novembre 23rd, 2009

Les deux tiers des sites Web sont (encore) vulnérables, susceptibles d’héberger les codes utilisables dans une attaque XSS. Des chiffres communiqués par nos confrères de Security Focus, et qui ne semblent pas changer d’une année sur l’autre, malgré les efforts de l’Owasp et les SDL de tous crins.

Des mythes les plus tenaces qui flottent dans l’atmosphère des nouvelles technologies de l’information, celui de la « porte dérobée de la NSA » est probablement l’un des plus anciens. L’histoire voulait que ce soit le cas des premiers noyaux Unix, puis ce fut au tour de Windows. Puis d’OS/2, sur lequel se seraient penchés les sorciers du DoD. Linux lui-même n’échappe pas à la règle, et l’on voit l’œil de Washington derrière le moindre algorithme de chiffrement nouveau. Chez Microsoft, c’en est presque devenu une tradition. Dès les premières éditions de Windows NT, nombreux étaient les administrateurs qui passaient leur temps à bloquer des appels aussi fantaisistes qu’inexpliqués à des numéros IP n’appartenant pas franchement au réseau local. Le bruit de couloir s’amplifie avec la sortie de Vista, qui a fait l’objet, au fil de son développement d’une surveillance attentive de la part des techniciens de la NSA. Mais de simple auditeur au rôle de poseur de micros, il n’y a qu’un pas que les employés de cette administration n’hésitent pas toujours à franchir. Alors, pourquoi les clients eux-mêmes n’opèreraient-ils pas un raccourci identique ? D’autant plus que tout ce que pourra raconter un représentant de la « No Such Agency » plaidera en sa défaveur. Le désir de « to enhance Microsoft’s operating system security guide » dixit Richard Schaeffer, l’information assurance director de la NSA, est interprétable de bien des manières.

La véritable question n’est pas tant de savoir s’il existe ou non une porte dérobée dans un système d’exploitation, mais si, d’un point de vue marketing, il est de bon ton d’afficher qu’une entreprise fraye avec des barbouzes. C’est, d’un point de vue stratégique, tendre le bâton pour se faire battre et s’exposer volontairement aux critiques et suspicions de tous poils. Y’a-t-il un spyware ou une backdoor dans Windows 7 ? Probablement autant qu’il en existe dans les bios des ordinateurs portables Lenovo ou dans le firmware des routeurs Huawei. Et c’est sur des soupçons aussi fondés que le Sénat américain a, par deux fois, émis des « notes de prudence » quand à l’importation et l’utilisation de ces équipements, participant ainsi à instaurer un climat de « peur, incertitude et doute ». Seulement, les arguments qui pourraient protéger les intérêts supérieurs des entreprises nord-américaines ainsi que la balance du commerce extérieur ne sont plus tellement appréciés lorsqu’ils risquent de provoquer des réactions protectionnistes semblables de la part des pays d’Europe ou du Sud Est asiatique. La calomnie politique, c’est un peu comme les virus. Simple et peu coûteuse à fabriquer, mais totalement incontrôlable une fois lâchée.

Le délit de vol d’identité n’existe pas pour les entreprises cotées en bourse. La BBC nous apprend que certains abonnés de T-Mobile dont l’abonnement arrivait à échéance se sont consciencieusement faits courtisés par des opérateurs concurrents. Cette liste de « clients potentiels » aurait été récupérée chez des vendeurs de données –data brokers-, lesquels l’auraient directement obtenu de la part d’employés T-Mobile indélicats. Bien entendu, aucun des principaux opérateurs présents en Grande Bretagne n’avoue avoir trempé dans une telle combine au combiné.

Un « fait divers » à rapprocher des travaux de l’ACFE (Association of Certified Fraud Examiners). Pour qu’il y ait fraude, particulièrement dans un milieu constitué essentiellement de cadres et de travailleurs du tertiaire, il faut que le risque encouru soit au moins proportionnel au dol ressenti par l’employé qui passe du côté « obscur » et que les gains compensent les poursuites éventuelles. Or, l’actualité récente tend à le prouver chaque jour, ce n’est pas particulièrement dans le commerce de la minute de communication que l’on trouve les conditions de travail les plus humaines.

Bien sûr, ce n’est certainement pas en France que de telles fuites d’information pourraient survenir …

C’est un impressionnant concert de couper – coller que nous offre la presse anglo-saxonne depuis quelques jours : deux personnes d’une vingtaine d’années, un homme et une femme, auraient été arrêtés par la la PCeU (Police’s Central e-Crime Unit, cyberpolice Britannique) pour des « faits en relation avec le virus Zeus ». Les faits reprochés aux deux présumés innocents sont absents des déclarations officielles de la police, et nos confrères d’Outre Manche se contentent de rappeler l’impressionnant palmarès de Zeus depuis ces dernières années. Rappelons que, lorsque ce troyen a pointé pour la première fois le bout de sa toge, c’était durant l’été 2007, aux Etats-Unis. Les prévenus n’avaient alors que 18 ans.