janvier, 2010

La 26C3 comme si vous y étiez : les archives des enregistrements des conférences et un nombre impressionnant de vidéos prises durant la manifestation de Berlin sont offertes sur le site du CCC. Les flux de la CCC-TV sont également accessibles sur les serveurs du Chaos.

Brian Krebs, l’éditorialiste du Washington Post, quitte le journal et sa rubrique sécurité. Ce reporter avait été le principal acteur de la chute de McColo et le pourfendeur de bon nombre de polluposteurs notoires. On peut retrouver ses papiers dévastateurs sur un nouveau blog, KrebsOnSecurity

Le HackerSpaceBrussels (HSB) organise du 26 au28 février, à Hasselt (Belgique) un « Wireless Battle Mesh », prélude à la prochaine réunion de Rome. Ces Wireless Battle sont consacrées au test et à la mise en œuvre de réseaux WiFi Mesh (réseaux digipeatés) Open Source tels que OLSR, Batman et Babel.

Kaspersky lance un « Kaspersky password manager », qui sera commercialisé aux environs de 25 euros après une période promotionnelle durant laquelle le logiciel sera proposé à 15 euros. C’est là un proche concurrent du logiciel Passwordsafe, initialement conçu par Bruce Schneier, et disponible gratuitement en version Windows et « multiplateforme » Java.

C’est un scoop publié par le Journal of Alzheimer’s Disease : une exposition à des ondes électromagnétiques de fréquences élevées serait capable de « fortement diminuer » les risques de maladie d’Alzheimer. Un groupe de 96 souris a été exposé, à raison de 2 fois 1 heure d’exposition par jour, aux rayonnements d’un téléphone cellulaire durant une période de 7 à 9 mois. Ces animaux, précise le communiqué, étaient en majorité génétiquement déficients et susceptibles de développer d’importants troubles de la mémoire, certains étant même déjà atteints des troubles en question. Après ce « bain d’ondes », la majorité des souris a conservé ou a vu s’améliorer sa capacité cognitive, et les sujets atteints ont montré une certaine régression de la maladie. Par quel miracle ? Toutes les hypothèses sont lancées, y compris celle d’une élévation de température qui serait fatale aux peptides de type -amyloïde, protéine pathogène de l’Alzheimer. Notons au passage que ces recherches ont été poursuivies par l’USF, University of South Florida, état dont la moyenne d’âge est la plus élevée de tous les Etats-Unis.

De telles annonces sont à prendre avec beaucoup de précautions tant que le protocole de test n’a pas été publié avec précision et que l’expérience n’a pas été reproduite. Les « ondes qui guérissent », depuis les expériences de Mesmer, au XVIIème siècle ou la « machine de Prioré » au XXème, ont toujours soulevé des espoirs fous et des polémiques Himalayennes. Mais indiscutablement, cette découverte va faire plaisir à un certain nombre de « laboratoires indépendants sponsorisés par les équipementiers » ainsi qu’au GSMA.

Chez les opérateurs, on se pose probablement aussi pas mal de questions. L’usage du GSM risque-t-il d’être remboursé par la Sécurité Sociale ? Les forfaits illimités vont-ils être inscrits au tableau B et délivrés uniquement sur ordonnance ? La vente des abonnements actuellement en cours ne tomberait-elle pas sous le coup de la loi sous prétexte d’exercice illégal de la médecine ? A toutes ces interrogations, l’on peut craindre également une profonde réforme des institutions Françaises. Ainsi l’interdiction du téléphone portable et la privation de SMS à tout adolescent sur le point de passer un examen –ce serait assimilé à du dopage-, tout comme seront prohibées les installations d’antenne-relais dans l’immédiate proximité des écoles, de la maternelle à l’Université. Robin des Toits (http://www.robindestoits.org/) pourrait enfin avoir gain de cause. Un budget spécial pourrait, en revanche, être attribué à nos chers académiciens (http://www.academie-francaise.fr/immortels/index.html), ces 40 pépés verts pour qui un bain de jouvence débutant par «06 » leur octroierait probablement l’immortalité des neurones que leur promet leur statut. Idem pour tous les « Thinktank », du CNRS aux « universités d’été » des principaux partis politiques, en passant par les organisateurs de « brainstorming » (alias « consultants en organisation » et autres « conseillers en stratégie » ou en « business intelligence » dont les salaires sont inversement proportionnels à la clarté de leurs rapports). Pour ce qui concerne l’armée et la police, il faudra y réfléchir à deux fois. Deux téléphones au-delà du grade de commandant, strictement rien en deçà de Brigadier-chef ou Maréchal des Logis. Si la troupe se met à penser, c’est la fin de la discipline, et quand c’est la fin d’la discipline, c’est également celle des haricots m’n’adjudant.

