mars, 2010

Si parfois les avocats de Microsoft peuvent faire grincer des dents, ils peuvent aussi contribuer à pacifier le monde en ligne. La récente « opération b49 », longuement décrite sur le blog « officiel » de Microsoft, a été couronnée de succès après qu’aient été fermés un peu moins de 300 sites Internet membres actifs du botnet Waledac. Le bannissement de la longue liste des enregistrés Chinois figurant sur la plainte se serait traduit par une « diminution drastique du trafic provoqué par Waledac »… soit près de 1,5 milliard de spam par jour. Selon Microsoft, pour la seule période du 3 au 21 décembre de l’an passé, ce virus serait à l’origine de 651 millions d’emails de spam allant de l’offre de pilules bleues à la collection de fausses montres de marque, en passant par les « tuyaux boursiers » percés et autres offres d’emploi douteuses. Si ces chiffres peuvent sembler impressionnants, ils n’ont pas franchement fait baisser les statistiques mondiales du spam dans des proportions comparables à celles de l’affaire McColo. Dans le monde des botnets, Waledac n’est pas un géant, et sa décapitation, même permanente, ne représente pas une perte considérable dans les rangs du « côté obscur de la force ».

Ce succès est en outre terni par quelques ombres. Il reste dans la nature plusieurs milliers de machines zombifiées par le virus en question, machines que les gardiens de botnets concurrents vont très probablement chercher à récupérer. En outre, les lendemains de l’affaire McColo ont appris aux administrateurs de C&C à compartimenter leurs réseaux, à prévoir des canaux de contrôle secondaires, à envisager des infrastructures de remplacement prêtes à s’ébranler au moindre problème affectant les serveurs opérationnels. S’il est un monde où l’on sait parler « reprise d’activité après crash », c’est bien celui des blackhats.

Le premier faux « Security Essential » vient d’être découvert par les équipes sécurité de Microsoft. Outre le fait d’infecter la machine de la victime, ce Troyen baptisé Win32/Fakeinit bloque un nombre impressionnant de noms de domaines. Paradoxalement, il s’agit essentiellement de sites de services (moteurs de recherche, serveurs de streaming, journaux en ligne, hébergeurs de photos…) et non, comme l’on aurait pu s’y attendre, des Web d’éditeurs de logiciels de sécurité. L’audace des codeurs ayant commis ce faux va jusqu’à faire payer les victimes de ce prétendu programme de sécurité, prétextant que l’original Microsoft Security Essential n’était qu’une version de démonstration dont la durée d’utilisation était parvenue à expiration. Dès les premières vagues de scarewares, le logo Microsoft a abondamment été utilisé par les escrocs spécialistes du genre, mais jamais encore le nom de « Security Essential » n’avait été usurpé. Notons au passage que le communiqué de Microsoft débute par une liste impressionnante de noms et pseudonymes donnés à cette souche virale, débauche d’appellations d’origines non contrôlées qui illustrent bien cet attrait pour le sensationnalisme qu’éprouve la profession de chasseur de virus. Il est vrai qu’un équivalent d’immatriculation CVE, c’est moins évocateur, et ça fait moins trembler dans les chaumières et risquerait même d’aider le consommateur à mieux comprendre par quel mal son ordinateur est frappé.

Il avait créé le« Facebook de la fraude » peut-on lire dans les colonnes de la BBC. Il, c’est Renukanth Subramaniam, le fondateur de DarkMarket, place d’échange et forum essentiellement consacrés au trafic de crédences et identités bancaires. Infiltré par des agents du FBI, ce réseau d’origine Anglaise possédait des ramifications aux Etats-Unis, au Canada, en France, en Allemagne, en Turquie et en Russie, pays dans lesquels ont été effectuées plusieurs arrestations, indiquent les enquêteurs Britanniques. Le « webmestre », condamné depuis à 5 ans d’emprisonnement, orchestrait son site marchand depuis un cybercafé de la région de Londres avec l’un de ses complices spécialisé dans la fabrication de fausses cartes.

Signalé dans un message de la liste FC, par un papier de Boing Boing et de ComputerWorld, un document prétendument « échappé » des cabinets de rédaction de l’Acta. Document qui, entre autres choses, établit la responsabilité des fournisseurs d’accès en cas de preuve caractérisée de piratage sur leurs réseaux, permet de fermer un site ou une publication en cas de transgression des droits de Copyright ou de Marque déposée, et considère comme condamnable toute personne cherchant à contourner les mécanismes de protection numérique d’une œuvre. Des informations à prendre toutefois avec des pincettes, l’origine du document et la source étant totalement invérifiées.

Rappelons qu’Acta est un traité en cours de constitution, qui devrait mettre sur un pied d’égalité juridique divers pays industrialisés cherchant à protéger les marchands des « industries culturelles ». Font partie notamment de ce club les USA, la C.E., l’Union Européenne, les divers pays du Commonwealth, le Japon, l’Australie, la Corée, Singapour… pour ne citer que les plus connus. Nos confrères de Read Write Web ont, fin janvier, rédigé un dossier sur ce traité fort critiqué.

Boing Boing et Computerworld prennent le contrepied de chacune de ces propositions en soulignant notamment que jamais les DRM n’ont prouvé leur efficacité, et que la position de l’Europe a toujours été opposée à la responsabilisation des FAI (souvent incitateurs du téléchargement) et prône la « riposte graduée ».

Dans la journée du 20 février, Cryptome, serveur spécialisé dans la diffusion d’informations déclassifiées ou obtenues en vertu du FOIA (Freedom Of Information Act), publie une notice manifestement publique rédigée par les services juridiques de Microsoft. Une notice qui explique dans le détail la nature et la durée des informations retenues sur chaque service « Microsoft en ligne » (MSN Messenger, Hotmail, SkyDrive, Xbox Live etc). En d’autres termes, il s’agit là d’une sorte de catalogue des informations (nom, prénom, numéro IP, parfois même numéro de carte de crédit, heures et dates de connexions etc) que l’éditeur peut tenir à disposition des autorités de différents Etats. Las, si Microsoft semble adorer les efforts des médias lorsqu’il s’agit de chanter les dangers du piratage, il semblerait que divulguer les éléments de cette collaboration active ne plaise pas toujours. Car 3 jours après cette publication, les avocats de Redmond exigent le retrait de ce document sous prétexte de violation de copyright, et entame une procédure visant à contraindre l’hébergeur de Cryptome de fermer le site. De son côté, Cryptome rétorque qu’il ne fait qu’exercer son métier d’informateur, et qu’il est de son devoir de prévenir le public des manières avec lesquelles « Microsoft viole la confiance que lui ont accordé ses clients, afin de protéger leur vie privée et la confidentialité des données personnelles et usages des produits Microsoft »

Ce n’est pas la première fois que Microsoft ou que la CIA tentent de censurer Cryptome. Jusqu’à présent, ces tentatives se sont soldées par des échecs cuisants accompagnés d’une bonne mesure de ridicule. Si, exceptionnellement, les avocats de Seattle parvenaient à avoir gain de cause, ce ridicule risquerait de se transformer en une flétrissure certaine de l’image de marque.

NDLR : Selon nos confrères de ReadWriteWeb, Microsoft aurait, entre temps, retiré son injonction