mars, 2010

Une enquête Ipsos/ MAAWG (Messaging Anti-Abuse Working Group) portant sur les territoires Français, Canadien francophone, Allemand, Espagnol et « anglophone » (USA-Canada-UK) montre que si les risques du spam sont connus du public, un sentiment d’impunité pousse tout de même les internautes à prendre quelques risques. 80 % des usagers savent, nous apprend l’enquête, ce qu’est un Bot… mais 46 % des utilisateurs de mail ouvrent les emails non sollicités intentionnellement et parfois (11%) visitent les sites auxquels ces courriels font référence ou ouvrent une pièce attachée (8%). Un tiers seulement des personnes interrogées estiment pouvoir être victimes d’une infection par ce biais. La règle du « ça n’arrive qu’aux autres » semble s’appliquer plus que de coutume dans le secteur de la messagerie. Paradoxalement, plus les utilisateurs sont jeunes, plus ils s’estiment compétents et avertis des dangers, et plus ils ont un comportement à risque.

L’appréhension du danger n’est pas la même dans tous les pays. Lorsque l’on parle de botnet, la proportion la plus forte de personnes ignorant le terme se concentre chez les Français et les Espagnols. Les Allemands et Anglais semblent plus au courant de l’existence des réseaux de bot et des risques liés à la zombification d’une station de travail. En terme d’expertise relative aux choses de la messagerie, les Français sont modestes… seuls 8% d’entre eux pensent connaître les risques quotidiens. A comparer au 33% d’Allemands qui se pensent experts en la matière (20% en Espagne, 16% aux USA et UK).

Un manque d’intérêt que confirme une autre question portant sur la responsabilité de ces infections par courriel. Si, dans le monde entier, plus de la moitié des consommateurs estiment que les fournisseurs d’accès sont responsables du contenu et de la sécurité du trafic provenant d’Internet, ce sont encore les Français qui pensent le plus n’avoir pas à prendre en main la responsabilité de leur propre sécurité, à comparer à une moyenne internationale montrant que, dans le reste du monde, 48 % des personnes interrogées préfèrent assumer la responsabilité de leur propre protection. Ils ne sont en revanche que 35% à penser que cette lutte est du ressort des instances gouvernementales, à comparer aux 54% de « délégation de responsabilité » en faveur des éditeurs d’antivirus. Il faut dire que certains de ces vendeurs de logiciels entretiennent à volonté le flou artistique qui les sépare des forces de polices chargées de la chasse aux auteurs d’infections. Est-ce un élément déterminant capable d’influencer les achats en matière d’outils de protection périmétrique ? Toujours est-il que les Allemands (72%) et les Français (69%) sont les plus équipés en matière de filtres anti-spam. Ce sont également les Allemands (60%) et les Français (50%) qui utilisent le plus les fonctions de mise à jour automatique de leurs logiciels de protection. Ce sont toujours les Allemands (45%) et les Français (5%) qui pensent le moins avoir été frappés au moins une fois par un virus… 69% des Espagnols, 68 % des Canadiens estiment avoir été victimes d’une telle attaque. Ces chiffre reflètent les « opinions et croyances » des personnes interrogées, et non les taux réels d’infection lesquels ne font l’objet d’aucune statistique permettant de tirer des conclusions sur les sentiments, véritables ou illusoires, de sécurité.

Face aux faux emails bancaires, en revanche, ce sont les Français qui ont tendance à ne pas prendre au sérieux le contenu de ces pièges. Réaction probablement due à une saturation de spam anglophone qui, durant des années, ont littéralement mithridatisé les internautes. La tendance pourrait bien s’inverser avec la « nouvelle vague » d’emails de phishing émise depuis des hébergeurs Français, rédigés en Français, avec un jeu de caractères tout à fait normal.

Comparativement au reste du monde occidental, nos concitoyens portent donc peu d’intérêt aux dangers du Net, mais s’équipent plus pour se protéger et veillent plus attentivement à la solidité de leurs protections. Il n’en demeure pas moins que plus de la moitié des usagers continuent à cliquer sur des liens réputés dangereux, souvent d’ailleurs en connaissance de cause.