En léger décalage par rapport aux concurrents, NetAsq nous offre son « top 10 » des menaces qui nous attendent tout au long de l’année à venir. Même si les espoirs économiques et les études universitaires prétendent parfois le contraire, nos spécialistes du Grand Nord montrent du doigt les « nouvelles-nouvelles technologies ». A commencer par le Cloud Computing, la virtualisation, les smartphones, les techniques d’authentification traditionnelles –Conficker nous en a d’ailleurs apporté une preuve certaine-, les Macintosh… bref, presque tout ce qui était pressenti comme « dangereux » pour 2009 et dont le niveau d’alerte n’a pas dépassé 0,1 sur l’échelle de Richter de la cyber-sinistralité.

Après une longue liste de menaces probables, la tAsq Force nous promet quelques tendances salvatrices : création d’un ONU du Web (espérons que ce ne sera pas une SDN de l’IP), l’arrivée d’UTMs encore plus intelligents et performants et une explosion du secteur des VPNs liée à l’accroissement du télétravail (pourvu que l’employeur ne soit pas Pole-emploi.fr). Voici donc, in extenso, les 10 prédictions 2010 de NetAsq :

1. Le cloud computing sous pression. Le développement des offres SaaS rend très attirantes les bases de données hébergées et les flux d’informations transmis pour les hackers organisés en bandes criminelles.

2. Les faiblesses de sécurité de la virtualisation révélées. Si des réponses efficaces ne sont pas apportées et déployées à grande échelle, les architectures virtuelles seront inévitablement soumises à de nouvelles formes d’attaques.

3. La multiplication du déploiement de solutions d’authentification forte. La combinaison «nom d’utilisateur / mot de passe » est clairement insuffisante pour protéger efficacement transactions et accès à des informations ou applications professionnelles. 2010 sera une année charnière dans la transition vers des modèles plus solides.

4. L’apparition d’attaques cyber-terroristes de grande envergure visant des systèmes critiques (gestion des systèmes d’approvisionnement en eau, de génération, transmission et distribution d’énergie électrique, de gaz et de pétrole, et divers protocoles industriels).

5. La multiplication des virus et spywares visant les smartphones (iPhone jailbreakés ou pas, mobile sous Androïd en particulier). Après le virus affichant la photo de Rick Asley détecté début novembre 2009, on a déjà identifié au moins 4 nouveaux vers en 2009, le chiffre devrait dépasser la centaine en 2010.

6. La fin du monde des « signatures ». La sécurité doit être proactive et ne pas reposer uniquement sur la notion très relative d’un nombre de signatures. Les spécialistes ont déjà pris conscience de cette évolution, le grand public va suivre.

7. La multiplication des virus impactant les MACs (ce n’est pas par hasard que Kaspersky, partenaire anti-virus de NETASQ a annoncé en décembre 2009 le lancement d’une offre pour les Macs)

8. La création d’une véritable « organisation mondiale » de la sécurité du web. Soit une entité contrôlée par l’ICANN, soit une initiative nouvelle sur le mode de l’ONU.

9. La poursuite des convergences dans les solutions de sécurité. Après l’association dans des boîtiers unifiés de sécurité de protection pare feu, antivirus, anti spam, IPS…la tendance sera à l’intégration de fonctions autour de la gestion de la téléphonie sur IP.

10. La mobilité sécurisée, le développement du télétravail et de la mobilité fera se multiplier les solutions VPN (PC et smartphones).

