Que savent James Bond et ses collègues secrètes des services de renseignement sur la cybersécurité?
Le récemment sorti Pas le temps de mourir abaisse le rideau sur l'ère Daniel Craig. Dans cet esprit, passons à travers ses cinq sorties de liaisons du point de vue de la cybersécurité - vous serez secoué, mais j'espère que nous ne le ferez pas, par nos conclusions. Ce qui unit les films, à part Craig lui-même, c'est un manque total de compréhension des bases de la cybersécurité par les employés du film Mi6.
Que la surveillance soit délibérée (soulignant la surdance de Bond et l'ensemble du concept de section) ou en raison de l'incompétence des scénaristes et du manque de cyberconsultants n'est pas clair. Quoi qu'il en soit, voici un aperçu de certaines des absurdités que nous avons repérées dans les films, par ordre d'apparence. Alerte spoil!
Dans le premier film de Bond de Craig, nous voyons la scène suivante: Bond entre dans la maison de son supérieur immédiat, M, et utilise son ordinateur portable pour se connecter à une sorte de système d'espionnage pour découvrir la source d'un SMS envoyé au téléphone d'un méchant. En réalité, Bond ne pourrait faire cela que si:
N'importe lequel de ces scénarios émet des problèmes, mais le troisième est le plus probable; Un peu plus tard dans l'histoire, Bond à nouveau se connecte à distance à un «site Web sécurisé» en utilisant les informations d'identification de M.
L'attitude du mot de passe de Bond n'est pas meilleure. Lorsqu'il doit créer un mot de passe (d'au moins six caractères) pour le compte secret qui tiendra ses gains de poker, il utilise le nom du collègue (et de l'intérêt amoureux) Vesper. De plus, le mot de passe est en fait un mnémonique correspondant à un numéro (comme les mots téléphoniques obsolètes pour se souvenir et composer des numéros sur les claviers alphanumériques). Il s'agit effectivement d'un mot de passe à 6 chiffres, et basé sur un mot de dictionnaire à cela.
Le moins informatisé des cinq derniers films Bond, Quantum de réconfort comprend néanmoins un moment digne d'attention ici. Au début du film, nous apprenons que Craig Mitchell, un employé du MI6 de huit ans - cinq comme garde du corps de M - est en fait un agent double.
Bien sûr, c'est un problème de sécurité à l'ancienne plutôt que le cyber-type. Cependant, la négligence de M avec les mots de passe, comme on le voit dans le film précédent, suggère que les secrets de MI6 pourraient bien être entre les mains de super-vilains de chats dans le monde entier.
À l'autre extrémité du cybersecrocse Chagrin, le plus informatisé des cinq. Ici, la sécurité de l'information est au cœur même de l'intrigue. La cybermadness est évidente à partir de la scène un. Pour plus de commodité, nous décomposons notre analyse chronologiquement.
Un criminel inconnu vole un disque dur d'ordinateur portable contenant «l'identité de chaque agent de l'OTAN intégré dans des organisations terroristes à travers le monde."Même les partenaires du MI6 ne connaissent pas la liste (qui en outre n'existe pas officiellement).
meilleur bookmakerL'idée même d'un tel entraînement est déjà une vulnérabilité massive. Supposons que la base de données est vitale pour MI6 (elle l'est). Que faisait-il alors dans une maison sûre à Istanbul, protégée par seulement trois agents? Même si le lecteur est, comme on nous dit, crypter et alerte Mi6 de toute tentative de décryptage?
Le premier vrai cyberincident se développe un peu plus tard: une attaque cyberterroriste contre le siège du British Secret Intelligence Service. L'attaquant essaie de décrypter le lecteur volé - apparemment, selon le système de sécurité, de l'ordinateur personnel de M. Les défenseurs essaient désespérément de fermer l'ordinateur, mais les malfaiteurs font exploser le bâtiment SIS sur la banque de la Tamise.
L'enquête qui a suivi révèle que l'agresseur a piraté le système de contrôle environnemental, a verrouillé les protocoles de sécurité et a allumé le gaz; Mais avant de le faire, ils ont piraté les fichiers de M, y compris son calendrier, et ont extrait des codes qui font du décryport.
