décembre 21st, 2009

Comment voler les identités elles-mêmes volées par les spécialistes du hameçonnage ? En confiant l’URL de phishing au travail de sape d’ Autowhaler, le pilleur de phishers. Démonstration vidéo dans les colonnes de SecurityHacks.

Le Sans publie l’édition 2.3 des « Vingt points de sécurité critiques à contrôler absolument ». Une liste qui change des statistiques alarmistes que les éditeurs émettent à qui mieux-mieux en cette fin d’année. Les « vingt points » du Sans sont un résumé méthodologique qui règlent le « gai informatiser », et dont les points d’entrée évoluent avec les menaces et les changements technologiques. A lire et à respecter, car l’on frise là une approche normative de la protection des S.I. Comme chaque année, certains fondamentaux ne changent pas et conservent une place importante. Notamment les deux premiers points de contrôle que sont l’inventaire des matériels et logiciels approuvés ou non que l’on peut inventorier dans un parc, suivi immédiatement de la bonne configuration desdits équipements autrement dit, du passage en revue des « configurations par défaut » si dangereuses dans bien des cas. Monitoring, contrôle des accès, restriction des privilèges élevés, ce sont avant tout des conseils portant sur l’administration générale du parc qui forment le socle de cette check-list. Les point les plus à la mode (défense périmétrique, DLP, antimalwares, surveillance des équipements sans-fils, tests de pénétration…) ne sont rangés que dans la seconde moitié du classement. De la méthode avant toute chose, et défense sans conscience n’est que ruine du S.I.

Déprimante étude que celle du britannique SquareTrade. Spécialiste des assurances en « extension de garantie », ce prestataire de services s’est penché sur quelques 30 000 dossiers de sinistres concernant des ordinateurs portables tombés en panne. Après 3 ans d’usage, un tiers des machines étaient défectueuses. Sur ces 30%, 20% des systèmes ont succombé à une panne matérielle et seulement 10% à un dommage accidentel. En d’autres termes, le premier ennemi de l’ordinateur-jetable, c’est lui-même, autrement dit le manque de fiabilité de son électronique.

En examinant les statistiques des pannes, la première constatation qui s’impose, c’est que le taux de panne suit une progression linéaire avec le temps. 7% la première année, 20% la seconde, 30% la troisième… passé 5 ans, les ordinateurs portables de nouvelle génération ont autant de chances de tomber en marche que de demeurer muet. Hors, 5 ans, c’est à peine la durée d’amortissement d’une machine dans le secteur grand public, au sein des TPE/PME et auprès des professions libérales.

Ventilés par constructeur, les résultats montrent que tous les portables ne naissent pas égaux. Champion du bug toutes catégories, HP/Compaq est classé bon dernier, avec 25,6% de taux de panne sur 3 ans. Le premier du classement, avec « seulement » 15,6% de taux de mauvais fonctionnement, s’appelle Asus. Asus dont la fiabilité des machine a souvent fait l’objet de remarques désobligeantes de la part de ses concurrents. Second à 0,1% d’écart, Toshiba, seigneur et maître du domaine et quasi inventeur du portable tel qu’on le connaît. Sony, Apple et Dell occupent les positions suivantes, chaque place accusant en moyenne 1% de taux de panne en plus. Un important écart de fiabilité sépare ce peloton de tête des autres marques, Lenovo, Acer et Gateway.

Si l’on peut qualifier de lapalissade les métriques prouvant que les portables « haut de gamme » ont un MTBF meilleur que celui des machines d’entrée de gamme, on ne sera pas surpris d’apprendre que la nouvelle vague des netbooks est plus fragile encore.

L’étude ne détaille pas l’origine de ces mauvais fonctionnements, mais un simple coup d’œil sur les stocks des ateliers de maintenance fournit des indications limpides. Souvent, c’est l’alimentation, ou plus exactement la prise mâle ou la prise châssis qui succombent par arrachement. Contre les crocs en jambe traîtreusement tendus par les fils, seul Microsoft semble avoir trouvé une parade, en équipant les cordons des manettes de ses Xbox de connecteurs d’arrachement. Pourquoi n’en trouve-t-on pas sur les fils d’alimentation ? Les ventilateurs de CPU et leurs échangeurs sont également des candidats au trépas rapide. Soit par panne du moteur (l’on dirait que les constructeurs recherchent en guise de fournisseurs les OEM les moins chers du continent asiatique) soit par encrassement et obstruction des évents de ventilation, souvent mal conçus. Mauvais qualité également au niveau des connecteurs internes et des nappes en circuit imprimé souple. Les inverseurs nécessaires au bon fonctionnement du rétro éclairage viennent ensuite ajouter leur lot de malheurs et de pannes thermiques. Combien de portables ont fini dans une décharge parce qu’une pièce de moins de 50 euros trépassait en exhalant une âcre fumée bleuâtre ? A cette liste l’on doit ajouter les pannes de disque dur, et enfin le mauvais contact sournoisement camouflé dans les contacts de matriçage de l’écran LCD. Une dalle dont le prix, après deux ans de fonctionnement dépasse généralement la valeur résiduelle de l’ordinateur.

D’un point de vue purement électronique, la majorité de ces pannes pourraient être évitées à moindre frais. Principalement en utilisant de meilleurs connecteurs, en repensant les évacuations thermiques, en ajoutant quelques centimes de silent-blocks. Mais il est vrai que, depuis ces 5 dernières années, le « green IT » est un luxe réservé à une infime minorité de machines (les serveurs), lois de la consommation obligent.