Le FIC, 4ème Forum international sur la cybercriminalité, se tiendra à Lille, du 31 mars au 1er avril prochain. Réunion d’experts se déroulant sous l’aile protectrice de la Gendarmerie, durant les deux premières années, cette manifestation est devenue, depuis 2009, un véritable forum international s’adressant non seulement aux « gens du sérail » mais également aux entrepreneurs, aux responsables de systèmes d’information, aux élus locaux…

Cette année 23 pays sont partenaires de l’événement. Une forte majorité d’Européens, certes, mais également des représentants d’ Afrique du Sud, d’Algérie, de Bulgarie, du Canada, de Chine, du Japon, de Russie ou des USA. En outre le FIC 2010 accueillera un colloque organisé par l’Organisation pour la sécurité et la coopération en Europe (OSCE) pour conduire avec un panel d’experts, une réflexion sur les moyens de sécuriser l’espace numérique. Le programme détaillé montre également une nette « montée en puissance » des tables rondes/ateliers qui s’y dérouleront. De la « haine et intolérance sur le Net » au droit à l’oubli, de la lutte antivirale au blanchiment d’argent sale et à l’encadrement du jeu en ligne, il y aura là sujets à confrontations. L’équipe de CNIS couvrira au jour le jour les différents évènements de cette grand-messe de la cybersécurité Française.

Veeam propose des outils sur environnement Vmware. Créée en 2006 à l’initiative de deux russes, la société implante son siège social aux USA. Ainsi le développement et le management sont situés en Russie alors que les départements vente et marketing sont américains. Le premier outil qui fut développé par la start up a été fast SCP, un programme gratuit permettant le management de fichiers virtuels. Près de deux et demi plus tard, mi 2008, ils ne sont pas moins de 60 000 ingénieurs ou techniciens à utiliser cet utilitaire gratuit. C’est à ce moment que Veeam se lance réellement dans un le développement de produits commerciaux. Aujourd’hui la société compte près de 150 employés dont la moitié sont des ingénieurs et des développeurs.

Dès le démarrage de l’activité commerciale, des commerciaux sont embauchés en Europe. Basé sur un business model de vente indirecte aux travers de grossistes et de revendeurs, les ventes décollent rapidement et dès fin 2008, Veeam s’étend sur toute l’Europe en couvrant à la fois le Nord, le Centre et l’Europe du sud. Cette dernière supervisée depuis la France sous la férule de Daniel Fried.

Les deux produits phares restent le management des infrastructures virtuelles mais également le PRA, Plan de Reprise d’Activité grâce au Back up possible des infrastructures virtuelles. Le tout en s’appuyant sur des infrastructures Vmware. Autre point fort selon Daniel Fried, « Nos produits sont optimisés car ils utilisent les APIs standards Vmware ce qui évite de prendre des ressources matérielles supplémentaires et de trop utiliser également de la bande passante. Et le tout pour ESX, ESXi et ESXi for free. »

Côté management, Veeam s’intègre aux plates formes usuelles d’administration comme HP openview devenu Operations Manager ou System Center Operation Manager de Microsoft et leurs remontent des informations (via Nworks puis Reporter) en sus du management et du monitoring. Petit avantage toujours selon Daniel Fried « Hormis le fait que l’historique répercute les différentiels entre deux snapshots, cela permet de suivre ce qui se passe lorsque l’on a une prolifération de machines virtuelles. Et les services informatiques qui facturent voire les outsourcers, les spécialistes du Hosting ou les intégrateurs ne sont pas en reste de renseignements utiles pour facturer. » Reste Configurator, une solution pour configurer une machine virtuelle à la volée au travers d’une image de configuration qui fait le travail automatiquement sur la liste de machines donnée. Des profils types sont même proposés et en cas de modification par un utilisateur, des alertes sont envoyées.

Enfin Veeam mise également sur un ancien marché mais en pleine démocratisation le PRA pour Plan de Reprise D’activité. C’est au travers de la virtualisation et notamment des machines virtuelles que le PRA de type asynchrone est né.

Pierre Carron, du Cert Lexsi, nous offre en ce début d’année l’un des articles les plus intéressants de la blogosphère : Pourquoi Facebook a crucifié la sécurité (sans point d’interrogation). Billet passionnant car il met en perspective, sous l’angle de la sécurité, l’état des réseaux sociaux en général et de Facebook en particulier. Parce qu’également, même si l’on peut ne pas partager tous les points de vue exprimés, cet article soulève une multitude de sujets de discussion et de réflexion.