Supposons que l'alerte du lecteur volé sur l'ordinateur de M représentait une tentative de désinformation ou de pêche à la traîne (après tout, le lecteur n'aurait pas pu être dans le bâtiment). Et ignorons les questions sur l’approvisionnement en gaz du bâtiment - qui sait, peut-être que les couloirs du MI6 ont été allumés avec des lanternes à gaz de l’ère Jack-The-Ripper; La Grande-Bretagne est une terre de traditions, après tout.
Dans tous les cas, le piratage des systèmes de contrôle d'ingénierie est parfaitement faisable. Mais comment les systèmes de contrôle d'ingénierie et l'ordinateur de M - soi-disant «le système informatique le plus sécurisé de Grande-Bretagne» - se sont retrouvés sur le même réseau? C'est clairement un problème de segmentation. Sans oublier, le stockage des codes de décryptage du lecteur sur l'ordinateur de M est un autre exemple de négligence pure. Ils auraient au moins pu utiliser un gestionnaire de mots de passe.
| 1. Ice Casino | Jusqu'à 1 500 € + 270 Fs |
| 2. Casino770 | Bonus de bienvenue du casino 100 % JUSQU'À 200 € |
| 3. Bwin | Bonus de bienvenue du Bwin Casino – 200 € + 50 tours gratuits |
| 4. GratoWin | Bonus de bienvenue du casino 100 % JUSQU'À 200 € |
| 5. Spin Million | Bonus de bienvenue du casino 100 % JUSQU'À 9 000 $ |
Les auteurs taquinent M en publiant périodiquement les noms des agents dans le domaine public. Ce faisant, ils peuvent en quelque sorte flasher leurs messages sur son ordinateur portable. (Il semble y avoir une sorte de porte dérobée; sinon comment pourraient-ils entrer?) Mais les experts de MI6 ne sont pas intéressés à vérifier l'ordinateur portable, uniquement pour traquer la source des messages.
Ils concluent qu'il a été envoyé par un algorithme de sécurité asymétrique qui a rebondi le signal partout dans le monde, à travers plus de mille serveurs. Une telle tactique peut exister, mais ce qu'ils entendent par «algorithme de sécurité asymétrique» dans ce contexte est à peu près aussi clair que la boue. Dans le monde réel, asymétrique chiffrement L'algorithme est un terme de la cryptographie; cela n'a rien à voir avec la cachette d'une source de message.
Bond localise et appréhende le pirate (un ancien agent du MI6 du nom de Silva), et l'emmène lui et son ordinateur portable au nouveau siège social du MI6, ignorant que Silva le joue. Entrez Q: nominalement un quartier-maître, fonctionnellement du pirate en chef de MI6, en fait un clown.
Ici aussi, le raisonnement n'est pas entièrement clair. Est-il un clown parce que c'est drôle? Ou la décision était une autre conséquence de l'analphabétisme de la cybersécurité des scénaristes? La première chose que Q fait est de connecter l'ordinateur portable de Silva au réseau interne du MI6 et de commencer à parler Gobbledygook, que nous essaierons de déchiffrer:
Visuellement, tout ce qui se passe sur l'ordinateur de Silva est représenté comme une sorte de diagramme de spaghetti de complexité diabolique saupoudrée de ce qui ressemble à du code hexadécimal. Le lien aux yeux d'aigle repère un nom familier nageant dans la soupe alphanumérique: Granborough, une station de métro désaffectée à Londres. Il suggère de l'utiliser comme clé.
Certes, quelques officiers expérimentés du renseignement devraient se rendre compte qu'une information vitale laissée à la vue - à droite dans l'interface - est presque certainement un piège. Sinon, pourquoi un ennemi le laisserait-il là? Mais le Clueless Q entre dans la clé sans murmure. En conséquence, les portes s'ouvrent, les messages de «violation de sécurité du système» clignotent, et tout ce que Q peut faire est de se retourner et de demander: «Quelqu'un peut-il me dire comment il est entré dans notre système?!"Quelques secondes plus tard,« l'expert »décide enfin qu'il pourrait être logique de déconnecter l'ordinateur portable de Silva du réseau.
