février 10th, 2010

L’Assemblée, en plein travail sur la Loppsi, vient d’adopter l’article 4 portant sur la censure par blocage des sites pédopornographiques. Adoption toutefois marquée par une vive opposition des partis de gauche et de quelques élus de droite. D’un côté, la majorité joue sur du velours : pour l’opinion publique, toute opinion contraire peut passer pour de la complaisance vis-à-vis des délinquants ainsi visés. Pour l’opposition, cette loi n’est qu’un paravent inutile, destiné essentiellement à diaboliser Internet pour en mieux justifier les lois restrictives les plus extrêmes. Remarques d’autant plus pertinentes que, contrairement aux propos généralement tenus du côté de l’UMP, il est difficile de tomber « par hasard » sur des sites de ce type et que, si l’on se rapporte aux méthodes d’enquêtes des brigades de Gendarmerie spécialisées dans ce genre de trafic, ce sont surtout les canaux d’échange P2P qui véhiculent des contenus pédopornographiques. Grâce à un amendement de Lionel Tardy (UMP), cette censure sera soumise à la décision d’un juge avant application. Il y a donc très peu de chances que ce texte soit un jour réellement appliqué. Sa rédaction, pourtant, marque un premier pas qui, craignent les opposants serve un jour à justifier des mesures semblables pour des raisons nettement moins condamnables.

Ajoutons qu’a également été approuvé l’Article 2 de cette même Loppsi, qui, ainsi que l’avait promis il y a près d’un an Madame la Ministre Michèle Alliot-Marie, crée le délit « d’usurpation d’identité en ligne ». Là encore, les opposants à cette loi estiment que la formulation trop « vague » de cette notion d’identité et d’usurpation pourrait permettre des interprétations capables de condamner des caricatures, les « faux blogs », voir les canulars d’étudiants.

Face à l’armada des virus venus de Chine lors de l’attaque concertée souvent désignée sous le nom de code « Aurora », quelques groupes de chercheurs se sont mobilisés pour décortiquer les techniques utilisées à cette occasion. Et notamment le cabinet HBGary Federals. Il explique comment « reconnaître » une attaque Aurora, et ce n’est pas franchement simple.

Car le vecteur est complexe. En premier lieu, un code JavaScrip exploite une vulnérabilité d’Internet Explorer 6. Un IE6 qui est encore très largement utilisé en entreprise pour des raisons de compatibilité avec des applications Web. Ledit JavaScript contient un shellcode qui à son tour télécharge un « dropper ». Du dropper est extrait une « porte dérobée » ainsi qu’une DLL peu innocente, laquelle s’installe dans le répertoire Système de Windows et se charge en mémoire sous forme de « Service ». A ce stade, la DLL se modifie afin d’échapper aux détecteurs les plus classiques, tandis que le dropper se suicide par effacement afin d’éliminer toute trace de l’intrusion. Les deux articles s’attachent notamment à démonter les mécanismes de l’attaque JavaScript

NdlC Note de la Correctrice : le titre de cet article est une œuvre originale, qui, bien qu’inspiré par les écrits de Pierre Etienne, ne semble pas figurer dans ses ouvrages ou dans un quelconque recueil. Il ne sera donc pas censuré pour cette seule et unique raison.