Vives réactions, en ce début de semaine, de la part de plusieurs députés Européens, qui s’élèvent contre le manque de transparence des négociations sur l’Acta (Anti-Counterfeiting Trade Agreement) conduites en secret par le commissaire européen au Commerce, Karel de Gucht. Le Monde, la RTBF, le Point, le Nouvel Obs traduisent l’exaspération du Parlement devant l’opacité des décisions de l’exécutif, un exécutif qui s’est cru tenu au silence simplement parce que « les autres parties stipulent que les textes ne peuvent pas être divulgués ». Rappelons que les autres parties en question sont essentiellement des entreprises et des associations de lobbying relevant d’entités de droit privé, voir d’instances non-européennes, et dont les « stipulations » n’ont pas force de loi.

Rappelons qu’Acta est un ensemble de dispositions visant à instaurer au niveau mondial une « riposte graduée » antipiratage autant ou plus répressive que la loi Hadopi Française. Le pouvoir de rétorsion de ces textes devraient s’étendre à tout ce qui touche à la contrefaçon, et les répercussions de son éventuelle application frapperaient directement, insistent ses détracteurs, l’accès à certains médicaments génériques. Acta envisage également d’instaurer une responsabilité pénale des intermédiaires (en d’autres termes les fournisseurs d’accès à Internet) si ceux-ci n’agissent pas pour interrompre toute forme de trafic ou toute activité dénoncée comme telle. En cas d’adoption, Acta transformerait donc les FAI en « miliciens du net », capables de couper une source d’information sur simple dénonciation d’un lobby. Une éventualité que les fournisseurs d’accès refusent énergiquement, non pas pour des motifs moraux liés à l’idée de censure ou de dénonciation, mais plus trivialement pour des raisons de coûts d’infrastructure.

Parmi les arguments de défense avancés par Karel De Gucht (dixit nos confrères de la RTBF), l’on note la riposte suivante : « La négociation porte sur des infractions de grande échelle aux droits de propriété intellectuelle ayant un impact commercial significatif ». « Elle ne conduira pas à des restrictions dans les libertés civiles ou au harcèlement des consommateurs ». Si Acta est véritablement un texte visant à poursuivre les grandes filières de la fraude par contrefaçon, l’on se demande pour quelle raison elle envisage un arsenal associant coupures d’accès à Internet pour des particuliers et riposte graduée. De telles accumulations de contradiction font redouter que cette « chasse aux fichiers MP3 » ne cache d’autres buts.

D’ici peu le salon AstriEurop ouvrira ses portes à l’Espace Champerret, Paris. Plus exactement, les 14, 15 et 16 avril prochains, les organisateurs de la première manifestation européenne autour d’Asterisk proposent près de 21workshops et 16 conférences. Des débuts ambitieux pour cet opensource …Mais qui a-t-il derrière Asterisk ? Qu’est-ce qui a fait d’une solution opensource un tel succès ? Mark Spencer répondent tous en cœur les intéressés du domaine, ceux-là même qui ont cru en ce logiciel et ont décidé de baser leur business professionnel dessus. Mais qui est Mark Spencer ? Tout simplement l’auteur du code qui réunira tout l’écosystème fondé autour mi-avril à Paris. Interview avec l’enfant prodige de la téléphonie opensource qui nous raconte son histoire, ses réalisations, ses vœux et ses espérances avec Asterisk.

CNIS. Comment êtes-vous devenu un développeur ? Avez-vous appris à “coder” tout seul ou plus traditionnellement à l’école ? Comment avez-vous débarqué dans le milieu de l’opensource ?

M.S. J’ai commencé à programmer en Basic à l’âge de 10 ans. À l’époque, ce genre d’activité était quelque peu inhabituel, mais aujourd’hui, c’est probablement plus fréquent. Écrire un logiciel, c’est un peu comme composer de la musique. Vous pouvez aller à l’école pour apprendre à affiner vos compétences, mais l’inspiration prévaut, une réalité qui permet de différencier rapidement les meilleurs développeurs de la moyenne. Cette passion qui anime de l’intérieur est quelque chose qu’il est difficile d’apprendre à l’école, mais c’est quelque chose que l’école peut certainement exploiter pour tirer le meilleur de quelqu’un.
J’ai commencé à utiliser Linux en 1994 après avoir passé quelque temps sur un programme d’été appelé «Science Research Institute» qui s’est tenu au MIT. Là, j’ai utilisé Unix et j’ai rapidement apprécié la puissance de ce système d’exploitation. C’est encore là que je me suis rendu compte qu’il me permettrait également d’utiliser un tel système à la maison.

