février 12th, 2010

378 votes favorables à la résolution de rejet, 196 contre et 31 abstentions : le Parlement Européen rejette l’accord Swift/TFTP (Terrorist Finance Tracking Program) donnant aux Etats-Unis un droit de regard sur les transactions financières internationales effectuées par des ressortissants et sociétés Européennes. Cette demande des USA avait été acceptée sans grande discussion par la commission et le Conseil Européen, et donnait à Washington un accès sans contrôle sur les flux émis par les différents pays d’Europe. Le Parlement estime que la « menace terroriste » n’est pas un motif suffisamment étayé pour justifier ce blanc-seing de perquisition permanent, et qu’il constitue même une menace certaine pour les libertés individuelles.

L’association Les Iris rappelle que, dans sa boulimie de données personnelles, les Etats-Unis étaient déjà parvenus à imposer au Conseil la fourniture PNR, ou dossier passager, qui indique notamment les « données du passeport, le nom, l’adresse, les numéros de téléphone, l’agence de voyage, le numéro de la carte de crédit, l’historique des modifications du plan de vol, les préférences de siège et…. autres informations ». Des informations bancaires notamment qui sont conservées Outre Atlantique pour une durée minimale de 15 ans… sans précision de ce qui pourrait se passer « après » et sans, bien sûr, que la moindre instance Européenne puisse exercer le moindre droit d’oubli. Jusqu’à présent, les récents attentats ont montré l’absence totale d’effet préventif de ce dossier.

L’information a notamment été médiatisée par Brian Krebs et un forum d’assistance Microsoft : le correctif MS10-015 colmatant une possible élévation de privilège signalée par le bulletin 979682 et l’alerte du même métal provoque dans quelques cas un « écran bleu » au démarrage des stations sous Windows XP. La méthode de récupération conseillée par les équipes sécurité de Microsoft consiste à :

– Démarrer avec un CD original du système pour lancer la console de récupération puis lancer les commandes

CHDIR $NtUninstallKB977165$\spuninst

Deux catégories d’usagers rencontreront quelques problèmes pour effectuer cette rectification : les personne ne pouvant lire cette solution car n’ayant accès qu’à un seul ordinateur (celui précisément qui vient de succomber à ce correctif bancal) et les possesseurs d’ultra-portables dépourvus de lecteur de CD et ne disposant pas d’un PE-EXE sur clef usb. Pour cette dernière catégorie d’utilisateurs, la marche à suivre est indiquée sur le blog de Roderick van Domburg.

Dessines-moi une paire de Bot : KreiosC2 est un « bot pour jouer », une preuve de conception destinée à tous ceux qui souhaitent en comprendre le fonctionnement. Particularité : accepte une inhabituelle diversité de canaux de commandes et de contrôles.

Une étude du cabinet Javelin Strategy & Research laisse entendre que le nombre de victimes de fraudes aurait été en nette augmentation en 2009, avec une progression de 12% comparé aux quelques 11,1 millions de personnes frappées en 2008. Le montant des pertes s’élèverait à 54 milliards de dollars (contre 48 l’an passé). Le montant moyen des pertes financières s’élevait à 373 $ par victime, en légère baisse d’une année sur l’autre (498$ en 2008). Les fraudes à la carte de crédit se sont avérées en hausse, en proportion de 75% (63% en 2008), celles à la carte de débit en baisse (33% cette année, contre 35 l’an passé). L’étude remarque également une hausse (chiffres non communiqués) des vols de numéros de comptes bancaires et de documents d’assurance santé (très utilisé Outre Atlantique lors des demandes de crédit à la consommation notamment). Mais l’un des changements les plus notables remarqué par les analystes de Javelin Strategy porte sur le mode opératoire des fraudeurs. Jusqu’à présent, la première tâche d’un « voleur de compte » consistait à trouver des astuces pour légitimer soit un changement d’adresse, soit justifier une adresse de livraison de biens différente de celle du porteur de carte. Des « call center » mafieux spécialisés ont même trouvé là une opportunité fructueuse. Mais depuis le début de 2009, les fraudeurs se contentent simplement d’ajouter un « nouveau bénéficiaire » au compte, bénéficiaire dont l’identité et le domicile sont parfaitement forgés.

Il est important de noter que cette étude a été réalisée sur un échantillonnage de 5000 personnes résidant sur le territoire US, dont 703 victimes déclarées. Il faudra attendre la publication des chiffres de la FTC et du CSI-FBI pour avoir des métriques plus précises, reposant sur l’analyse de l’ensemble des victimes ayant porté plainte auprès des services de police.

Injection SQL sous Oracle 11g, un article technique signé David Litchfield. Rédigé en octobre dernier mais rendu public cette semaine, l’article est une reprise de la présentation faite à l’occasion de la Black Hat Federal Security Conference dont les « transparents » sont disponibles sur les serveurs de NGSS