De l’anonymat. Le premier charme de Facebook, explique Pierre Carron, c’est l’incertitude des identités : tantôt véritable curriculum vitae, tantôt identité totalement forgée, plus rarement usurpée, c’est grâce à ce possible masque que le membre d’un réseau social peut trouver le courage de s’exprimer librement, sans risque de représailles autres que, dans de très rares cas, la fermeture d’un compte. Une fermeture qui d’ailleurs est souvent ressentie comme une forme de violence et un anonymat qui est déclaré comme une « nouvelle forme d’une ancienne pratique ». Alors, Facebook, le nouveau « Radio Londres » des résistants clandestins du Net ? Une forme de « prise de parole/prise de pouvoir » populaire jusqu’à présent réservée à une élite socio-technique ? Et d’argumenter « signer un article sous un pseudonyme, par exemple, est une pratique extrêmement répandue dans la presse et qui ne choque personne ; de même qu’adopter un surnom fantaisiste est à la racine même de tous les systèmes de messagerie instantanée, à commencer par les systèmes de radio amateur, des décennies avant la généralisation d’Internet ». Ce à quoi les gratte-papiers que sont les journalistes de la rédaction de CNIS Mag rétorqueront que le pseudonyme d’un journaliste est inscrit sur sa carte de presse et est connu généralement, sinon du lecteur, du moins des services de la Préfecture. En outre, l’usage d’un nom de plume engage la responsabilité juridique de l’éditeur. Quand à l’idée d’anonymat des radioamateurs, elle est très relative : l’activité n’est autorisée qu’après passage d’un examen d’Etat supervisé par l’Autorité des Télécoms, passage d’examen lui-même soumis aux conclusions d’une enquête de moralité effectuée par la DST, le tout assorti des obligations de description des équipements techniques mis en œuvre notamment auprès des services de l’ANFr, conservation des logs de chaque communication, déclaration à la gendarmerie du moindre changement d’adresse et d’une connaissance et d’un respect absolu des textes de loi (art. L88, 89 et suivants du codes des P&T traduisant les directives de l’UIT). Ajoutons que les propos que s’échangent les radioamateurs ne peuvent en aucun cas, de par la loi et l’éthique, aborder le moindre sujet personnel, et que les indicatifs utilisés (les identités donc) sont octroyés par l’Administration des Télécoms et ne peuvent être changés sous peine d’une amende de 30 000 euros et d’une peine de prison pouvant aller jusqu’à 3 ans… vous avez dit anonymat et tradition séculaire ?

Et d’ailleurs, qu’est-ce que l’anonymat sur Internet et quelles en sont ses limites ? A l’exception d’un quarteron de geeks et de techniciens amoureux des proxys et des vpn, l’Internautus vulgaris n’est pas anonyme vis-à-vis de son fournisseur, vis-à-vis des autorités, vis-à-vis des hébergeurs de services et vis-à-vis des prospecteurs marketing en tous genres qui écument les « http Get » à grands renforts de « spywares marketing qui ne sont pas des spywares ». Certes, l’on peut se cacher derrière un pseudonyme… mais il est beaucoup plus difficile de se camoufler derrière un profil bidonné. Facebook, tout comme Twitter, MSN et autres outils IP « modernes », sont des usines à discrétiser l’individu, des machines à portraiturer le « surfer » dans ses moindres détails. Peut importe qu’il se nomme Nabuchodonosor ou L3z0rc13rduR3z0, le principal est qu’il affiche des opinions politiques de tel ou tel bord, qu’il achète volontiers ses livres sur Amazon et que ses intensions les plus secrètes puissent se lire sur un compte Google, Yahoo ou MS-Live. Qu’est-ce qu’un anonymat qui ignore (parfois) un patronyme, mais qui connaît au détail près une adresse IP, MAC, des habitudes de consommation, une adresse email, la liste complètes des amis, connaissances ou relations de travail ?