CNIS. Pourriez-vous raconter à nos lecteurs comment l’idée d’écrire un un IP BX opensource a germé dans votre esprit ? Combien de temps cela vous a pris d’en écrire le noyau ?

M.S. J’aimerais pouvoir vous raconter qu’Asterisk était une création d’une vision de l’avenir de la téléphonie, mais en fait, j’ai écrit Asterisk parce que les systèmes téléphoniques de l’époque étaient trop chers pour moi. Et j’ai ressenti le besoin d’une solution entreprise s’appuyant techniquement sur Linux, milieu dans lequel je me lançais professionnellement activement. En tant que tel, j’ai décidé d’en réaliser un au lieu d’en acheter un. Mais ce ne fut que quelques années plus tard que j’ai compris que le système téléphonique que j’avais réalisé correspondait parfaitement aux attentes et aux besoins des entreprises, en tout cas plus que le support technique autour de Linux. La première version ne m’a coûté que quelques semaines de programmation, mais était très limitée. J’ai rapidement continué mes efforts de développement et comme vous le savez, Asterisk évolue depuis plus de dix ans maintenant.

CNIS. Combien de temps vous a-t-il fallu pour obtenir un tel succès avec Asterisk? Vous attendiez-vous à celui-ci ?

M.S. Cela n’a pas été un succès immédiat, et je crois que la réussite signifie différentes choses pour différentes personnes. Au lieu de cela, il y a eu de nombreuses, petites comme grandes, étapes dont chacune était un succès en soi. Je me souviens en 2003 ou 2004, avoir été présenté à un vice-président de MCI comme cela « C’est Mark Spencer. Celui-là même qui a développé Asterisk. En avez-vous déjà entendu parler? » Question à laquelle le vice-président s’est empressé de répondre par «En ai-je entendu parler? Bien sûr que j’ai entendu parler d’Asterisk ! Qui n’en a pas entendu parler? » Ce qui a été pour moi, à cette époque, un très grand moment de gloire! Egalement, en 2006, Forbes a fait un article sur Asterisk, ce qui a été un important évènement pour moi. Pour la première fois, je voyais l’importance d’Asterisk à l’extérieur de notre milieu, la reconnaissance en dehors du monde IT.

CNIS. Combien de temps vous a-t-il fallu pour créer l’importante communauté que vous avez autour d’Asterisk aujourd’hui ?

M.S. Comme le logiciel lui-même, le développement de la communauté autour d’Asterisk est un phénomène en perpétuelle évolution. Celle-ci a surtout commencé lorsque nombre de développeurs se sont intéressés de près à la programmation de logiciels de télécommunications. Ceux qui ont écrit autour d’Asterisk ne l’ont pas fait à l’époque parce qu’ils en avaient besoin mais uniquement parce qu’ils en avaient la capacité. Une grande partie de ces développements a été motivée plus pour des raisons de passion personnelle … Aujourd’hui, la communauté est beaucoup plus grande, mais est généralement davantage poussée par le besoin. La plupart des gens aujourd’hui développent autour d’Asterisk pour répondre aux manques des solutions actuelles qu’ils ressentent. Les milieux d’affaires autour d’Asterisk se sont également développés au fil du temps. Au début, il n’y avait vraiment que Digium en termes de business dont la seule source de revenus provenait d’Asterisk. A l’époque, chaque entreprise qui utilisait des produits Asterisk achetait Digium parce qu’elle se sentait étroitement liée à que nous représentions alors : Asterisk et sa communauté. Aujourd’hui, il existe d’innombrables sociétés qui gagnent leur vie avec Asterisk, dont beaucoup fonctionnent de manière complémentaire à Digium alors que d’autres sont en concurrence directe avec nous. Au lieu d’avoir une base de clientèle limitée à des utilisateurs finaux techniquement très pointus, de nombreux utilisateurs d’Asterisk n’ont aucune idée de ce qu’est Asterisk et la plupart du temps, ils ne savent même pas qu’ils l’utilisent. Tout ceci est bien sûr un signe positif montrant « l’ampleur » qu’a pris aujourd’hui l’IP BX Asterisk.

