15:59
whichlequel was ablecapable to take votingvote machinesmachines,
366
947222
2441
qui ont pu récupérer des machines à voter,
16:01
the SequoiaSequoia AVCAVC EdgeBord DREsDREs that
367
949663
2498
des Sequoia AVC Edge DRE
16:04
were going to be used in NewNouveau JerseyMaillot in the electionélection
368
952161
1555
qui allaient être utilisées
lors d'une élection dans le New Jersey.
16:05
that were left in a hallwaycouloir, and put Pac-ManPac-Man on it.
369
953716
2161
Ces machines étaient laissées dans le hall.
Ils ont installé Pac-Man dessus.
16:07
So they rancouru the Pac-ManPac-Man gameJeu.
370
955877
3623
Ils ont donc pu jouer à Pac-Man.
16:11
What does this all mean?
371
959500
1747
Qu'est-ce que tout cela signifie ?
16:13
Well, I think that societysociété tendstendance to adoptadopter technologyLa technologie
372
961247
3647
Eh bien, je pense que notre société a tendance
à adopter de nouvelles technologies
16:16
really quicklyrapidement. I love the nextprochain coolestplus cool gadgetgadget.
373
964894
2824
très rapidement.
On est séduit par le prochain gadget génial.
16:19
But it's very importantimportant, and these researchersdes chercheurs are showingmontrer,
374
967718
2614
Mais c'est très important,
comme nous le démontrent ces chercheurs,
16:22
that the developersles développeurs of these things
375
970332
1360
que les développeurs travaillant dans ce domaine
16:23
need to take securitySécurité into accountCompte from the very beginningdébut,
376
971692
2865
doivent prendre en compte la sécurité dès le début
16:26
and need to realizeprendre conscience de that they maymai have a threatmenace modelmaquette,
377
974557
2785
et réaliser que malgré leur modèle de risques
16:29
but the attackersattaquants maymai not be niceagréable enoughassez
378
977342
2462
les pirates n'auront peut-être pas la décence
16:31
to limitlimite themselvesse to that threatmenace modelmaquette,
379
979804
1777
de s'y limiter ;
16:33
and so you need to think outsideà l'extérieur of the boxboîte.
380
981581
2537
il faut donc penser hors des chemins battus.
16:36
What we can do is be awareconscient
381
984118
1578
Nous pouvons prendre conscience
16:37
that devicesdispositifs can be compromisedcompromis,
382
985696
2479
que tout dispositif peut être compromis,
16:40
and anything that has softwareLogiciel in it
383
988175
1699
et que tout ce qui comporte du logiciel
16:41
is going to be vulnerablevulnérable. It's going to have bugsbogues.
384
989874
2649
est susceptible d'être vulnérable.
Il y aura forcément des bugs.
16:44
Thank you very much. (ApplauseApplaudissements)
385
992523
3497
Merci beaucoup.
(Applaudissements)
Translated by Alain Rinder
Reviewed by eric vautier

▲Back to top

ABOUT THE SPEAKER
Avi Rubin - Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records.

Why you should listen

Along with running the Health and Medical Security Lab, Avi Rubin is also the technical director of the JHU Information Security Institute. From 1997 to 2002, Avi was a researcher in AT&T’s Secure Systems Department, where he focused on cryptography and network security. He is also the founder of Harbor Labs, which provides expert testimony and review in legal cases related to high tech security. Avi has authored several books related to electronic security, including Brave New Ballot, published in 2006.

More profile about the speaker
Avi Rubin | Speaker | TED.com