Dans l'ensemble, notre principale question est la suivante: les écrivains ont-ils décrit Q comme un amateur maladroit à dessein, ou ont-ils simplement pointu le scénario avec des termes de cybersécurité aléatoires en espérant que Q apparaîtrait comme un geek de génie?
En théorie, Spectre était destiné à soulever la question de la légalité, de l'éthique et de la sécurité du programme mondial de surveillance et d'intelligence mondiale en tant qu'outil antiterroriste. Dans la pratique, le seul inconvénient de la création d'un système tel que celui montré dans le film est que la tête des services secrets conjoints (après la fusion de MI5 et MI6) est corrompu - c'est-à-dire, si comme auparavant, l'accès aux Britanniques Les systèmes d'information du gouvernement sont obtenus par un méchant d'initié travaillant pour l'ennemi assermenté de Bond, Blofeld. D'autres inconvénients potentiels d'un tel système ne sont pas du tout considérés.
Comme ajout au thème d'initié, Q et Moneypenny Pass ont classé les informations à la caution officiellement suspendue tout au long du film. Oh, et ils mal informent les autorités sur son sort. Leurs actions peuvent être pour le plus grand bien, mais en termes de travail de renseignement, ils divulguent des données secrètes et sont coupables d'inconduite professionnelle à tout le moins.
Dans le dernier film de l'ère Craig, MI6 développe secrètement une arme top secret appelée Project Heracles, une arme bio. En utilisant Heracles, il est possible d'éliminer les cibles en pulvérisant des nanobots dans la même pièce, ou en les introduisant dans le sang de quelqu'un qui est sûr d'entrer en contact avec la cible. L'arme est une idée originale du scientifique du MI6 et de l'agent double (ou Triple, qui compte?) Valdo Obruchev.
Obruchev copie des fichiers secrètes sur un lecteur flash et l'avale, après quoi les agents (la poignée qui n'ont pas fini dans le dernier film) de l'organisation maintenant si secrète Spectre dans le laboratoire, volent des échantillons de nanobot et kidnapent le scientifique perfide. Nous connaissons déjà les problèmes de vérification des antécédents du personnel, mais pourquoi n'y a-t-il pas de système de prévention des pertes de données (DLP) dans un laboratoire qui développe des armes secrètes - en particulier sur l'ordinateur de quelqu'un avec un nom de famille russe, Obruchevev? (Russe = méchant, comme tout le monde le sait.)
Le film mentionne également brièvement que, à la suite de multiples fuites de grandes quantités de données ADN, l'arme peut effectivement être retournée contre n'importe qui. Soit dit en passant, ce bit n'est pas complètement invraisemblable. Mais ensuite, nous apprenons que ces fuites contenaient également des données sur les agents du MI6, et que cela détend la crédulité. Pour faire correspondre les données d'ADN divulguées avec celles des employés du MI6, les listes de ces agents devraient être rendues publiques. C'est un peu farfelu.
La cerise sur le dessus, quant à elle, est l'œil artificiel de Blofeld, qui, alors que son propriétaire était dans une prison de supermax pendant des années, a maintenu une liaison vidéo 24h / 24 avec un œil similaire dans l'un de ses hommes de main. Soyons généreux et supposons qu'il est possible de manquer un bioimplantant dans un détenu. Mais l'œil devrait être inculpé régulièrement, ce qui serait difficile à faire discrètement dans une prison de supermax. Qu'est-ce que les gardes ont fait? De plus, lors de la finale, Blofeld est détenu sans l'appareil oculaire, donc quelqu'un doit lui avoir donné après son arrestation. Un autre initié?
On pourrait croire que toutes ces absurdités sont le résultat d'une écriture paresseuse, et non d'un véritable reflet de la pratique de la cybersécurité au MI6. Au moins, nous espérons que le véritable service ne divulgue pas d'armes top secrètes ou ne stockera pas les codes top secrètes en texte clair sur les appareils qui ne verrouillent même pas automatiquement. En conclusion, nous ne pouvons que recommander aux scénaristes de sensibiliser la cybersécurité, par exemple en suivant un cours de cybersécurité.
Partenaires de casino associés