CNIS. Pourriez-vous nous donner une idée de la pénétration d’Asterisk au sein des entreprises américaines ? Européennes ?

M.S. L’Europe et dans une certaine mesure l’Asie ont certainement été moteur dans la politique de déploiement géographique d’Asterisk. Je crois que le marché européen accorde une plus grande valeur à des solutions open source par rapport au marché américain. Environ la moitié des revenus de Digium provient de l’extérieur des États-Unis.

CNIS. Comment voyez-vous l’avenir d’Asterisk face à de nombreuses et traditionnelles solutions propriétaires ?

M.S. Parmi les solutions nord-américaines déployées, le déploiement d’Asterisk a été le plus important face à tout autre fournisseur unique, mis à part la solution de Nortel et ce, en 2008. En fait, si vous additionnez ne serait-ce que tous les autres projets open source à Asterisk, alors le milieu open source dans son ensemble aurait été Numéro Un. Je pense qu’il y aura probablement toujours un équilibre entre les marchés, open source et modèles propriétaires (pour les leaders), mais dans le monde des télécoms, je soupçonne que l’ouverture des solutions open source pour des marchés de masse est en bonne voie , alors que les solutions propriétaires seraient poussées vers des segments verticaux plus étroits. Je ne pense pas que ce soit un changement très rapide, cela se évoluera sur plusieurs années.

CNIS. Dans quelles directions pourraient évoluer les produits dans les mois à venir?

M.S. La progression d’Asterisk aujourd’hui n’est plus seulement menée par le développement du noyau, mais surtout et également par le développement des solutions construites autour. Au fil du temps, je pense que ce sera la combinaison et le rapprochement d’Asterisk avec d’autres technologies qui fournira une grande partie de ce que les gens remarqueront, plutôt que les technologies de base sur lesquelles nous travaillons de façon à appuyer ce qui sera effectivement remarqué. En effet une grande partie du travail que nous faisons à Digium aujourd’hui correspond à soutenir les technologies du futur, l’évolutivité et l’intégration avec d’autres produits.

Il serait passé presque inaperçu, ce communiqué de l’UIT. Presque car de Reuter au Point, en passant par 01 « Men » et autres confrères de la PQR, tous se sont contentés d’effectuer un « couper-coller » du bulletin mentionné. Tous sauf peut-être nos confrères de Libé (http://www.liberation.fr/monde/0101626139-l-iran-brouille-l-ecoute-des-medias-europeens) qui, eux, ont rédigé un véritable article, avec du clavier, des neurones et une référence éculée à Luc Etienne.

Car derrière cette « vive protestation » de l’UIT se cache une formidable opération de censure de tous les médias occidentaux susceptibles d’être reçus en Iran. Pour peu, en lisant le papier de Jean-Pierre Perrin, l’on se croirait revenu à l’époque de la « guerre des ondes », celle de la 39-45, bien sûr, avec ses brouillages, ses « émetteurs de campagne », ses intoxications et ses coups tordus (http://fr.wikipedia.org/wiki/Op%C3%A9ration_Himmler). Celle ensuite de la guerre froide, qui vit fleurir les grands broadcasts de propagande (Voice of America, Radio Moscou, Radio Pékin, Radio Tirana, RFI) et l’invention d’une forme moderne de combat psychologique. Aujourd’hui, les messages idéologiques et la dialectique primitive des dictatures des années 60 ne perdurent plus que dans quelques états (dont l’Iran) combattus, noyés par la profusion de chaines d’information diffusées par satellite. C’est la guerre de la « couche OSI numéro 1 », celle chargée du transport et qui entre dans les infrastructures Scada.

Si le Gouvernement Français en général et Eutelsat en particulier protestent contre les brouillages Iranien de leurs émissions de télévision par satellite, c’est plus pour des raisons de politique internationale que pour de vagues considérations sur l’audimat et les recettes publicitaires dans les pays du moyen orient. Qui maîtrise les moyens de transmission peut influencer l’opinion publique.