.
Sur la « liberté d’expression », là encore, il serait bien téméraire de voir en Facebook l’exutoire de la vox populi. Certes, l’on cite çà et là l’usage des réseaux sociaux comme source d’information en provenance d’Iran, les blogs comme « thermomètre social » depuis le début de la guerre d’Irak, les « chat rooms » dans les milieux activistes Chinois… Mais bien souvent, trop souvent, cette parole retombe dans l’indifférence générale ou se noie dans un bruit de fond toujours croissant, après quelques jours ou quelques minutes de gloire Warholienne. Le moindre dérapage décrédibilise une « source » et son abandon constitue un bâillon parfois bien plus efficace qu’une descente de police. L’Internet aime toujours l’éphémère, souvent l’absence de recul, rarement la Référence. C’est ce qui entrave, voir supprime ce « pendant libertaire de sociétés de plus en plus sous contrôle » car sur Internet, les passions peuvent être vives, mais elles sont de courtes durées. Du moins si on les compare aux « vieux » procédés d’expression clandestine : les cahiers manuscrits transmis sous le manteau d’un Soljenitsyne, les dazibaos sous forme de palindrome que l’on lisait dans les rues de Pékin, les pamphlets publiés à compte d’auteur en Hollande par les philosophes des Lumières… Sans martyr affiché, sans exergue de la censure, et surtout sans possibilité de distinguer sa voix de la multitude, il ne peut y avoir de véritable écoute d’une parole contestataire. Un principe que même les plus réactionnaires, les plus bigots, les plus conservateurs des penseurs ont su respecter, à commencer par Voltaire, dont les exils et les pillages relevaient bien souvent de la manœuvre politique et de l’intérêt de l’audimat.

Le filtrage –ou la modération- des contenus WebDeuxZéro, même s’il était automatisable, serait un mal plus grand que son laisser-aller. Car c’est en filtrant que l’on stigmatise et que l’on obtient généralement l’effet inverse que celui escompté. Sur Internet plus qu’ailleurs, semble-t-il, où le moindre incident de serveur est immédiatement pris pour le résultat d’une conspiration occulte et néanmoins mondiale. Il n’est pas dans l’intérêt des Twitters et autres grands socialisateurs de fabriquer des stars, de grands concentrateurs d’attention, car ce serait ôter à chaque participant son espoir d’être entendu, son illusion d’originalité. Pas de Voltaire, de Meslier ou de d’Holbach sur Facebook. Ce serait mauvais pour le commerce, ce serait transformer officiellement la majorité des inscrits en « followers ».

Si Facebook n’a aucun intérêt à authentifier ses usagers, c’est aussi parce que ce service voit dans l’absence de contrôle un ersatz de conspiration, un succédané d’illusion de « contre-pouvoir d’une contre-culture ». C’est une recette vieille comme le monde, dont la recette était donnée en 1872 par Charles Lecocq :

Quand on conspire,

Et collet noir…*

Pierre Caron achève son billet par une réflexion que n’auraient pas renié les Monthy Pythons : « Facebook, a complete waste of time »? Si cela est pratiqué durant les heures de bureau, sans le moindre doute ! Tout comme l’est théoriquement le temps perdu à trier le spam ou à disserter devant une machine à café, les heures passées à consulter les sites Web –professionnels ou non-, les minutes évaporées par la consultation des blogs ou les éons écoulés à « faire de la veille technologique » sur la grande toile, de mailing list en newsgroups afin de trouver 25 000 bits de pur diamant dans des téraoctets de bruit. Le premier danger de Facebook (et consorts), explique à juste titre notre expert Lexissien, ce n’est pas la fuite d’information, c’est la perte de productivité. Ce qui ramène bien le Nouveau Web à sa juste mesure : une vanité, une futilité, mais un business-model tout de même, dont les entreprises doivent assumer, en partie du moins, le soutien financier.

* NdlC Note de la Correctrice : « De Madame Angot, je suis la fille, je suis la fille … »

… c’est un peu comme la crème de la crème en Auvergne ou la « double crème » en Helvétie : la substantifique moelle du savoir qui a survécu à l’épreuve du temps. Nos confrères de TechTarget ont effectué une compilation des « 10 meilleures recettes de sécurité de l’année 2009 ». Ce pot-pourri d’articles fait partie des URL à classer en tête des favoris lors d’un déploiement. Non pas qu’on y trouve des révélations dantesques, mais plus simplement parce que ce sont là des pense-bêtes forts utiles, voir indispensables : les 5 clefs de registre à connaître sous XP, les 10 outils Sysinternals qu’il faut utiliser (non, le monde ne s’arrête pas à Process Explorer), les 9 règles de savoir-vivre dans la haute société des mots de passe inviolables, comment documenter les politiques de sécurité appliquées à Windows, comment bien utiliser MBSA… chaque article transforme son lecteur en Raymond Souplex de la sécurité : « Bon sang, mais c’est bien sûr ! »