Alors, acte de fermeté de la part de l’UIT ? en langage technocratique, l’avis émis est indiscutablement insistant. Mais sa formulation est empreinte de précautions de langage qui prouvent combien l’UIT ne croit pas un instant à la crainte qu’elle tente d’inspirer. « The Radio Regulations Board urged the Administration of Iran to continue its effort in locating the source of interference and to eliminate it as a matter of the highest priority ». En d’autres termes, l’UIT demande à l’Etat Iranien d’enquêter sur des éventuels perturbateurs situés à l’intérieur de ses frontières, ce à quoi l’Iran s’est déjà empressé de répondre que ses services techniques ne manqueront pas de réagir. Le gouvernement Armaninejad n’est pas une seule fois accusé directement. Or, dans une dictature ou une « démocratie musclée », s’il est une chose qui est étroitement surveillée, c’est bien le spectre radioélectrique. Il faut, depuis l’invention du goniomètre instantané de l’ingénieur Deloraine, (1938), moins d’un centième de seconde pour situer le gisement d’un émetteur pirate. Et il serait vraiment étonnant que les services de sécurité Iraniens ne possèdent pas cette technologie vieille de 72 ans. Une technologie entretenue par tous les gouvernements de la planète, et qui permet à chacun de faire taire tout émetteur pirate dans un délai maximum d’une demi-journée, transports et démarches judiciaires y comprises. L’hypothèse d’un émetteur illégal est donc à écarter, seuls les services techniques Iraniens sont donc capables de posséder les brouilleurs de fréquence mentionnés par l’UIT.

La République Islamique Iranienne illustre parfaitement la hantise des régimes politiques autocratiques : La liberté d’accès à l’information, le refus d’une pensée unique. Les armes utilisées pour combattre ces germes de la démocratie sont de deux ordres, législatifs et techniques. Dans un premier temps, une série de lois est édictée, prétextant la défense des mineurs ou de la religion, la protection d’un petit groupe d’industriels lésés par quelques fraudeurs, l’impudeur des contenus déviants que l’on peut trouver sur les chaines de télévision ou Internet, le risque d’y voir s’infiltrer un cyber-ennemi… Dangers présentés généralement par des discours forts et anxiogènes, dressant le spectre des armées de violeurs ou d’impies poseurs de bombes. Une fois ces lois adoptées sous prétexte de principes moraux inattaquables, peut débuter la première phase, celle de la pénalisation des « auditeurs » de toutes sortes –téléspectateurs, internautes- qui afficheraient leur opposition au régime par le simple fait d’écouter un canal d’information étranger. La censure devient double, elle coupe la source d’information, elle muselle par la menace les protestataires qui verraient là une atteinte à la liberté d’expression. Deuxième acte, l’installation d’une infrastructure de filtrage, (limitation ou interdiction de tel ou tel protocole) imposée aux fournisseurs d’accès et opérateurs télécom locaux, le tout accompagné de mesures techniques de blocage (Brouillage,) lorsque ledit opérateur n’est pas accessible sur le territoire. Il n’en faut pas plus. L’information est canalisée dans le lit bordé imposé par le gouvernement en place, les contrevenants sont sous les verrous, et la formule de Montesquieu prend alors un tout autre sens « Ah! ah! monsieur est Persan? C’est une chose bien extraordinaire! Comment peut-on être Persan? ». Surtout en 2010.

Fort heureusement,l’Iran est un pays géographiquement, politiquement et structurellement isolé. Des bribes de données parviennent encore à filtrer, tantôt par les téléphones portables, tantôt par les émetteurs radio-télévision frontaliers, tantôt sous le couvert de protocoles Web2.0 spécifiques, tel celui de Twitter. Des fuites qui seraient bien plus difficile à entretenir si l’Iran avait fait partie d’une « Communauté Economique ExtraPersane » par exemple, chaque pays limitrophe isolant un peu plus les frontières, colmatant les plus petits tuyaux par lesquels percolent les bruits du monde extérieur. Isolation d’autant plus efficace que, pour imaginer cette Communauté Economique Extrapersane, il faudrait nécessairement un exécutif situé au dessus du pouvoir de chaque Etat-Nation, et si possible très éloigné du suffrage universel afin de mieux être attentif aux intérêts directs des Sultans et de leurs Janissaires. Mais cette Perse là n’existe pas. C’est la Perse d’un conte noir, celle ou les citoyens des pays d’Orient ne pourraient plus s’exprimer autrement que par des messages chiffrés, craindraient la présence de logiciels-mouchards que chaque internaute devait acheter et installer lui-même, sous la pression des séides du tyran en place. Ce serait une Perse d’avant les Lumières, qui, sous prétexte de préserver le secret de fabrication des tapis de soie bleue, interdirait non pas les imitations de tapis, mais condamnerait l’usage des rouleaux de carton qui servent à faciliter le transport desdits tapis… ainsi que d’autres biens. Ce serait une Perse ou les Gardiens du Droit Moral issus des écoles politiques auraient plus de pouvoir que les juges eux-mêmes, à tel point qu’ils pourraient lever l’impôt dans les campagnes sans même nécessiter le recours aux institutions juridiques. Fort heureusement, une Perse qui ne peut exister.

A peine éteintes les lumières du Hackito ergo sum de Paris qu’une autre manifestation née des cogitations du tmp/lab de Vitry se déroulera à Rennes, du 15 au 17 avril. Il s’agit du BEC, lancé (entre autres bonnes volontés) par Sébastien Bourdeauducq. Contrairement au Hackito, BEC ne sera pas focalisé sur un thème unique tel que la sécurité. Il s’agira plutôt d’une manifestation pluridisciplinaire, pluri-scientifique, entrecoupée de rendez-vous artistiques et de causeries techniques : Michael Scherer sur le routage Tor, John Lejeune sur l’impression 3D, Matthieu Giroux sur Lazarus et les outils RAD en gestion… un brouillon du programme définitif est disponible sur le site de l’organisateur.

La mise en garde à vue de « Hacker Croll » fait couler beaucoup d’encre dans les quotidiens nationaux. De Libé au Monde en passant par un double article dans 20 Minutes ou une interview sur Europe 1, nos confrères semblent se retenir pour ne pas encenser le génie et l’astuce du « pirate de Twitter ». Ce n’est pourtant qu’un hack très classique, débutant par un détournement de boîte email (selon un procédé qui avait déjà coûté très cher à Sarah Palin). Le détail précis de l’histoire est fourni par Damien Bancal dans les colonnes de Zataz.

Plus que le hack lui-même, c’est la manière dont a été médiatisée l’affaire qui est riche d’enseignements. L’action de « hacker croll » relève plus du fantasme angélique du justicier masqué que de celui du dangereux cyber-truand. En revanche, les raccourcis de certains de nos confrères titrant sur un véritable détournement de Twitter ou la découverte d’informations confidentielles piochées sur le compte du Président des Etat- Unis prouvent à quel point l’usage de certains services Internet possède encore un parfum de magie ou de science de très haut niveau. L’on pourrait également se demander pour quelle raison des messageries « cloudifiées » à destination grand-public sont encore utilisées par le personnel d’une entreprise commerciale… et surtout par des cadres dirigeants ou appartenant aux hautes sphères opérationnelles. On doute que la leçon soit retenue que l’exploit du jeune Clermontois améliore les choses dans les années à venir …

C’est avec la dernière livraison de rustines (7 failles IOS, dont 5 risques de DoS et 2 risques de redémarrage de programme) que Cisco annonce un décalage du calendrier de ses « bug fix ». A partir du 26 mars, les bulletins d’alerte sécurité IOS seront émis tous les quatrièmes mercredis des mois de mars et septembre. Ceci ne présumant pas de la sortie de correctifs « hors calendrier » lorsque le niveau d’alerte l’exige.

AVG diffuse gratuitement un « CD-Rom de récupération-désinfection », à base de noyau Linux, et destiné aux utilisateurs de machines Windows en détresse. Un certain niveau de connaissances est conseillé avant que de lancer ce « live CD », puisque l’interface « graphique » s’appelle Midnight Commander (branche Linuxienne du Norton Commander de John Socha) et l’éditeur « par défaut » n’est autre que vi. De quoi traumatiser un Microsoftophile pour le restant de ses jours. Les « power users », en revanche, trouveront là un outil pratique, immédiatement disponible, et plus simple à mettre en œuvre qu’un disque de récupération fabriqué « à la main », à grands renforts de Bart’s PE et autres accessoires.

Le programme de la première conférence Hackito ergo sum vient d’être arrêté et publié sur le site de la manifestation. Durant 3 jours, du 8 au 10 avril prochain, plusieurs spécialistes sécurité se succèderont dans les locaux de l’espace Main d’œuvre, 1 Rue Charles Garnier à Saint-Ouen(M°Porte de Clichy).

Rodrigo Branco parlera de TPM, Benjamin Henrion titillera les routeurs ADSL de certains FAI d’Outre Quiévrain, Carlos Sarraute de Core Security dissertera sur le pentesting, et son collègue de travail, Luis Alvarez Medina, dévoilera certains aspects aussi intéressants qu’indiscrets d’Internet Explorer. A ne pas manquer non plus un petit voyage dans la mémoire physique d’OS/X, par Mathieu Suiche le papa de Sandman, une virée dans le monde de la VoIP et de ses vulnérabilités, par Sandro Gauci, immédiatement suivi, communauté de thème oblige, par un exposé du Maître de Cérémonie et organisateur Philippe Langlois, qui conviera l’assistance à visiter le royaume du SS7. L’on reparlera également de crack du GSM, de FPGA avec notamment une description des travaux de Sébastien Bourdeauducq sur Milkymist, de crochetage de serrures… sans oublier l’inévitable concours « stop the Fed » que l’on pourrait rebaptiser en «découvrez les barbouzes ».

L’Angleterre a peur. Selon une étude de la société Israélienne Tufin, un gamin Britannique sur quatre avoue avoir tenté de « hacker » le compte Facebook d’un proche en lui dérobant son mot de passe. 78 % des « coupables » reconnaissent que cet acte est peu moral. Cette pratique est répandue aussi bien auprès des jeunes garçons que des jeunes filles. Ces crises de voyeurisme s’assouvissent indifféremment dans la chambre du coupable (27%), dans un Web-Bar (22%), un ordinateur appartenant à un établissement scolaire (21%) ou la machine d’un copain (19%).

Sur toutes ces tentatives de pénétration, 46% d’entre elles étaient motivées par un simple amusement, 21% pour provoquer un dysfonctionnement et 20 % pour y trouver un éventuel moyen de se « faire de l’argent ». 5% « seulement », précise l’étude, avaient trouvé en cette pratique un catalyseur les ayant fait basculer du côté « obscur de la force ».

L’étude repose sur un échantillonnage de 1000 jeunes Londoniens et 150 Cumbriens. Paradoxalement, c’est dans cette région montagneuse du Nord de l’Angleterre que semble s’éveiller les vocations précoces. En Cumbrie, l’on hack à 78% avant 13 ans… seuls 44 % des Londoniens piratent avant 16 ans, et 16 % de ce groupe étaient dans la tranche la plus jeune des 10/15 ans.

Repris pratiquement dans son intégralité, le communiqué de presse de Tufin a fait le tour des rédactions anglo-saxonnes : Network World, CNN, New Kerala, la BBC, One India, ces chiffres ont fait le tour du monde, sans éveiller de la part de nos confrères autre chose que des remarques inquiètes sur le manque de morale et de discernement de cette génération numérique montante.

L’on pourrait pourtant considérer la chose sous un éclairage plus optimiste : de ces « jeux d’enfant » souvent cruels comme des jeux d’enfant, en ressort nécessairement une prise de conscience bien plus aigüe que celle de leurs parents pour ce qui concerne la relative (in)sécurité des réseaux sociaux. En outre, le terme « hacker » a, pour une fois, été utilisé dans son sens le plus accepté. Car à 13 ou 14 ans, on « casse » bien plus pour « voir comment çà marche à l’intérieur » que pour sciemment nuire à autrui. Plutôt que de jouer les Cassandres, les analystes de Tufin pourraient interpréter ces chiffres comme étant l’indice qu’il existe, dans les cerveaux de nos héritiers, le germe de la curiosité et de l’expérimentation, même si celle-ci sent un peu le souffre. Et que les futurs gourous et bidouilleurs de haut vol auraient plutôt tendance à naître dans un milieu provincial, campagnard et montagnard plutôt que dans les grandes villes situées à l’altitude zéro. Une conséquence indirecte de la pression atmosphérique ou la preuve que les statistiques qui veulent traiter de cyberdélinquance ne veulent parfois strictement rien dire.